Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Perfect Forward Secrecy - Synology DS?
- Ersteller Mike0185
- Erstellt am
- Status
Hallo Mike0185,
Bücher und Hardware zum Thema gibt es bei Amazon: Perfect Forward Secrecy - Synology DS?
Bücher und Hardware zum Thema gibt es bei Amazon: Perfect Forward Secrecy - Synology DS?
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Habe die selbe Version, hat aber leider nichts gebracht. Ich kann die Webstation nicht mehr aktivieren, bekomme beim aktivieren die Meldung "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen Sie es erneut". Leider ohne Erfolg 
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Reboot läuft gerade. Habe nur gezögert weil ja die Systmoberfläche auch Web-basiert ist und ich von meiner Syn ca. 780km entfernt bin.
Kannst Du bitte nachsehen welche Dateien sich bei Dir unter
/etc/httpd/conf
befinden?
Kannst Du bitte nachsehen welche Dateien sich bei Dir unter
/etc/httpd/conf
befinden?
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
@Waldschrat
Wenn Du tatsächlich das eingetragen hattest, was Du in #77 gepostet hast, dann gibt es auch Probleme - am Ende ist nämlich ein "SSLProtocol all -SSLv2" zu viel angehängt
Zu den conf-Dateien: die httpd.conf wird immer vom System selbst generiert, darin solltest Du nichts verändern - dafür sind andere Dateien da, bspw. die httpd.conf-user.
Wenn in Dateien, aus denen die httpd.conf generiert wird, ein Fehler ist, dann scheitert das und die Datei fehlt. Dann per SSH auf die Konsole, die Dateien korrigieren (in Deinem Fall also offenbar httpd-alt-port-ssl-setting.conf bzw. httpd-ssl.conf-common) und einen Neustart - dann wird die korrekte httpd.conf neu erzeugt und alles sollte laufen.
Wenn Du tatsächlich das eingetragen hattest, was Du in #77 gepostet hast, dann gibt es auch Probleme - am Ende ist nämlich ein "SSLProtocol all -SSLv2" zu viel angehängt
Zu den conf-Dateien: die httpd.conf wird immer vom System selbst generiert, darin solltest Du nichts verändern - dafür sind andere Dateien da, bspw. die httpd.conf-user.
Wenn in Dateien, aus denen die httpd.conf generiert wird, ein Fehler ist, dann scheitert das und die Datei fehlt. Dann per SSH auf die Konsole, die Dateien korrigieren (in Deinem Fall also offenbar httpd-alt-port-ssl-setting.conf bzw. httpd-ssl.conf-common) und einen Neustart - dann wird die korrekte httpd.conf neu erzeugt und alles sollte laufen.
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Hallo frogman.
Danke für Deinen Hinweis.
Als ich die Dateien httpd-alt-port-ssl-setting.conf und httpd-ssl.conf-common wieder zurückgebaut habe (nach Post #80) ist mir das auch aufgefallen.
Nach dem Zurückbau habe ich neu gestartet allerdings ohne den gewünschten Erfolg. Unter "/etc/httpd/conf" fehlt auch die vom System zu erzeugende "httpd.conf".
Danke für Deinen Hinweis.
Als ich die Dateien httpd-alt-port-ssl-setting.conf und httpd-ssl.conf-common wieder zurückgebaut habe (nach Post #80) ist mir das auch aufgefallen.
Nach dem Zurückbau habe ich neu gestartet allerdings ohne den gewünschten Erfolg. Unter "/etc/httpd/conf" fehlt auch die vom System zu erzeugende "httpd.conf".
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Du hast die Dateien mit einem Unix-tauglichen Editor bearbeitet (Notepad++ unter Windows) bzw. direkt in der Konsole?
Zugriffsrechte (644) und Besitzer/Gruppe (root/root) stimmen?
Zur Not kannst Du Dir die Dateien auch im Original aus der Firmware-Datei entpacken - das ist nichts weiter als ein Archiv, welches Du bspw. mit dem Universal Extractor problemlos entpacken kannst (einmal das Firmwarefile, darin ist dann eine hda1.tgz-Datei, die musst Du dann ebenfalls entpacken, dann findest Du eine Ordnerhierarchie, in der Du die Dateien findest).
Zugriffsrechte (644) und Besitzer/Gruppe (root/root) stimmen?
Zur Not kannst Du Dir die Dateien auch im Original aus der Firmware-Datei entpacken - das ist nichts weiter als ein Archiv, welches Du bspw. mit dem Universal Extractor problemlos entpacken kannst (einmal das Firmwarefile, darin ist dann eine hda1.tgz-Datei, die musst Du dann ebenfalls entpacken, dann findest Du eine Ordnerhierarchie, in der Du die Dateien findest).
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Als ich noch Zugriff hatte habe ich die Änderungen mit WebConsole ausgeführt (#file manager).
Alle Dateien unter /etc/httpd/conf/extra haben Besitzer/Gruppe (root/root), alle Rechte haben 644 (-rw-r--r--).
Den einzigen Unterschied zwischen #80 und meinen Dateien ist ein "#" vor SSLCertificateChainFile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt in meinen Dateien. Kann das das Problem sein?
Wo finde ich die Firmware-Datei? [edit: hier gefunden http://www.synology.com/de-de/support/download/DS213+]
Ein Restart des System Apache mittels "/usr/syno/etc/rc.d/S97apache-sys.sh restart" hat folgendes gebracht:
Auf den DSM habe ich trotzdem keinen Zugriff ...
[edit]
@frogman
Danke für den Hinweis mit der Firmwaredatei. Ich habe daraus das Verzeichnis "/etc/httpd/conf" komplett copiert (überschrieben).
Danach mit "/usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart" den Apache-Sys gestartet und
Hurra!
Ich kann den DSM wieder starten.
Als ich aber den "/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart" Apache-User starten wollte wurde mir mitgeteilt, dass
"ash: /usr/syno/etc.defaults/rc.d/S97apache-user.sh: not found"??
Wo bekomme ich die Datei her? Die liegt nicht in der Firmware-Datei
Alle Dateien unter /etc/httpd/conf/extra haben Besitzer/Gruppe (root/root), alle Rechte haben 644 (-rw-r--r--).
Den einzigen Unterschied zwischen #80 und meinen Dateien ist ein "#" vor SSLCertificateChainFile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt in meinen Dateien. Kann das das Problem sein?
Wo finde ich die Firmware-Datei? [edit: hier gefunden http://www.synology.com/de-de/support/download/DS213+]
Ein Restart des System Apache mittels "/usr/syno/etc/rc.d/S97apache-sys.sh restart" hat folgendes gebracht:
Rich (BBCode):
/usr/syno/etc/rc.d/S97apache-sys.sh: system httpd stopped
Start System Apache Server ..... -DSSL -f /etc/httpd/httpd.conf-sys
initctl: Job failed to start
initctl: Job failed to start
Recover to default setting
httpf-sys start/running, process 27014
/usr/syno/etc/rc.d/S97apache-sys.sh: system httpd started with default setting[edit]
@frogman
Danke für den Hinweis mit der Firmwaredatei. Ich habe daraus das Verzeichnis "/etc/httpd/conf" komplett copiert (überschrieben).
Danach mit "/usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart" den Apache-Sys gestartet und
Hurra!
Ich kann den DSM wieder starten.
Als ich aber den "/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart" Apache-User starten wollte wurde mir mitgeteilt, dass
"ash: /usr/syno/etc.defaults/rc.d/S97apache-user.sh: not found"??
Wo bekomme ich die Datei her? Die liegt nicht in der Firmware-Datei
Zuletzt bearbeitet:
QUALYS SSL LABS
Synology DS 111
A+ 100/100/100/90
https://www.ssllabs.com/ssltest/analyze.html?d=web.privat-server.net
Synology DS 111
A+ 100/100/100/90
https://www.ssllabs.com/ssltest/analyze.html?d=web.privat-server.net
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Die gibt's in der aktuellen DSM-5.0 nicht mehr - den User-Apache startest Du neu mit...Als ich aber den "/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart" Apache-User starten wollte wurde mir mitgeteilt, dass
"ash: /usr/syno/etc.defaults/rc.d/S97apache-user.sh: not found"??
Wo bekomme ich die Datei her? Die liegt nicht in der Firmware-Datei
Code:
/usr/syno/sbin/synoservicecfg --restart httpd-usernatürlich bekommst du ein A+ sobald Forward Secrecy und Strict Transport Security (HSTS) aktiviert sind;
aber ich habe noch keine Bewertung höher als meine gesehen.
und die alten Browser die damit nicht klar kommen; will ich eh nicht auf meiner DS sehen; du kannst ja mal mit einem IE8 die DSM 5 besuchen.
Die DS nutzt sehr viele Dienste.
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Es geht hier ja nicht nur um "hohe Bewertungen", sondern auch um Usability. Du schließt ja nicht nur den IE8 aus, sondern auch Firefox ESR und IE9/10, die sicherlich noch sehr verbreitet sind, sowie Android kleiner Kitkat. Solange Du alleine Deine DS von außen nutzt, ist das ja nett, aber bietest Du Dienste wie Photostation, WebDAV, Webmail usw. auch für andere an, halte ich Deine "Jagd" nach hohen Bewertungen für ziemlich übertrieben - zumal Du damit keinen wirklichen Sicherheitszuwachs generierst.
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Alles was Frogman gesagt hat + du kickst sogar die Suma-Spider raus. Wenn du also eine Webseite betreiben willst, wird die niemand bei Google finden. Beim Yandex Bot ist es mir auch egal, den lass ich auch nicht rein. Aber Bing und Google?
Zudem die Note alleine gibt nicht die ultimative Sicherheit. Mach doch gleich ein
dann bekommst du gar keine Note und hast mit Garantie eine höhere Sicherheit als mit JEDER Note bei ssllabs
Wichtige Info: probiert diese iptables lieber nicht
Zudem die Note alleine gibt nicht die ultimative Sicherheit. Mach doch gleich ein
Code:
iptables -I INPUT -m state --state NEW -j DROPWichtige Info: probiert diese iptables lieber nicht
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
@frogman
Danke für den Hinweis, damit habe ich den User-Teil vom Apache wieder zum Laufen gebracht.
Danke für den Hinweis, damit habe ich den User-Teil vom Apache wieder zum Laufen gebracht.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
