Ständige Anmeldeversuche am DSM

[EDvonSchleck]

Warum werden die nicht geblockt? Der Log sagt doch nur aus wie und wer es versucht hat. Nicht mehr und nicht weniger. Diese geblockten Adressen sollten denn entsprechen der Einstellung in der Liste auftauchen bis der eingestellte Zeitraum abläuft.

 

[Lexington]

Und genau das passiert irgendwie nicht. Seit ich meine 920+ in Betrieb habe, habe ich nicht eine blockierte IP in der Liste. Bei meiner alten Syno ist diese Liste stetig gewachsen. Die Einstellungen sind identisch, ich verstehe es nicht

 

[EDvonSchleck]

Nutzt du immer noch die Standardports oder hast du diese geändert?

 

[Lexington]

Nutze bisher noch die Standardports.

Und die Meldung in der Email meldet ja:
"Es gab 3 fehlgeschlagene Anmeldeversuche von nicht vertrauenswürdigen Geräten bei Ihrem Konto [admin] auf Synology innerhalb der letzten 1 Minuten"

Und genau das legt man ja in der DS fest, das bei solchen Aktionen die IP geblockt wird und in der Liste erscheinen sollte. Oder verstehe ich da was falsch?

 

[EDvonSchleck]

Das musst du in den Einstellungen so festlegen wie auch die Blockzeit!

 

[Benares]

@Lexington, poste doch einfach mal einen Screenshot von dem, was du hier

eingestellt hast.

Edit: Wieso bin ich immer zu langsam

 

[EDvonSchleck]

Da ist nichts anderes eingestellt. Ist deine Blockliste komplett leer oder fehlen ein paar Einträge?

 

[Benares]

Du warst einfach schneller

 

[Lexington]

Habe die Blockierliste eingeschaltet, bei 3 Anmeldeversuchen innerhalb von 3 Minuten.
Trotzdem werden diese nicht in die Liste aufgenommen . Hmmmm hab keine Idee was da fehlt.

 

[geimist]

alles klar, danke dir ! ich hab die Ablaufzeit im Skript gerade auf permanent (=0) angepasst. Ich schaue mal ob jetzt die IPs, die vom NAS selbstständig blockiert wurden, durch das Skript nicht wieder entfernt werden.

Schande über mich
Ich habe gerade gesehen, dass die dauerhafte Blockierung (mittels des Wertes 0) gar nicht implementiert ist. Ich hab das Skript dahingehend ergänzt. Sorry - komisch, dass das die letzten Jahre niemanden aufgefallen war.

Wenn du alle bisherigen IPs auf dauerhaft umstellen möchtest, kannst du das (einmalig) mit diesem Befehl tun (als root):

sqlite3 /etc/synoautoblock.db "UPDATE AutoBlockIP SET ExpireTime='0' "

Bitte bedenke, dass die DB mit der Zeit ziemlich groß werden kann

 

[Lexington]

Die Blockierliste sollte aber doch auch ohne Script funktionieren, also nur mit Bordmitteln, zumindest war das bei mir bisher so.

 

[geimist]

Ja, das Skript dient nur dem präventiven Befüllen.
(Mein Post war ja auch nicht auf dein Problem gemünzt)

 

[EDvonSchleck]

Jup, Das Script arbeitet sozusagen im voraus, bevor die Diskstation tätig werden muss. Das heißt aber nicht da noch andere IPs bei dir geblockt werden.

 

[Lexington]

Hmmm ich glaube für heute muss ich passen und mich dem Problem nochmal widmen, da weiterhin keine Einträge in die Blockierliste eingetragen werden

 

[Benares]

Musst ja nicht warten, bis wirklich einer angreift. Kannst ja auch probieren, dich mit falschem Passwort mal selber auszusperren

C:\>ssh admin@ds415
admin@ds415's password:
Permission denied, please try again.
admin@ds415's password:
Permission denied, please try again.
admin@ds415's password:
admin@ds415: Permission denied (publickey,password).

C:\>ssh admin@ds415
admin@ds415's password:
Permission denied, please try again.
admin@ds415's password:
Permission denied, please try again.
admin@ds415's password:
admin@ds415: Permission denied (publickey,password).

C:\>

usw.usw.

Mit geänderter IP (oder von einem anderen PC aus) kannst du die Sperre dann ja wieder löschen.

 

[Lexington]

Habe ich schon probiert. Wenn ich mich mit Namen und falschem Passwort anzumelden versuche, dann werde ich nach 3 erfolglosen Versuchen gesperrt und die IP Adresse wird in die Liste korrekt eingetragen. Melde ich mich mit Admin (der im übrigen von mir deaktiviert wurde) und Passwort an, bekomme ich die Meldung das das Konto deaktiviert wurde. Sollte nicht dennoch diese IP Adresse in die Blockierliste eingetragen werden?
Genau das ist mein Problem bzw. meine Frage.

 

[Benares]

Gute Frage! Könnte sein, dass die Blockierung mit deaktivierten Konten nicht richtig umgeht. Ich würde da auch erwarten, dass die IP trotzdem gesperrt wird. Könnte man aber testen, indem man einfach mal einen neuen (Admin-?)User anlegt, den deaktiviert, und dann nochmal testet.

 

[Gaba90]

Schande über mich
Ich habe gerade gesehen, dass die dauerhafte Blockierung (mittels des Wertes 0) gar nicht implementiert ist. Ich hab das Skript dahingehend ergänzt. Sorry - komisch, dass das die letzten Jahre niemanden aufgefallen war.

Wenn du alle bisherigen IPs auf dauerhaft umstellen möchtest, kannst du das (einmalig) mit diesem Befehl tun (als root):

sqlite3 /etc/synoautoblock.db "UPDATE AutoBlockIP SET ExpireTime='0' "

Bitte bedenke, dass die DB mit der Zeit ziemlich groß werden kann

das hat jetzt perfekt funktioniert, danke fürs Update. Wie groß "darf" sie denn werden, so in etwa als Richtwert, weißt du das?

Edit: mal kurz gecheckt, aktuell ist sie rund 2,4 MB groß. denke da wäre noch Luft, ich beobachte das über ein paar Wochen

Edit2: aber gleich mal eine zusätzliche Frage um der möglichen ausufernden DB entgegenzuwirken: kann man ins Skript die Abfrage nach der zu importierenden Länderliste einbauen? Bei mir wäre eh alles außerhalb Deutschlands geblockt.

 

[geimist]

Irgendwo hatte mal jemand diesbezüglich bei Synology nachgefragt. Die Antwort war, dass die Größe lediglich durch die Partitionsgröße begrenzt ist. Bedenke: Es handelt sich hier um die Systempartition, die limitiert ist.

Ich persönlich sehe auch keinen großen Nutzen, IPs dauerhaft zu blockieren. Ich denke, dass die für die Bots nach ein paar Tagen/Wochen verbrannt sind und eh neue genutzt werden.

Ob ich eine Geoverifizierung mal einbaue, muss ich mir erst mal angucken.

 

[MattCB]

Habe die Blockierliste eingeschaltet, bei 3 Anmeldeversuchen innerhalb von 3 Minuten.
Trotzdem werden diese nicht in die Liste aufgenommen . Hmmmm hab keine Idee was da fehlt.

3 Versuche in 3 Minuten halte ich für zu kurz. Die Bots heutzutage sind nicht doof. Wenn die abgewiesen werden, versuchen sie es nicht gleich wieder. Die warten eine gewisse Zeit und versuchen es später erneut. Ich habe bei mir 3 Versuche innerhalb einer Stunde eingestellt. Da ich aber die DSM-Ports auf andere Ports gelegt habe, habe ich keine "Angriffsversuche" mehr von außen.