SSH aktivieren lassen?

[w00dcu11er]

Heydo!

Nur des Interesse halber die Frage: lässt ihr die SSH-Funktion in DS dauerhaft an, um ein Hintertürchen im Notfall (zB DSM nicht erreichbar Verbund-Probleme etc.) zu haben?
SSH dauerhaft anlassen birgt ja gewisses Risiko, das man auch abwägen soll. Aber wenn man SSH nur im Bedarfsfall aktiviert, kann es vorkommen, dass im Notfall diese praktische Funktion nicht verfügbar ist.

Ich selbst lass es dauerhaft an, mit einer anderen Port (5stellig im hohen Bereich), die sonst nirgends vorkommt Hui oder Pfui?
Wie handhabt ihr das?

 

[Adama]

Da sprichst du eigentlich schon den wichtigsten Grund an.

Ich hab das ständig aktiv, allerdings läuft die Anmeldung nicht über Passwort sondern über Schlüssel. Damit vermeidet man auf jeden Fall z.B. Brute Force-Attacken aufs Passwort.

Außerdem sollte man SSH natürlich nur im heimischen Netz öffnen, extern sollte der Zugriff z.B. nur über VPN erfolgen. Du kannst SSH sogar so weit einschränken, dass der Zugriff nur über bestimmte IPs möglich ist. Oder nur, wenn der User Mitglied bestimmter Gruppen ist.

Es gibt jedenfalls genug Möglichkeiten, das sicher genug zu betreiben.

 

[wegomyway]

AUS
Hier lesbares

 

[AndiHeitzer]

Ich selbst lass es dauerhaft an, mit einer anderen Port (5stellig im hohen Bereich), die sonst nirgends vorkommt Hui oder Pfui?
Wie handhabt ihr das?

Genau so hab ich das auch.
Noch viel wichtiger ist, dabei auch keinen Port auf dem Router aufmachen.
Wenn schon von unterwegs, dann nur per VPN.

 

[w00dcu11er]

Ok, gut zu wissen! Danke für eure Rückmeldungen!
Die von @Adama aufgeführten Maßnahmen sind in der Tat wichtg und mir teils nicht bekannt. Muss ich mir da mal näher anschauen! Danke dir an dieser Stelle!

 

[ctrlaltdelete]

SSH an, aber von aussen nicht erreichbar.

 

[Benares]

dito, hat mir schon manches Mal den A. gerettet.

 

[ctrlaltdelete]

Genau darum geht es, wenn die DS hängt, bzw. über die WebGui nicht mehr erreichbar ist, hilft oft der SSH Zugriff.
Und mit einem vernünftigen Passwort des Admin Users oder mit einem Schlüssel ist das ganze INTERN auch sicher. Extern per port forwarding würde ich es nie freigeben.

 

[wegomyway]

Ich hab bei mir SSH deaktiviert und wird händisch aktiviert, wenn ich über Terminal "mal" muss, das Deaktivieren natürlich dann ebenso.
WG-VPN ist auf allen Clienten eingerichtet, Pass ist 22 Zeichen lang (kann man klaglos gerne auf 50 erhöhen ), was aber kann man ggf. noch zur Sicherheit machen, um da halt ruhiger schlafen zu können?
Man liest hier immer wieder aktuell, dass da nach "ssh aktiviert?" gefragt wird, wenn man irgendwie nicht auf "normalem" Wege in den DSM kommt.

 

[ctrlaltdelete]

Ich würde SSH aktiviert lassen. Port ändern, keine Portweiterleitung im Router, Blocklist automatisch updaten, ggf. Firewall.

 

[Tommes]

Nachdem ich in den letzten Jahren sehr viele Schnittmengen mit Linux-Sytemen hatte, ist für mich ein aktiver SSH-Dienst essenziell geworden, zumindest solange wir von einem nicht öffentlich zugänglichen SSH-Zugang reden. Von daher kann ich jedem nur empfehlen, sich einen SSH-Tunnel zu seinen Systemen offen zu halten. Gerne auch mittels Public Key Authentifizierung und/oder weiterer Sicherheitsmaßnahmen, die @ctrlaltdelete bereits erwähnt hat. Grade bei einer DS erleben wir alle hier ja öfter, das die Systempartition vollgelaufen ist, welche kann dann nur mit einem aktiven SSH-Dienst säubern kann. Wenn man sich in diesen Momenten nicht mehr am DSM anmelden kann, hat man ein echtes Problem. Da hilft dann notfalls nur ein doppelter Reset am Gehäuse. Auch gilt SSH als DER Einstiegspunkt eines jedem Administrators.

 

[wegomyway]

Dann werd’ ich mich da doch mal einlesen. Die Gründe sind ja allgegenwärtig hier zu lesen und wenn man nur einmal diesen Zugang wg. dem GAU braucht, hat sich das gerechnet.

 

[ctrlaltdelete]

Schau mal hier:
https://github.com/geimist/Update_Blocklist/

 

[Benie]

ist für mich ein aktiver SSH-Dienst essenziell geworden, zumindest solange wir von einem nicht öffentlich zugänglichen SSH-Zugang reden

Siehst Du wieder alles richtig gesagt. Dein Kompetenzgrad liegt sehr hoch

Genau so wie Du es gesagt hast, weil bei mir alles Dicht ist lasse ich SSH auch auf allen DS bei mir offen, Port geändert und gut ist es.

 

[wegomyway]

@ctrlaltdelete , die Blocklist hab ich schon ne Weile drin , trotzdem, lieber einmal mehr als zu wenig. Vor allem, kannst ja nicht wissen.
NICHT öffentlicher SSH-Zugang ? Mittels WG-VPN ist dann ok?
Oder wie muss ich das verstehen?
Denn, so meine Gedanken, wenn der GAU eintritt werd ich wohl nicht auf Malle sitzen und irgendwas retten wollen. Sondern @-Home im heimischen Gefilde. Da wäre der VPN ja nicht nötig.
Einzigst 443 in der Fritte ist open.
Firewall im DSM ist aktiviert. Dort Sicherheit - Schutz kann man IP-Adressen zulassen. Sinnvoll ? Aktuell ja mein Dualboot-Book und mein WiN-Book. Die da rein und zulassen?
Es gibt wieder mal gefühlt Millionen von Seiten. Da ist genug für die Sache vorhanden.
Ich geh jetzt , muss morgen früh raus, it's Opa-Time für die kommenden Tage. Den kleinen hat es erwischt mit Rotze und der leidet ganz schön.
Daher wird es nur ab späten Nachmittag weitergehen. Bitte um Verständnis.

 

[ctrlaltdelete]

Nicht öffentlich, meint keine Portweiterleitung vom Router auf SSH.
Wire Guard, perfekt.
DS Firewall nutze ih nicht.

 

[Tommes]

@Benie Mein Chef behauptet immer, das Kompetenz das Ergebnis aus Wissen mal Erfahrung ist. Wissen ist aber immer relativ, jedoch konnte ich über die Jahre zumindest einige Erfahrungen sammeln. Ob sich diese Erfahrungen am Ende auf die breite Masse projizieren lassen, sei mal dahingestellt. Aber vielen Dank für deine netten Worte.

Mein Setup zuhause beinhaltet u.a. eine pfSense Firewall über die ich meine (wenigen) internen Netzwerke von einander separiere und mittels diverser Filter (pfBlocker sowie GeoIP) und Regeln bereits im Vorfeld absicher. Ein OpenVPN Zugang rundet das ganze zusätzlich ab um mich von extern nach Hause zu verbinden. In meinem eigenen LAN fühle ich mich daher eigentlich relativ sicher, weshalb ich, wie @ctrlaltdelete auch, die DS Firewall nicht aktiviert habe. Ich fühle mich mittlerweile so sicher, das ich mir ein Script geschrieben habe, welches mir auf jedem infrage kommenden System automatisch eigene SSH-Schlüsselpaare erstellt und mir alle Public Keys weiterer interner Client in die authorized_keys schreibt. Ob das klug und richtig ist, wage ich mal zu bezweifeln. Auch das man mir deshalb Kompetenz bescheinigen kann, stelle ich mal infrage. Ich würde das eher Faulheit nennen

 

[Benie]

Zu Deinem Schlußgedanken musste ich lachen.

Mein Setup zuhause beinhaltet u.a. eine pfSense Firewall über die ich meine (wenigen) internen Netzwerke von einander separiere und mittels diverser Filter (pfBlocker sowie GeoIP) und Regeln bereits im Vorfeld absicher.

Aber wenn ich immer wieder mal Hiervon lese, werde ich immer zwar dezent aber aufrichtig Neidisch.
Ich bin nämlich zu Faul mich mit hiermit auseinander zu setzen
Ich habe auch seit ich denken kann, wie Du und @ctrlaltdelete keine Firewall aktiv.
Allerdings, meine DSen sind von außen schon immer Dicht, only VPN / Wireguard kommt da in Frage.

 

[wegomyway]

Port ändern, keine Portweiterleitung im Router, Blocklist automatisch updaten, ggf. Firewall.

Sodele @ctrlaltdelete & @Tommes & @Benie, der Kleine ist bei Mama abgegeben und nun kann ich mal gucken und lesen. Da komm ich bei euren letzten Postings leider nicht mehr mit
Port = krieg ich hin
Portweiterleitung = ich hab nur den 443er. Nix anderes. Ich hab Vaultwarden, Immich und Portainer und fertig. VPN ist auf den Clienten eingerichtet.
Blocklist = läuft
NAS Firewall = aktiv
Ich glaub @Tommes hat auf YT nen Video wo das Thema behandelt wird (irgendwie find ich das aktuelle Posting, gestern/heute, von ihm nicht). Ich geh mal suchen und versuch zu verstehen und lesen.

 

[Tommes]

Den SSH-Port würde ich nur intern nutzen und nicht nach extern mittels Portweiterleitung freigeben. Wenn von extern, dann halt über VPN. Ich persönlich belasse den Port auf dem Standardport 22, aber das kann ja jeder machen wie er will. Auch verwende ich dabei i.d.R. eine Public Key Authentifikation, wie in diesem Video beschrieben