SSH-Dienst aktivieren oder nicht

[Frank73]

Hallo zusammen,

ich nutze meine NAS derzeit im Wesentlich als "zentraler" Datenspeicher, auf welcher all unsere Daten liegen und diese über ein entsprechendes Rechtekonzept den einzelnen Familienmitglieder zugänglich sind.

Zugriff von außerhalb ist (noch) nicht eingerichtet und soll erstmal auch so bleiben. Intern sieht es so aus, dass nur die per LAN angeschlossenen Geräte (PC, NB) auf die NAS zugreifen können, während der WLAN-Verkehr (inkl. Gäste-WLAN) an der NAS "vorbeigeht".

Auf der NAS ist der SSH-Dienst deaktivert, da ich keinen regelmäßgen Bedarf habe über ein Terminal darauf zuzugreifen.

Beim Duchstöbern dieses Forums sind mir mehrere Beiträge aufgefallen, wo u. a. mitgeteilt wurde, dass bei der Durchführunge eines Update die Systempartition voll ist und somit dieses auch nicht ausgeführt werden kann.

Einige User sind dadurch nicht mehr über das Web-Interface auf die NAS gekommen und haben dann über SSH die Systempartition "gesäubert", oder teilweise sogar einen Rebbot durchgeführt.

Aus diesem Grund aktiviere ich ab und an auf der NAS SSH, logge mich mit PuTTY ein und schaue mir die Größenangaben/ -verteilung der Systempartition an; passt alles, deaktiviere ich SSH wieder.



Meine Fragen dazu:
1) Ist es sinnvoll SSH dauerhaft als "Backdoor" für solche Fälle aktiviert zu lassen?
2) Mache ich mir da bei meiner derzeitigen Konstellation eine Sicherheitslücke auf?

Vielen Dank für Eure Ausführungen.

Gruss
Frank

 

[Puppetmaster]

Mein SSH ist immer geöffnet. Vorraussetzung sollte natürlich ein starkes Passwort sein.

Da deine DS ja auch von aussen nicht erreichbar ist, sehe ich keinen Grund SSH immer wieder zu deaktivieren.
Passwort für admin/root sollte nur gut gewählt werden. Schließlich kann ja auch jeder, der als admin Zugriff auf den DSM bekommt sich SSH dann notfalls selbst aktivieren.

 

[tproko]

Bei mir ist es auch aktiviert.
Starkes Passwort und nicht Standardport 22.

Es wurde hier schon oft angemerkt, dass es oftmals Situationen gab, wo per SSH zumindest noch Daten geredet oder gewisse Dinge noch repariert werden konnten, welche übers GUI nicht mehr möglich waren. Wenn dann SSH nicht aktiviert ist, ist das natürlich schlecht. Also ich habs aktiviert, aber nur für intern. Bin aber auch regelmäßig per SSH auf meinem NAS

 

[peterhoffmann]

SSH ist bei mir auch immer an, aber nicht nach außen verknüpft.

Dein Problem mit der volllaufenden Systempartition ist eher selten. Du könntest dir auch ein kleines Script schreiben, welches regelmäßig über den Aufgabenplaner aufgerufen wird und den freien Speicherplatz prüft, sowie mailt, wenn es eng wird.

Ich werfe dafür mal die Abfrage in den Raum:

df | grep 'dev/md0' | awk '{print $4}'

oder für Prozent:

df | grep 'dev/md0' | awk '{print $5}'

Das mit einer if-Abfrage kombiniert, sowie einer Reaktion (Piepen, Mailen, Blinken der LEDs, oder Datei anlegen, usw.) und schon braucht man nicht mehr dauernd nachzuschauen.

 

[blurrrr]

Ohne SSH geht mal garnicht Allerdings - wie schon oben erwähnt - ein starkes Passwort (oder besser Login mit SSH-Key) und fail2ban dürfte schon sein

 

[Frank73]

Danke für eure bisherigen Ausführungen.

Mein SSH ist immer geöffnet. Vorraussetzung sollte natürlich ein starkes Passwort sein.

Passwort für admin/root sollte nur gut gewählt werden. Schließlich kann ja auch jeder, der als admin Zugriff auf den DSM bekommt sich SSH dann notfalls selbst aktivieren.

Dass sich jeder mit einem schwachen Admin-PW Zugriff auf den DSM verschaffen kann und sich dann selbst SSH akivieren kann, war mir zwar klar, habs aber irgendwie ausgeblendet.
Habe deswegen mein Passwort nochmals "überarbeitet" zum großen Bedauern meiner Frau.

Bei mir ist es auch aktiviert.
Starkes Passwort und nicht Standardport 22.

Passwort "überarbeitet".
Welchen Port kann/sollte man dafür verwenden? Im DSM kann man max. 5 Stellen vergeben. Muss man nicht darauf achten, dass man nur Ports nimmt, welche nicht durch andere Anwendungen/Protokolle belegt sind?

Also ich habs aktiviert, aber nur für intern. )

Kann man das auf der NAS einstellen, dass SSH nur für intern verwendet werden kann? (Extern spielt bei mir derzeit keine Rolle, nur Interessenhalber).

Dein Problem mit der volllaufenden Systempartition ist eher selten.

Bei mir ist die Systempartition nicht voll. Habe es nur aus diversen Einträgen schon gelesen und solch einem Fall, nicht mehr über das Web-Interface auf die NAS zu kommen, möchte ich vorbeugen.

 

[Puppetmaster]

Habe deswegen mein Passwort nochmals "überarbeitet" zum großen Bedauern meiner Frau.

Hm, kann ich daraus schließen, dass deine Frau mit einem admin Account arbeitet? Wenn ja, ist das vermutlich nicht sinnvoll...

 

[TeXniXo]

Welchen Port kann/sollte man dafür verwenden? Im DSM kann man max. 5 Stellen vergeben. Muss man nicht darauf achten, dass man nur Ports nimmt, welche nicht durch andere Anwendungen/Protokolle belegt sind?.

Generell ist der Port im Zahlenraum von 1 bis 65525 nach Belieben auszuwählen.
Um Überschneidungen mit anderen Ports (zumindest im Synology-Bereich) zu vermeiden, einfach nachsehen, welche Dienste welche Ports benötigen:
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

 

[tproko]

Hm, kann ich daraus schließen, dass deine Frau mit einem admin Account arbeitet? Wenn ja, ist das vermutlich nicht sinnvoll...

Die gleiche Frage hab ich mir auch gestellt.

@Frank73: deine Frau sollte einen eigenen Login/Benutzer haben. Da reicht idR. doch ein Standarduser inkl. Berechtigungen für Fotos/Videos/Filme etc.

 

[Frank73]

@ Puppetmaster
@ tproko

Mir läuft es gerade eiskalt den Rücken runter.

Ich hoffe euer Beitrag bezieht sich darauf, dass für Frauen normalerweise ein Standarduser reicht.

Wenn nicht, habe ich ein Problem, welches ich damals bei der Einrichtung der NAS so gar nicht bedacht habe.
Auf allen Windows-Rechner (ausser auf meinem) sind immer zwei User eingerichtet (ein Admin-User [nur für mich], und ein Standarduser [Kind]). Somit passiert auf diesen Geräten nichts ohne mein Wissen.

Auf meinem Win7-Rechner (nutzen meine Frau und ich gemeinsam) gibt es nur einen Administrator-Account mit Namen "XXXXXXX". Einen User mit solch einem Namen habe ich auf der NAS angelegt, welcher auch in der Gruppe "admininstrators" ist. Mit diesem User stelle ich die Netzwerkverbindung zw. NAS und Windows her.

Das bedeutet jetzt ja allerdings, dass ein Schadprogramm auf meinem Win7-Client mit den Admin-Rechten auf der NAS alles anstellen kann.
Bei den Kinder alles save; bei mir anscheinend alles unsave.

Da redet man darüber alles sicher und dicht zu machen, und dann hat man den Täter ja schon im Haus.

Wenn meine Befürchtungen wahr sind, werde ich in den nächsten Tagen mein Rechtekonzept komplett umstellen müssen.

@Edit: Auf der NAS direkt über die grafische Weboberfläche arbeiten wir alle nicht.

 

[dil88]

So schlimm ist es aber nicht vom Aufwand her. Richte für Deine Frau und Dich einen Account auf der DS und unter Win7 ein mit den Rechten, die man für den SMB-Zugriff braucht, das wars dann schon fast.

 

[tproko]

Ich hoffe euer Beitrag bezieht sich darauf, dass für Frauen normalerweise ein Standarduser reicht.

Nein, das wär ja total sexistisch
Der Admin darf alles, ob das jetzt eine Frau oder ein Mann ist, ist mir ziemlich egal.

Wie du es später schreibst, habe ich es bei uns eingerichtet. Sowohl meine Frau als auch ich verwenden bei Windows Rechnern oder den ganzen Handy/Tablett Apps je einen eigenen Benutzer mit Standardrechten.
Den Admin verwende ich für SSH und DSM Login.

Es ist jetzt auch nicht megaviel zum Umstellen, also kannst du dir das ja mal ansehen. Im Endeffekt liest es sich so, als ob du "nur" eure Admin-Benutzer auf euren PCs umbenennen musst und diesen neuen Benutzer legst du dann als Standarduser bei der Syno an.

 

[Frank73]

@dil88
@tproko

Vielen Dank für eure Hinweise und das Öffnen meiner Augen.
Habe heute Nacht auf meinen Windows-Rechnern je 2 User angelegt. Diese dann auch auf der NAS als Standarduser und in der Ordnerstruktur die ACLs entsprechend angepasst (war der gößte Aufwand) und das home entsprechend umkopiert. Hoffe ich habe da an alles gedacht.

Aber so wie es aussieht läuft's bisher.

Danke nochmals für die Hilfe.

Nochmals zum eigentlichen Thema dieses Threads:
Nachdem ich meinen Fauxpas korrigiert habe, werde ich SSH dauerhaft aktivieren. Einen entsprechenden Port suche ich mir Dank der Liste von TeXniXo noch raus.

Die Empfehlungen von blurrr setzte ich auf Grund mangelnder Kenntnisse in Linux mal noch nicht sofort um, sonst geht wieder was schief.

Gruss
Frank

 

[tproko]

Solange du nicht auf die Idee kommst, den SSH Port am Router freizugeben, sehe ich 2-Faktor Auth jetzt nicht als Must-have an

Wenn du jemals an sowas denken solltest, gibts eh nur eine vernünftige Variante. VPN einrichten und dann bist wieder im internen Netz.