NFS gehackt ?

[theking]

Hallo Zusammen,

Also ich hab heute auf einer unserer CS406 was sehr unschönes gefunden:
Berechtigung NFS nur interne IP RW.

Information 2009/06/17 10:47:44 guest Windows client [guest] from [LARISA(IP:195.64.148.96)] accessed the shared folder YY
Information 2009/06/14 22:11:09 guest Windows client [guest] from [FVN-DESKTOP(IP:195.64.148.215)] accessed the shared folder YY
Information 2009/06/12 05:56:21 guest Windows client [guest] from [JM-HTPC(IP:195.64.148.208)] accessed the shared folder YY
Information 2009/06/12 12:12:21 guest Windows client [guest] from [PASA(IP:88.238.92.79)] accessed the shared folder YY

und so weiter und so fort...

und da hat's dann 1000 Files und Ordner auf Russisch drin...

übel übel.. scheint als ob NFS Berechtigungen von dieser Syno nicht sauber sind !!!

Und dass sind überigens keine Internen IP's!
--> CS406 Firmware DSM 2.0-0722

 

[itari]

Lässt du denn über den Router auf den NFS-Server deiner CS zugreifen (Port 2049)?

Wie sieht denn deine Datei: /etc/exports aus?

Die Attake scheint doch eher über smb zu erfolgen denn mit NFS - es ist doch sehr seltsam, dass jemand einen Windows-Client zum Zugriff auf NFS nimmt ...

Nur damit kein Missverständnis einen Streich spielt: NFS (Network File System) ungleich NTFS (Windows NT-File System)

Itari

 

[theking]

Port 2049 ist auf der Firewall offen (Wir brauchen es, weil wir ein zweites SubNetz haben welches (via andere Firewall) zugreiffen kann) --> müsste es dort halt noch ein bisschen einschränken dass nur diese dürfen... (ist aber trotzdem übel)
/etc/exports ist leer
Das mit dem WinClient ist mir auch durch den kopf gegangen - wobei SMB von der Firewall her eigentlich zu sein sollte (werde es aber sicher nochmals überprüfen..)

---
NTFS = NEW TECHNOLOGY FILE SYSTEM... (so ich Besserwisser... grins ;-) )

 

[theking]

Es ist mir noch in den Sinn gekommen dass wir die Berechtigung von SMB bei GUEST auf Kein Zugriff gesetzt haben... Also verhält entweder NFS oder Win Permission nicht...

 

[itari]

Wenn die /etc/exports leer ist, dann kommt niemand per NFS auf die DS! Es kann sich also nur um das SMB-Protokoll handeln (Samba).

NFS kann man nicht so per DS Manager via User-Permissions zumachen. Normalerweise kann man sich bei NFS nur anmelden, wenn man als Linux-User angelegt ist und zusätzlich ein paar Spielregeln einhält. Es gibt aber keine Einschränkungen pro User und pro Freigabe. Aber wie gesagt, ich vermute sowieso, dass nicht NFS sondern die SMB-Konfiguration das Problem ist.

Welche Zugriffe nun per SMB möglich sind oder nicht, ist recht komplex. Am besten testet man das immer aus, weil man gemeinhin mit der Logik von Permission so seine Verständnisprobleme hat (es ist meist anders als man denkt.) Für eine Gesamtbetrachtung der Zugriffsrecht ist es oft hilfreich sich die /usr/syno/etc/smb.conf auszudrucken.

Eine Bemerkung am Rande: Die DS ist so sicher oder so wenig sicher wie alle Systeme mit laufenden Netzwerk-Servern. Ich glaube nicht, dass irgendwer bei Synology da in den Programmen Schalter umgelegt hat, nur um dir oder uns das Leben schwer zu machen. Wenn also ein Hack in Samba oder NFS möglich ist, dann haben ihn alle, die in etwa die gleiche Version fahren.

Wenn es dir juckt, dann würde ich dir vorschlagen, dass du dich mit dem Synology-Support per Email in Verbindung setzt und dein System analysieren lässt. Im Falle einer falschen Konfiguration können sie es sofort richten und für den - zugegeben eher unwahrscheinlichen Fall - eines Hacks, wären sie dir sicherlich dankbar, auf die Spur gebracht zu werden.

Itari