SSH aktivieren lassen?

[wegomyway]

@Tommes, eben gefunden https://www.youtube.com/watch?v=VjoWjX_8E3Q, hab mal auf Abo gedrückt
Extern, wenn überhaupt, VPN. Aber wie ich denke, wenn solch GAU mal eintritt, sitzt man eh @Home im heimischen Netzwerk. Sicherheit muss halt sein. Keine Lust auf "lustiges" von nicht lieben Menschen.
Dann gucke ich nachher mal an.

 

[Tommes]

Aber wie ich denke, wenn solch GAU mal eintritt, sitzt man eh @Home

Ich habe mich schon oft per OpenVPN auf die Konsole meines NAS bzw. meines VirtualDSM aufgeschaltet, einfach um kurz etwas auszuprobieren, um z.B. jemanden in diesem Forum weiterhelfen zu können. Es muss also nicht immer der "Ernstfall" eintreten, um sich auf die Konsole zu begeben. Vieles kann ich zwar im Terminal meines Linux Mint System selbst erledigen, aber manches geht halt nur auf der DS, eben weil Synology da etwas speziell ist.

Auch können sich meine DS'en teilweise untereinander oder auch einseitig per SSH verbinden, um z.B. ein rsync oder SSH durchzuführen. Aber gut...

 

[Ulfhednir]

SSH ist bei mir standardmäßig aktiv. Warum? Wenn, warum auch immer, DSM nicht mehr aufrufbar sein sollte, habe ich hier ggf. die Option per Shell die Möglichkeit auf das NAS zuzugreifen. Im Nachgang wird das schwierig. Ich ziehe mal Parallelen zu meinem Android Phone, bei dem ich die Entwickleroptionen standardmäßig aktiviere.

SSH ist natürlich nach außen nicht erreichbar.

 

[w00dcu11er]

Ich verfahre genau so wie @Ulfhednir beschrieben hat.
Nur halt keine Standardport. Da hab ich dann ruhige Momente, wenn es mit den DS nicht hinhauen sollte.

 

[wegomyway]

@Tommes (spezieller Dank für Video & Tutorial und "Rest") & @Benie & @ctrlaltdelete & @AndiHeitzer & @w00dcu11er & @Adama & @Ulfhednir (puh, was für ein Aufwand Euch alle zu nennen ).
Dank Tommes seinem Video mit seinem Tutorial und Euren Tipps usw., hab ich es noch im Oktober am Halloween-Tag geschafft den SSH-Zugang nun einzurichten, nun ist er aktiv.
Im Video fast am Ende, was ein fehlender Buchstabe so "anrichten" kann. Natürlich schön nachgemacht, obwohl ich schon dachte "äh, warum jetzt plötzlich key wo sonst immer keys" . Video für mich gut erklärt, konnte alles soweit nachvollziehen und parallel dazu immer wieder das Tut angeguckt. Im ständigen Wechsel zu meinem Terminal war das ein heftiges "Fester-wechsel-dich-Spiel".
mich wirklich, dass das geklappt hat und ich jetzt einen Noteingang und NICHT Notausgang habe. Trotzdem hoffe ich das ich den nicht brauche
Gute Nacht und bis später, was könnte ich jetzt angehen? AdGuard Docker?

 

[metalworker]

SSH hast ist mir bei auch immer Aktiv.
Natürlich nicht freigegeben.

Ich hab bei in den OPnsense Firewalls auch immer eingestellt das SSH nicht übers VPN Geroutet wird.
Wenn SSH dann muss ich halt den Turnschuhadmin spielen.

 

[wegomyway]

Hab es ja auch schon geschrieben. Privater Anwender. Leider gab es ja hier nen aktuellen Fall "kleiner Reset" der nicht klappte und nur der "große" ging. Ohne Backup (hab ich als täglich/versioniert) und über Autopilot Fotos/Dokus/Music. Soweit zumindest "was habend". Hat der Gute "leiden" müssen und das Fazit wird sein "Backup haben". Aber ein, mein, Noteingang wenn nichts mehr über normalen Weg zur DSM geht, der fehlte. Nun isser da und hoffe das ich den nicht hat brauche. Vorsorgen ist besser als "Angstschweiß".

 

[Tommes]

Schön zu hören, das alles geklappt hat und das meine Lemminge Falle am Ende des Videos zugeschnappt hat

Im ständigen Wechsel zu meinem Terminal war das ein heftiges "Fester-wechsel-dich-Spiel"

Schon mal was von "Splitscreen" oder "Multimonitoring" gehört?

Ich hab bei in den OPnsense Firewalls auch immer eingestellt das SSH nicht übers VPN Geroutet wird.

Ich bastel auch grade wieder an meinen pfSense Regeln rum. Daher schau ich mal, ob das für mich auch ein gangbarer Weg wäre, wobei ich schon hin und wieder SSH over VPN nutze. Das wäre ja nur dann ein Problem, wenn sich jemand dein Laptop/Tablet/Smartphone or whatever unter den Nagel reißt und damit Unfug treibt. Oder was sind deine Gedanken dahinter? Sorry übrigens für das Offtopic, will das hier auch nicht breit treten.

 

[metalworker]

Genau wäre nur falls sich doch jemand in den VPN Tunnel ein hackt.

Aber vermutlich ist es eher für meinen Seelenfrieden ;

 

[Tommes]

Vermutlich ... kenn ich aber nur zu gut, bin ich doch selbst verdammt paranoid was das angeht.

 

[wegomyway]

Schon mal was von "Splitscreen" oder "Multimonitoring" gehört?

Kenn’ ich, auch davon gehört. Auf 14" Splitscreen, na dann nur mit Vergrößerungsglas
Daher fällt Multimonitoring auch weg.
Alles gut, es hat ja wirklich gut geklappt und auch sehr gut erklärt, teilweise hab ich ja nur gehört und nebenbei im Terminal geklimpert. Nennt man multitaskfähig Stichwort Lemminge dann mal "Grizzly und die Lemminge" schauen , unkaputtbar, unzerstörbar und am Ende ziehen beide Seiten immer die

 

[pfanntomas]

Bin auch gerade beim SSH Problem, bin aber reiner Anwender auf der DS und kein Linux oder Konsolenspezi.
Was sollte denn die Grundregel für einen "sicheren" Port sein? Und gibt es no go bei den Port Nummern, die man auf keinen Fall nutzen sollte? Benutze SSH nicht, möchte das aber aus Sicherheitsgründen zur System Wiederherstellung im Notfall offen haben.

 

[ctrlaltdelete]

Einfach einen ausserhalb des Standardports benutzen, ich habe es auf Port 44 gesetzt

 

[pfanntomas]

In diesem Thread sagte jemand, dass man auf jeden Fall einen hohen 5-stelligen Port nehmen sollte?

 

[Kachelkaiser]

Damit bist auf jeden Fall sehr weit außerhalb von Standardports. Hab das z.B. auch für mein DSM gemacht.

 

[wegomyway]

Ich hab auch 5stellig und "zufälligerweise" eine PLZ genommen. DIE aber hat nun ganz und garnichts mit Wohnort zu tun.
Wo der Synology-Support rauf musste, hab ich denen nen 5er SSH-Port gegeben. Nachdem DAS erledigt war, diesen umgehend geändert.
Man muss das nur "Wissen" wenn man drauf will, was man da eingetragen hat.

 

[Tommes]

Wikipedia hat die Portnummern sehr gut aufgeschlüsselt. Somit sollte man bestenfalls einen Port aus dem dynamischen Port-Bereich zwischen 49152 und 65535 hernehmen. Mir wurde mal gesagt, das Portscanner häufig nur die Ports zwischen 1 und 1023 sowie allgemein bekannte Ports wie z.B. 5000, 5001, 8080 etc. scannen. Ich persönlich belasse in meinem lokalen Netzwerk den Standard Port 22, da keines meiner Geräte vom Internet aus erreichbar ist und nach extern würde ich SSH sowieso nie freigeben, auch nicht auf einen hochgelegenen Port.

Ich hab auch 5stellig und "zufälligerweise" eine PLZ genommen.

Genauso mache ich das für Dienste, die ich nach extern freigeben möchte. Bietet sich auch an, da meine PLZ und die in meiner Umgebung alle mit einer 5 beginnen, daher kann man sich also gut merken.

 

[Kachelkaiser]

oder Geburtsdaten in der Familie klappen evtl auch