Cloud Station owncloud 8.1.2 auf synology Ds213j absichern

Status
Für weitere Antworten geschlossen.

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Hallo folks,

ich hierhin als Forum Rookie, aber der NAS wegen nicht zum gänzlichen Anfänger.

Die Owncloud dient bei mir als Alternative zu jeglichen Cloud Lösungen -auch Germany, Europa or Switzerland - zum trotz (auch der Verschlüsselung und NSA unabhängig ), so dass ich die Daten beibehalten möchte.

Ich lege nicht alles ins Internet, also die Festplatte mit den für mich sensiblen Daten wird es nur als physikalisches Medium geben.
Dennoch braucht man das ein oder andere mal Fotos oder Dokumente, die man teilen oder zeigen möchte.
Dazu möchte ich die Owncloud ein wenig schwieriger für Hacker machen.

.htaccess kann man in den Webordner legen und gewisse IPs freigeben oder die Portweiterleitung in der FW anpassen oder gar Webdienste gänzlich aussen vor lassen.
Gleichwohl das Passwort verstärken mit einem guten "Random" und Benutzerregeln anpassen, nicht jeder darf alles ;-)
https ist natürlich gesetzt und ein "trusted ssl cert" importiert.

Jetzt möchte ich noch die fail2ban einbauen, da ich noch nicht herausgefunden habe, ob die Loggingfunktion in der DS213j unter Systemsteuerung -> Sicherheit Bruteforce Angriffe mit verschiedenen IPs blockiert.
ipkg habe ich bereits installiert, um zumindest an die fail2ban Quellen zu kommen, aber ich weiss nicht wie ich das Produkt auf der DS installiere.
Welche Linux Derivat Installation soll ich für fail2ban nutzen?
Wie stelle ich die IP Restriktionen für das Log ein?
Hat jemand bereits Erfahrungen gemacht? Schwierig?Aufwendig?Pflege umfangreich?


Zitat fail2ban wiki:
"Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc). "
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Für fail2ban brauchst Du ipkg nicht. Man kann sich das Archiv hier herunterladen, auf der DS entpacken und normal installieren. Im Archiv gibt's auch ein Readme dazu. Ich habe mir für den Dienst dann ein Startskript angelegt und mit entsprechenden Anpassungen alle nicht bereits von der Autoblock-Funktion des DSM abgedeckten Dienste des Webservers eingebunden (Roundcube, ownCloud, Humhub, WordPress,...).
Entweder missverstehe ich dich oder Auto Block ist doch genau das was du dir wünschst: Synology Auto Block - Help
Die wirkt nicht auf alle Dienste unter dem Webserver, bspw. 3rdParty-Pakete wie Roundcube, owncloud usw. Welche Dienste das DSM erfasst, siehst Du auch direkt im Hinweis unter dem Link, den Du gepostet hast.
 

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
amarthius:
Automatische Blockierung in der Synology habe ich aktiviert, aber genügt das auch als Schutz für die owncloud?
 

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Danke Frogman...habe ich überlesen:
"Die wirkt nicht auf alle Dienste unter dem Webserver, bspw. 3rdParty-Pakete wie Roundcube, owncloud usw. Welche Dienste das DSM erfasst, siehst Du auch direkt im Hinweis unter dem Link, den Du gepostet hast. "

Startscript? Du meinst einen cron in der crontab eintragen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Nein, ich habe dafür ein Startskript in /usr/local/etc/rc.d abgelegt (kann ich bei Gelegenheit hier posten). Damit wird der fail2ban-Dienst bei Systemstart gestartet und beim Herunterfahren beendet.
 

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Gefunden:
/usr/local/etc/rc.d für eigene Scripte...Danke!
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.732
Punkte für Reaktionen
1.637
Punkte
314
Für fail2ban brauchst Du ipkg nicht. Man kann sich das Archiv hier herunterladen...

Bezugnehmend auf diese Disskussion... läuft fail2ban auf der DS denn tatsächlich so, wie es soll, oder gibt es irgendwelche Einschränkungen, Probleme oder Hürden, die man meistern muss? Überlebt fail2ban dann auch ein Firmwareupdate?

Tommes
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Die Dateien werden unter /usr/local/ in einem lib-Ordner von Python abgelegt, die Konfig in /etc/fail2ban/ (ist aber auch anpassbar) und die ausführbaren Skripte kann Du eigentlich auch dort hinlegen, wo sie nicht angefasst werden. Sollte also beständig sein.
Ansonsten läuft das bei mir seit einiger Zeit problemlos, sehr ressourcenschonend und unauffällig. Einzige Hürde mit der aktuellsten Version 0.9.3 war (in der sich einige Sachen gegenüber dem 0.8er-Zweig geändert haben), dass man bei einem frischen Start händisch einen Ordner unter /var/run für das Socket- und PID-File anlegen muss (hier habe ich etwas länger gebraucht, bis ich das gemerkt hatte), was ich einfach ins Startskript gelegt habe. Dazu dann noch eine Einbindung ins Logrotate und die entsprechenden Einträge in eine jail.local (wobei ich - um Konflikte mit der DSM-Firewall zu vermeiden - jetzt auf die banaction route gewechselt bin statt iptables-Einträgen). Nutzt man iptables, muss man berücksichtigen, dass das DSM nur den blocktype DROP unterstützt, wurde ja auch irgendwo schon geschrieben, was man pauschal in eine iptables-common.local schreiben sollte.
Beim ownCloud-Filter muss man noch aufpassen, ob man Version 7 oder 8.x fährt, die unterscheiden sich leicht.
 
Zuletzt bearbeitet:

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.732
Punkte für Reaktionen
1.637
Punkte
314
Dank dir für deine Ausführungen, Frogman. Das klingt ja sehr interessant und schreit eigentlich nach einem Eintrag ins hiesige Wiki *winkmitdemzaunpfahl*

Denn ich bin ehrlich. Ich glaub das dafür meine Linuxkenntnisse noch nicht weit genug reichen um das so umzusetzen. Anderseits benötige ich fail2ban auf der DS wiederum garnicht, da ich es bereits erfolgreich auf meinem Webserver-Pi einsetze, um zum einen den Apachen selbst, aber auch die Loginmasken von ownCloud und WordPress abzusichern, was auch erschreckend gut funktioniert. Natürlich greift fail2ban hierbei in iptables ein, was mir aber entgegen kommt, da ich so alle Firewall-Regeln an einem Ort wiederfinde.

Nichts desto trotz halte ich die Option, fail2ban auf die DS zu bringen für sehr interessant. Und wer weiß... bald ist ja schon wieder Weihnachten... und da könnt es ja vielleicht sein, das mein Webserver (mal wieder) auf eine DS verlagert wird, da was neues unterm Baum liegt... *räusper* Wer weiß, wer weiß...

Tommes
 

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Hi Frogman,
ich bin noch nicht so weit wie Du ;-)
Du nutzt banaction statt iptables als Paketfilter und trägst es in die jail.con ein? Sicherer?
Wo wurde das blocktype drop der DSM denn beschrieben?
Logrotate in die jail.conf max 5MB unter gleichen Namen wie bei einer catalina out logrptate?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Du nutzt banaction statt iptables als Paketfilter und trägst es in die jail.con ein?
Nein - 'banaction' definiert das, was passiert, wenn der Filter anschlägt. Die Standardaktion ist ein iptables-Befehl, der einen oder mehrere Ports blockiert (indem die Pakete über DROP ignoriert werden - REJECT gibt es auf der DS nicht, findet man bspw. hier). Darauf basiert auch die DSM-Firewall... und um hier keine Konflikte zu erzeugen (was bei dem einen oder anderen schon berichtet wurde), nutze ich stattdessen die route-Aktion.
 

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
In der Jail.conf steht:
[DEFAULT]
banaction = route

In der route.conf habe ich die actionban angepasst

Das ist mein erster Standardfilter aus den Vorlagen in meiner fail2ban.conf
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp] -> wo würde ich hierbei die route.conf berücksichtigen statt IPTables?
logpath = /var/log/auth.log
maxretry = 5

Danke nochmals!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Deine persönlichen Anpassungen solltest Du besser nicht in den eigentlichen conf-Dateien machen, sondern in den darin eingebundenen Anpassungsdateien. Hier also nicht in jail.conf, sondern in einer Datei jail.local oder separaten conf-Dateien im Ordner jail.d (diese werden dann eingebunden und alle Eintragungen darin überschreiben die Standards aus der jail.conf).
In einer jail.local könnte also stehen:
Code:
[owncloud]
enabled = true
port = http,https
logpath = /[I]Pfad_zum_oc-Data-Verzeichnis[/I]/owncloud.log
maxretry = 5
findtime = 600
bantime = 3600
banaction = route
Die letzte Zeile mit der banaction kannst Du weglassen, wenn Du diese bereits als Standard in der jail.conf stehen hast.

EDIT:
Die fail2ban.conf fasst Du eigentlich dafür gar nicht an - das sind Konfigs für fail2ban selbst. Anpassungen dann auch besser in eine fail2ban.local.
 
Zuletzt bearbeitet:

hansolo_33

Benutzer
Mitglied seit
09. Jul 2014
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Ah noch ein letztes Thema, oder lieber in einem anderen Thread?
SSH wollte ich zur fail2ban Absicherung mit Privat und Pub Key absichern ...siehe auch
Dazu gibt es einen wunderbaren http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern. Ich habe es ganu so abgesichert, aber jedemal wenn ich mich einlogge, juckt es dem ssh daemon wenig, ob ich den Private Key in der Putty Session benutze oder nicht. Im /var/log/messages steht:
Dec 1 21:39:25 CombatBackNAS kernel: [538271.323082] init: sshd respawning too fast, stopped
Dec 1 21:40:04 CombatBackNAS entry.cgi_SYNO.Core.Package.Server[1].check[14832]: pkgcurltool.cpp:261 Failed to curl perform, code=7, err=Error

Kommt Euch das beknnt vor? SSH habeich mehrmal restartet...soll ich die DS durchstarten?
Danke nochmals....//...die Macht sein mit Euch
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Ich würde den Thread gerne aus den unendlichen weiten des www wieder etwas in den Vordergrund rücken.
Auch ich habe da Bedarf, stehe aber auf einer Linie wie @Tommes. Sprich meine Erfahrungen mit Linux/Konsole sind noch ausbaufähig. :cool:
Die Installation von Fail2Ban würde ich vielleicht noch gebacken bekommen, aber dann hörts schon auf.

Als Anwendungen im /web liegen nextcloud, phpMyAdmin, FengOffice, Rainloop und osticketsystem.

Diese Anwendungen hätte ich schon gerne etwas sicherer gewusst. So ist ja Brutforce möglich. Finde es gelinde gesagt etwas schwach, daß Synology keinen weitreichenden Schutz einbaut, der das gesamte /web überwacht und notfalls blockiert.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Möchte mich @rednag anschliessen.
Wünschenswert wäre hier mal eine komplette Installations- und Konfigurationsanleitung von fail2ban.
Man findet hier überall ein paar Brocken aber leider nichts, wo aus einer Hand mal eine auch für einen nicht-Pinguin nachvollziehbare Anleitung kommt.
Vielleicht erbarmt sich ja mal der ein oder Andere und es entsteht evtl auch aus einer Diskussion der Anwender ein derartiger Konfigurationsvorschlag.
Dieser sollte dann aber nicht hier stattfinden sondern, da dort besser auffindbar, in diesem Thread: http://www.synology-forum.de/showthread.html?69841-fail2ban-installieren
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Mmmhhh. kein großes Interesse vorhanden. :(
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat