Fehlermeldung Sicherheitsberater-Benötige Hilfe

Gump

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
207
Punkte für Reaktionen
1
Punkte
24
Habe Fehlermeldungen von dem Sicherheitsberater.

Kann mir jemand weiterhelfen wie ich diese abstellen kann?
 

Anhänge

  • sb1.PNG
    sb1.PNG
    9,3 KB · Aufrufe: 46

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.941
Punkte für Reaktionen
1.262
Punkte
194
Wenn Du auf die Meldungen klickst, sagt Dir das System, was als nicht sicher eingeschätzt wird. Mit dem jetzigen Bild wird Dir niemand helfen können.
 
  • Like
Reaktionen: Gump

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Vor allem, wenn man nicht weiss, was das Ziel sein soll.

Die Meldung kriegt man halt auf mehrere Arten weg.

  1. behebe die angemahnte Schwachstelle in der Systemsteuerung zu den jeweils kritischen Lücken
  2. nutze eine Benutzerdefinierte Sicherheitsrichtlinie unter "Sicherheitsberater" > Erweitert > Benutzerdefiniert > Checkliste benutzerspezifisch anpassen.
Beides erloest von den Meldungen. Die eine in dem der Fehler behoben wird, die andere in dem das jeweilige Verhalten nicht mehr geprueft wird.
 
  • Like
Reaktionen: Gump

Gump

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
207
Punkte für Reaktionen
1
Punkte
24
Vielen Dank schon einmal für die Antworten und die Hilfe.

Ich habe zu Problem 1 die Empfohlene Aktion ausgeführt, wobei ich mir nicht sicher bin, was „Namen und Beschreibung des Benutzers von Kennwort ausschließen“ bedeutet?



Muss ich noch weiteren arbeiten unternehmen nachdem ich meine Einstellungen an der Diskstation vorgenommen habe?

sb3.PNGsb4.PNG

Ein erneuter Scann Test von dem Sicherheitsberater zeigt nun das der Fehler behoben ist.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
wobei ich mir nicht sicher bin, was „Namen und Beschreibung des Benutzers von Kennwort ausschließen“ bedeutet?

User heisst HANS und die Beschreibung ist "Account von Hans", dann darf das Passwort nicht "HANS", "Hans", "Account" und "von" enthalten.
 
  • Like
Reaktionen: Gump und Stationary

Gump

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
207
Punkte für Reaktionen
1
Punkte
24
Habe hier noch ein Problem und bin mir nicht sicher was ich einstellen muss.

sb5.PNG

Auf welchen Wert muss ich den SSH Port auf einen anderen Standardwert als 22 ändern und wie muss ich zusätzlich die SSH Port Einstellungen für SSH Clients ändern?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Du kannst natürlich den SSH Port ändern, musst du aber nicht. Wenn du weißt, was du tust, kannst du dem Sicherheitsberater auch sagen, das er diesen Hinweis ignorieren soll. Hab ich bei mir z.B. so gemacht und der Sicherheitsberater ist glücklich.
 
  • Like
Reaktionen: Gump

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
brauchst du denn ssh?
wenn ja .. von innen oder auch von aussen?

wenn nur von innen .. mei, dann ggf. ignorieren.
von aussen kannst du mit security through obscurity machen und z.b. 22022 auf 22 mappen
oder gleich 22022 oder jeden anderen freien port nehmen wie du lust hast.

es geht bei der pruefung nur darum, dass ein "ziemlich dummer portscan" einen port 22
sofort mit ssh assoziiert und damit nach aussen klar wird, ahaaaaa, das ist ssh am start, mal
sehen was wir dummes damit anstellen koennen.
 
  • Like
Reaktionen: Gump

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Security by obscurity it TOT, das sollte man ganz schnell streichen.

c‘t hatte kürzlich einen Bericht über eine eigene Aktivität: Die haben sich ein Programm zusammengebaut, das bei einem Provider mit guter Bandbreite auf einem gemieteten Server gehostet, und dann mal eben das ganze IPv4-Internet abgescannt. Das ist mit heutiger Rechnerpower und Bandbreite keine unmögliche Aktion mehr. Die haben nur ein paar Tage gebraucht. Der Provider war informiert, und sie haben keinen Break versucht, also nur angeklopft und geschaut, ob da jemand im Klartext antwortet.

Dabei sind sie auf eine ganze Reihe ungesicherter Server gestoßen, deren Admins meinten, Security by Obscurity wäre eine sinnvolle Strategie. Also IP plus höherer Port = Mich findet ja keiner ? Das ist, wie wenn man sich beim Versteckspielen die Augen zu hält, damit die anderen einen nicht sehen.
  • Daher grundsätzlich Ports nur dann nach außen öffnen, wenn man muss UND genau weiß, was man da tut.
  • Gerne einen exotischen Port wählen, warum nicht, aber nicht darauf verlassen
  • Und dann die offenen Ports sauber dicht holen, Firewall setzen, etc.
Jetzt entschuldige ich mich vorab für klare Worte: Wer nicht weiß, was der Sicherheitsberater sagt, ist auf einem guten Weg, wenn er hier fragt. Zugleich sollte er aber alle Ports dicht lassen (und auf keinen Fall UPnP aktivieren), bis er versteht, worum es geht.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
brauchst du denn ssh?

SSH aktiv / intern ist nie ein Fehler. Falls zB mal die root Partition voll wird und das so noch korrigiert werden kann.

Extern per Port Forward würde ich nicht machen. Sehe da wenig Usecases. Falls man darüber überlegt, sollte man ssh zusätzlich mit 2FA auth abschützen (ob das auf syno auch läuft, hab ich noch nicht versucht, da ich es nicht benötige privat. Bei redHat kann man es mit zusätzlichen pam Modulen aktivieren).
 
  • Like
Reaktionen: Gump

Gump

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
207
Punkte für Reaktionen
1
Punkte
24

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.941
Punkte für Reaktionen
1.262
Punkte
194
SSH: gehst Du mit einer Terminalanwendung auf die Diskstation? Wenn nein, dann kann SSH meiner Meinung nach ausgeschaltet werden. Ich persönlich habe SSH ausgeschaltet, aber es gibt sicher Mitforisten, die es lieber anlassen.
 
  • Like
Reaktionen: Gump

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Wie kann ich das machen bzw. einstellen?

Ich bin mir nicht sicher ob ich SSH benötige?

Ich benutze die DS nicht im 7/24 Betrieb sondern nur als Datengrab.

Wenn ich die DS benötige wird diese eingeschaltet ansonsten bleibt diese Stromlos.

  • abschalten ueber die verwendung einer eigenen liste der zu pruefenden punkte des sicherheitsberaters
  • wenn du nicht weisst ob du ssh brauchst, brauchst du es nicht
  • reines datengrab ohne spezielle software (jdownloader, etc) sprechen fuer weglassen von ssh
  • ein nas, das nur bei bedarf hochfaehrt, verschleisst schneller als im 24/7 betrieb, denn genau dafuer sind NAS und NAS Platten ausgelegt, nicht fuer andauernde neustarts. der stromverbrauch durch 24/7 ist bei einem kleinen NAS ja eher ueberschaubar.
 
  • Like
Reaktionen: Gump

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
wenn du nicht weisst ob du ssh brauchst, brauchst du es nicht
Haben ist aber meist besser als brauchen. Sollte der DSM mal seinen Dienst quittieren, kann ein aktivierter SSH Zugang oftmals ein Anker sein.

ein nas, das nur bei bedarf hochfaehrt, verschleisst schneller als im 24/7 betrieb, denn genau dafuer sind NAS und NAS Platten ausgelegt, nicht fuer andauernde neustarts. der stromverbrauch durch 24/7 ist bei einem kleinen NAS ja eher ueberschaubar.
Und was hat das mit dem Thema hier zu tun? Ich kann dein Statement so auch nicht unterschreiben, jedoch möchte ich mich hierzu jetzt nicht weiter äußern. Vielleicht nur soviel... ein Auto was die meiste Zeit steht und nur für Kurzstrecken genutzt wird, verschleißt sicherlich auch schneller als ein Langstreckenfahrzeug. Nichts desto trotz ist es jedem selbst überlassen, wie er sein Auto - oder sein NAS - einsetzt.

Wie kann ich das machen bzw. einstellen?
Ich hab es nicht mehr genau im Kopf, da ich diese Einstellungen schon vor geraumer Zeit vorgenommen habe und mich der Sicherheitsberater damit nicht mehr belästigt. Ich meine aber, das das über die Schaltfläche "Überspringen" geht...

1610117328095.png

NACHTRAG:
Ich muss mich korrigieren. Die Einstellungen findest du im Sicherheitsberater unter - Erweitert - Checkbox: Benutzerdefiniert - Schaltfläche: Checkliste benutzerdefiniert anpassen - ... und dann ... - Checkbox: Der Standardwert des SSH-Ports wurde nicht geändert - den Haken entfernen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Gump und the other

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Wenn nein, dann kann SSH meiner Meinung nach ausgeschaltet werden.

Ich denke, ein interner Port, welcher keine Portfreigabe hat, tut nicht weh. Und wenn du jemals ssh Zugang benötigst, weil du keinen DSM Login mehr schaffst (zB. root ist voll), wirst du froh sein, dass ssh dann läuft ;)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Wenn du dich mal intensiver mit deinem NAS befassen willst oder musst, dann ist ssh eh nötig, sag ich jetzt mal ketzerisch. Und wie schon gesagt wurde, wenn du das nur intern einrichtet und nicht von extern, dann ist das voll ok. Kannste ja zur Not dann noch (über den ssh Zugang mit Konsole :p) etwas absichern...
 
  • Like
Reaktionen: Gump

Gump

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
207
Punkte für Reaktionen
1
Punkte
24

Gump

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
207
Punkte für Reaktionen
1
Punkte
24

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
zu ssh:
https://de.wikipedia.org/wiki/Secure_ShellIn Kurzform: du hast nen Rechner, der irgendwo anders steht. Bei dem gibt es auch keine bunte Klickoberfläche, alles muss (wie früher) über die Kommandozeile (Terminal) eingerichtet werden, alle Infos musst du dir mit den richtigen Befehlen selber verschaffen, nix Grafik, viel Text, zum Teil auch kryptische Angaben. Vorteil: du kannst über ssh sicher auf andere Rechner in potentiell unsicheren Netzwerkumgebungen zugreifen. Da du aber idR daheim bist, wenn du am NAS rumschraubst und dein NAS vermutlich auch, fällt diese Anwendung meist weg. Aber auch im "sichereren" Heimnetzwerk gibt es Szenarien, die sie auf der Kommandozeile besser oder auch ausschließlich konfigurieren lassen.
So kannst du etwa bestimmte Protokolle einsehen, du kannst zB Konfigurationsseinstellungen einsehen (die über die GUI nicht zu sehen sind) oder auch bestimmte Befehle absetzen, die über GUI nicht gehen.
Auch dient ssh als Grundlage für Dateiprotokolle, etwa SFTP (statt FTP).
Ich hatte bereits einige Fälle, wo ich nur noch via ssh auf einen Client kam. Hier lassen sich kleinere Fehler meist wieder ausmerzen.
 
  • Like
Reaktionen: Gump


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat