Sicherheitsproblem? NAS mit Freigabe fürs www

**Schreibtroll** · 25.02.22, 13:07

Moin in die Runde...

Ich habe hier eine nette kleine NAS mit WebDAV und SFTP im www freigegeben. Im Router Portweiterleitung. Funktioniert alles astrein.

In den Routerprotokollen taucht der Zugriff auf die NAS von aussen her nicht auf. Was bedeutet das jetzt sicherheitstechnisch? Muss ich in der NAS jetzt die Firewall aktivieren oder was ist da angesagt?

**corresponder** · 25.02.22, 14:05

Die NAS bzw. die Dienste sollten, pakettechnisch, aktuell sein und deine Passwörter schön lang....
Wenn du was überwachen möchtest, lies dich in die Log-Möglichkeiten der NAS ein...

gruss

**Schreibtroll** · 25.02.22, 14:32

Hmmm - 10 Zeichn... Lang genug? 9876543210 abwechselnd groß und klein geschrieben??

Das ist eine ältere Synology. Das riecht nach ssh und cat /var/log/*... Ich habe da bisher auf der GUI nix belastbares gefunden.

Die Frage galt der hausinternen Firewall. Muss die sein? Oder reicht die FW der Fritte trotzdem noch?

**Huhn Hur Tu** · 25.02.22, 14:49

Bei selbstverwalteten Services die man ins Internet exponiert gilt bei mir immer, Port auf etwas wenig interessantes wechseln, also SSH von 22 nach 666, damit sin 99 aller Skriptlogins weg. Dann noch ein Fail2Ban, damit sind Bruteforce Angriffe auch weg.

**Schreibtroll** · 25.02.22, 15:04

Moin auch...

Beides gemacht. 22 und 5001 ff ist auch nicht so mein Ding also wech damit. (0)815 und 666 sind auch immer so meine Freunde

Nach 3 Fehlversuchen wird die IP für 2 Tage gesperrt - reicht doch oder?

Also FW (ufw) überflüssig??

**corresponder** · 25.02.22, 16:33

naja, wenn wir alle 666 für ssh nehmen.....

;-P

ps. nehm ich auch schon immer....

**marce** · 25.02.22, 18:20

Zitat von Schreibtroll

Das ist eine ältere Synology.

Wie alt denn? Weil - wenn die "alt" ist braucht es keine 2 Versuche, um den darauf laufenden SSHD oder HTTPD zu knacken - und dann sind Deine Daten offen.

Da Du eh' nur die 2 Ports auf das Ding durchleitest - bringt Dir eine Firewall an der Stelle vermutlich nicht viel - außer Deine FB kann sowas wie DMZ, dass man, wenn man auf dem NAS drauf ist nicht direkt im internen Netz alles offen vor sich hat.

**craano** · 26.02.22, 10:21

Zitat von Huhn Hur Tu

Bei selbstverwalteten Services die man ins Internet exponiert gilt bei mir immer, Port auf etwas wenig interessantes wechseln, also SSH von 22 nach 666, damit sin 99 aller Skriptlogins weg. Dann noch ein Fail2Ban, damit sind Bruteforce Angriffe auch weg.

Moinsen,
ich habe jetzt seit einigen Jahren die Erfahrung gemacht, dass Server die ausschließlich über IPv6 erreichbar sind, praktisch nicht von Skriplogin Versuchen betroffen sind. Mal sehen wie lange es noch dauert, bis die Skripte angepasst sind.
Vielleich ist auch einfach der riesige Adressraum der Grund, dass kleine private Boxen einfach nicht gefunden werden.

HG
craano

**Schreibtroll** · 26.02.22, 10:27

Hi marce,
es ist eine 115j aus 2017 mit allen verfügbaren Updates...

Sie ist ja schön Windows-like und einfach zu konfigurieren. Aber irgendwie hat man da was vergessen. In den Protokollen (GUI) kann ich sehen, was installiert/deinstalliert/updated wurde aber nicht ein einziges Login.

Login per ssh: schreibtroll (gehöre zur Gruppe Administrator) bin nicht befugt, mir syslog.log anzusehen. Permission denied - basta.
Login per ssh: admin (mit laut Beschreibung leerem PW) kann sich nicht einloggen - PW incorrect - pls try again.

Was soll das denn werden??

marce - meine persönlichen Daten liegen auf einer NAS, die generell Stubenarrest hat. Also insofern...

**corresponder** · 26.02.22, 10:33

mal mit sudo versuchen?

**Schreibtroll** · 26.02.22, 11:04

wow - grazie!!!

Hmmmm - aber wo und in welchem Protokoll sind die Logins?

Code:

/var/log$ ls
apparmor.log                disk-latency         esynoscheduler.log  rm.log              surveillance              synologydrive.log  sysnotify.log
audio_debug_msg             disk.log             fsck                router.log          synocmsclient.log         synophoto.log      upstart
AudioStation-pgbouncer.log  disk_overview.xml    healthtest          rsync.error         synocontentextractd.log   synopkg.log        VideoStation-pgbouncer.log
auth.log                    diskprediction       iscsi.log           rsync_signal.error  synocrond-execute.log     synopoweroff.log   webdav
bash_err.log                dmesg                kern.log            samba               synocrond.log             synoscheduler.log
bash_history.log            dms.log              messages            scemd.log           synofeasibilitycheck.log  synoservice.log
checker.log                 downloadstation.log  nginx               selfcheck           SynoFinder                synotifyd.log
datascrubbing.log           dpkg.log             packages            smart_extend_log    synoindex.log             synoupdate.log
DeviceBusyList              dpkg_upgrade.log     postgresql.log      sssd                synolog                   syslog.log

**craano** · 26.02.22, 12:01

Zitat von Schreibtroll

wow - grazie!!!

Hmmmm - aber wo und in welchem Protokoll sind die Logins?

Code:

/var/log$ ls
apparmor.log                disk-latency         esynoscheduler.log  rm.log              surveillance              synologydrive.log  sysnotify.log
audio_debug_msg             disk.log             fsck                router.log          synocmsclient.log         synophoto.log      upstart
AudioStation-pgbouncer.log  disk_overview.xml    healthtest          rsync.error         synocontentextractd.log   synopkg.log        VideoStation-pgbouncer.log
auth.log                    diskprediction       iscsi.log           rsync_signal.error  synocrond-execute.log     synopoweroff.log   webdav
bash_err.log                dmesg                kern.log            samba               synocrond.log             synoscheduler.log
bash_history.log            dms.log              messages            scemd.log           synofeasibilitycheck.log  synoservice.log
checker.log                 downloadstation.log  nginx               selfcheck           SynoFinder                synotifyd.log
datascrubbing.log           dpkg.log             packages            smart_extend_log    synoindex.log             synoupdate.log
DeviceBusyList              dpkg_upgrade.log     postgresql.log      sssd                synolog                   syslog.log

Code:

# cat /var/log/auth.Log

**corresponder** · 26.02.22, 12:40

Code:

/var/log$ tail -f *.log

dann eingrenzen....

;-)

**Schreibtroll** · 26.02.22, 13:29

@craano: den habe ich auch gefunden. OK - ist clean...

@corresponder: und aufhübschen:

Code:

/var/log$ tail -f *.log >> ~/Datenordner/logs.txt

Dann kann man ihn genüsslich verschmatzen oder??

Danke an Euch!

**Schreibtroll** · 27.02.22, 17:24

Anschliessende Frage....

In auth.log werden ja nur logins protokolliert - wo werden (wenn überhaupt!) die Möchtegern-Panzerknacker-Aktivitäten aufgezeichnet??

Dann würde ich darauf ein Script loslassen wollen - der Rest ist doch langweilig...