SSH aktivieren lassen?

w00dcu11er

Benutzer
Sehr erfahren
Mitglied seit
16. Sep 2022
Beiträge
863
Punkte für Reaktionen
298
Punkte
89
Heydo!

Nur des Interesse halber die Frage: lässt ihr die SSH-Funktion in DS dauerhaft an, um ein Hintertürchen im Notfall (zB DSM nicht erreichbar Verbund-Probleme etc.) zu haben?
SSH dauerhaft anlassen birgt ja gewisses Risiko, das man auch abwägen soll. Aber wenn man SSH nur im Bedarfsfall aktiviert, kann es vorkommen, dass im Notfall diese praktische Funktion nicht verfügbar ist.

Ich selbst lass es dauerhaft an, mit einer anderen Port (5stellig im hohen Bereich), die sonst nirgends vorkommt Hui oder Pfui?
Wie handhabt ihr das?
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.149
Punkte für Reaktionen
737
Punkte
154
Da sprichst du eigentlich schon den wichtigsten Grund an.

Ich hab das ständig aktiv, allerdings läuft die Anmeldung nicht über Passwort sondern über Schlüssel. Damit vermeidet man auf jeden Fall z.B. Brute Force-Attacken aufs Passwort.

Außerdem sollte man SSH natürlich nur im heimischen Netz öffnen, extern sollte der Zugriff z.B. nur über VPN erfolgen. Du kannst SSH sogar so weit einschränken, dass der Zugriff nur über bestimmte IPs möglich ist. Oder nur, wenn der User Mitglied bestimmter Gruppen ist.

Es gibt jedenfalls genug Möglichkeiten, das sicher genug zu betreiben.
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.206
Punkte für Reaktionen
520
Punkte
184

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
623
Punkte
174
Ich selbst lass es dauerhaft an, mit einer anderen Port (5stellig im hohen Bereich), die sonst nirgends vorkommt Hui oder Pfui?
Wie handhabt ihr das?
Genau so hab ich das auch.
Noch viel wichtiger ist, dabei auch keinen Port auf dem Router aufmachen.
Wenn schon von unterwegs, dann nur per VPN.
 

w00dcu11er

Benutzer
Sehr erfahren
Mitglied seit
16. Sep 2022
Beiträge
863
Punkte für Reaktionen
298
Punkte
89
Ok, gut zu wissen! Danke für eure Rückmeldungen! :)
Die von @Adama aufgeführten Maßnahmen sind in der Tat wichtg und mir teils nicht bekannt. Muss ich mir da mal näher anschauen! Danke dir an dieser Stelle!
 
  • Like
Reaktionen: Adama

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.636
Punkte für Reaktionen
5.812
Punkte
524
SSH an, aber von aussen nicht erreichbar.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
dito, hat mir schon manches Mal den A. gerettet.
 
  • Like
Reaktionen: ctrlaltdelete

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.636
Punkte für Reaktionen
5.812
Punkte
524
Genau darum geht es, wenn die DS hängt, bzw. über die WebGui nicht mehr erreichbar ist, hilft oft der SSH Zugriff.
Und mit einem vernünftigen Passwort des Admin Users oder mit einem Schlüssel ist das ganze INTERN auch sicher. Extern per port forwarding würde ich es nie freigeben.
 
  • Like
Reaktionen: Tommes

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.206
Punkte für Reaktionen
520
Punkte
184
Ich hab bei mir SSH deaktiviert und wird händisch aktiviert, wenn ich über Terminal "mal" muss, das Deaktivieren natürlich dann ebenso.
WG-VPN ist auf allen Clienten eingerichtet, Pass ist 22 Zeichen lang (kann man klaglos gerne auf 50 erhöhen o_O), was aber kann man ggf. noch zur Sicherheit machen, um da halt ruhiger schlafen zu können?
Man liest hier immer wieder aktuell, dass da nach "ssh aktiviert?" gefragt wird, wenn man irgendwie nicht auf "normalem" Wege in den DSM kommt.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.636
Punkte für Reaktionen
5.812
Punkte
524
Ich würde SSH aktiviert lassen. Port ändern, keine Portweiterleitung im Router, Blocklist automatisch updaten, ggf. Firewall.
 
  • Like
Reaktionen: Tommes und wegomyway

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Nachdem ich in den letzten Jahren sehr viele Schnittmengen mit Linux-Sytemen hatte, ist für mich ein aktiver SSH-Dienst essenziell geworden, zumindest solange wir von einem nicht öffentlich zugänglichen SSH-Zugang reden. Von daher kann ich jedem nur empfehlen, sich einen SSH-Tunnel zu seinen Systemen offen zu halten. Gerne auch mittels Public Key Authentifizierung und/oder weiterer Sicherheitsmaßnahmen, die @ctrlaltdelete bereits erwähnt hat. Grade bei einer DS erleben wir alle hier ja öfter, das die Systempartition vollgelaufen ist, welche kann dann nur mit einem aktiven SSH-Dienst säubern kann. Wenn man sich in diesen Momenten nicht mehr am DSM anmelden kann, hat man ein echtes Problem. Da hilft dann notfalls nur ein doppelter Reset am Gehäuse. Auch gilt SSH als DER Einstiegspunkt eines jedem Administrators.
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.206
Punkte für Reaktionen
520
Punkte
184
Dann werd’ ich mich da doch mal einlesen. Die Gründe sind ja allgegenwärtig hier zu lesen und wenn man nur einmal diesen Zugang wg. dem GAU braucht, hat sich das gerechnet.
 
  • Like
Reaktionen: Tommes

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.636
Punkte für Reaktionen
5.812
Punkte
524

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.487
Punkte für Reaktionen
3.512
Punkte
344
ist für mich ein aktiver SSH-Dienst essenziell geworden, zumindest solange wir von einem nicht öffentlich zugänglichen SSH-Zugang reden
Siehst Du wieder alles richtig gesagt. Dein Kompetenzgrad liegt sehr hoch 😉😂

Genau so wie Du es gesagt hast, weil bei mir alles Dicht ist lasse ich SSH auch auf allen DS bei mir offen, Port geändert und gut ist es.
 
  • Like
Reaktionen: *kw* und wegomyway

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.206
Punkte für Reaktionen
520
Punkte
184
@ctrlaltdelete , die Blocklist hab ich schon ne Weile drin (y), trotzdem, lieber einmal mehr als zu wenig. Vor allem, kannst ja nicht wissen.
NICHT öffentlicher SSH-Zugang ? Mittels WG-VPN ist dann ok?
Oder wie muss ich das verstehen?
Denn, so meine Gedanken, wenn der GAU eintritt werd ich wohl nicht auf Malle sitzen und irgendwas retten wollen. Sondern @-Home im heimischen Gefilde. Da wäre der VPN ja nicht nötig.
Einzigst 443 in der Fritte ist open.
Firewall im DSM ist aktiviert. Dort Sicherheit - Schutz kann man IP-Adressen zulassen. Sinnvoll ? Aktuell ja mein Dualboot-Book und mein WiN-Book. Die da rein und zulassen?
Es gibt wieder mal gefühlt Millionen von Seiten. Da ist genug für die Sache vorhanden.
Ich geh jetzt :sleep:, muss morgen früh raus, it's Opa-Time für die kommenden Tage. Den kleinen hat es erwischt mit Rotze und der leidet ganz schön.
Daher wird es nur ab späten Nachmittag weitergehen. Bitte um Verständnis.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.636
Punkte für Reaktionen
5.812
Punkte
524
Nicht öffentlich, meint keine Portweiterleitung vom Router auf SSH.
Wire Guard, perfekt.
DS Firewall nutze ih nicht.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
@Benie Mein Chef behauptet immer, das Kompetenz das Ergebnis aus Wissen mal Erfahrung ist. Wissen ist aber immer relativ, jedoch konnte ich über die Jahre zumindest einige Erfahrungen sammeln. Ob sich diese Erfahrungen am Ende auf die breite Masse projizieren lassen, sei mal dahingestellt. Aber vielen Dank für deine netten Worte.

Mein Setup zuhause beinhaltet u.a. eine pfSense Firewall über die ich meine (wenigen) internen Netzwerke von einander separiere und mittels diverser Filter (pfBlocker sowie GeoIP) und Regeln bereits im Vorfeld absicher. Ein OpenVPN Zugang rundet das ganze zusätzlich ab um mich von extern nach Hause zu verbinden. In meinem eigenen LAN fühle ich mich daher eigentlich relativ sicher, weshalb ich, wie @ctrlaltdelete auch, die DS Firewall nicht aktiviert habe. Ich fühle mich mittlerweile so sicher, das ich mir ein Script geschrieben habe, welches mir auf jedem infrage kommenden System automatisch eigene SSH-Schlüsselpaare erstellt und mir alle Public Keys weiterer interner Client in die authorized_keys schreibt. Ob das klug und richtig ist, wage ich mal zu bezweifeln. Auch das man mir deshalb Kompetenz bescheinigen kann, stelle ich mal infrage. Ich würde das eher Faulheit nennen 🤣
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.487
Punkte für Reaktionen
3.512
Punkte
344
Zu Deinem Schlußgedanken musste ich lachen.
Mein Setup zuhause beinhaltet u.a. eine pfSense Firewall über die ich meine (wenigen) internen Netzwerke von einander separiere und mittels diverser Filter (pfBlocker sowie GeoIP) und Regeln bereits im Vorfeld absicher.
Aber wenn ich immer wieder mal Hiervon lese, werde ich immer zwar dezent aber aufrichtig Neidisch.
Ich bin nämlich zu Faul mich mit hiermit auseinander zu setzen 😂
Ich habe auch seit ich denken kann, wie Du und @ctrlaltdelete keine Firewall aktiv.
Allerdings, meine DSen sind von außen schon immer Dicht, only VPN / Wireguard kommt da in Frage.
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.206
Punkte für Reaktionen
520
Punkte
184
Port ändern, keine Portweiterleitung im Router, Blocklist automatisch updaten, ggf. Firewall.
Sodele @ctrlaltdelete & @Tommes & @Benie, der Kleine ist bei Mama abgegeben und nun kann ich mal gucken und lesen. Da komm ich bei euren letzten Postings leider nicht mehr mit 🤪
Port = krieg ich hin :)
Portweiterleitung = ich hab nur den 443er. Nix anderes. Ich hab Vaultwarden, Immich und Portainer und fertig. VPN ist auf den Clienten eingerichtet.
Blocklist = läuft
NAS Firewall = aktiv
Ich glaub @Tommes hat auf YT nen Video wo das Thema behandelt wird (irgendwie find ich das aktuelle Posting, gestern/heute, von ihm nicht). Ich geh mal suchen und versuch zu verstehen o_O und lesen.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Den SSH-Port würde ich nur intern nutzen und nicht nach extern mittels Portweiterleitung freigeben. Wenn von extern, dann halt über VPN. Ich persönlich belasse den Port auf dem Standardport 22, aber das kann ja jeder machen wie er will. Auch verwende ich dabei i.d.R. eine Public Key Authentifikation, wie in diesem Video beschrieben
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat