Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Donkeyman op 06 juni 2022, 11:28:15
-
Mijn Security Advisor adviseert mij om de standaardwaarde van de SSH-poort te wijzigen. Is het de bedoeling om een andere poort te kiezen, en zo ja, welke poort?
-
Bekende poorten worden door hackers benaderd/scanned, dus ja, wijzig deze naar bijvoorbeeld 2120.
-
Poort is gewijzigd naar 2120, thanks Birdy!
-
8)
-
Als je NAS niet aan "Internet" hangt met al z'n poorten hoef je niets aan te passen. En ik mag hopen dat je een NAS niet gewoon voor SSH direct aan Internet hangt vrij bereikbaar voor de hele wereld....
Die Security Advisor zijn van die standaard dingskes die niet altijd voor iedereen van toepassing zijn...
-
Ik heb mijn Nas gewoon aan het internet hangen, want ik gebruik DS file, DS audio, photos etc. en dat zou ik niet graag willen missen onderweg. Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd, wat kan ik nog meer doen?
-
Maar SSH poort 22 nu 2120 toch niet ?
-
Birdy, jij bedoelt dat mijn NAS nu gewoon veilig is?
-
Ik probeer uit te leggen, dat de SSH poort juist niet voor de buiten wereld moet openzetten, dus niet forwarden.
SSH is alleen bedoelt om in het OS (DSM) te komen via, bijvoorbeeld, PuTTY of WinSCP, gevaarlijk poortje dus.
Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd
Dat is perfect.
-
Birdy, ik heb SSH nu uitgeschakeld en kan gelukkig gewoon nog steeds gebruik maken van de mobiele DS progjes. Welke beperkingen zijn er nu SSH uitgeschakeld is?
-
SSH is alleen om in het OS te komen om dingen te kunnen doen, die je in de DSM interface niet kunt doen.
Hiervoor is Linux (DSM) kennis voor nodig.
Dus, voor een gewone gebruiker heeft het uitschakelen van SSH geen beperkingen.
-
Als ik zo een inschatting maak denk ik dat jij eerder een "gewone gebruiker" bent.
Door SSH af te zetten ga jij niets missen of beperkingen hebben.
Los daarvan, zolang jij TCP/22 op de router niet "forward" tot op de NAS is geen enkel probleem, ZELFS als SSH gewoon opstaat.
Indien je het IP van de NAS op je router in "DMZ" hebt staan (=ALL poorten geforward) is dat wel een aandachtsdingetje.
-
Bedankt mensen, weer wat geleerd. Ik heb verstand van veel zaken, maar ben helaas nergens expert in!
-
Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd
Dat is perfect.
Nog perfecter is om login alleen toe te staan via een SSH key. Dan is het onmogelijk om een username/password te kraken. Ik vind het vreemd dat Synology die optie niet biedt (maar je kunt hem handmatig aanzetten).
Overigens wordt er getwijfeld aan het nut van het wijzigen van de SSH poort. Natuurlijk begint de attacker met poort 22, maar het uitzoeken welke poorten toegankelijk zijn (een zg. portscan) is ook snel (en geautomatiseerd) uitgevoerd.
-
Nog perfecter is om login alleen toe te staan via een SSH key. Dan is het onmogelijk om een username/password te kraken. Ik vind het vreemd dat Synology die optie niet biedt (maar je kunt hem handmatig aanzetten).
Hier klopt iets niet. Wordt niet aangeboden maar kan wel handmatig aangezet worden!
Hoe kan je iets activeren dat er niet is?
Als het wel aangeboden wordt leg eens uit hoe te doen aub. JE kan niet veilig genoeg zijn :)
Jan
-
Als het wel aangeboden wordt leg eens uit hoe te doen aub. JE kan niet veilig genoeg zijn :)
Hoe meld ik me aan bij DSM met RSA-sleutelparen via SSH? (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_log_in_to_DSM_with_key_pairs_as_admin_or_root_permission_via_SSH_on_computers)
-
Dus het wordt WEL aangeboden. Wel niet standaard.
-
Het wordt niet aangeboden via de UI.
Handmatig is het editen van /etc/ssh/sshd_config, en in de regel
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no
de yes en no te verwisselen voor PasswordAuthentication. Dan in de UI, (control panel > terminal) ssh disabelen, apply, enabelen, apply.
Let op dat UI aanpassingen dat mogelijk (heb niet geprobeerd) overschrijven.
-
Hoe meld ik me aan bij DSM met RSA-sleutelparen via SSH? (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_log_in_to_DSM_with_key_pairs_as_admin_or_root_permission_via_SSH_on_computers)
Een duidelijke uitleg. Alleen werkt het niet en wordt er nog steeds een wachtwoord gevraagd. :P
(Ik heb alleen de methode voor administrator gevolgd)
-
Dit voegt het inloggen met keys toe aan de inlogmethoden. Een en ander is nogal kritisch (terecht). Zo moet de user administrator zijn, en directory .ssh moet permissies 0700 hebben, en het bestand .ssh/authorized_keys (let op de spelling!) moet permissie 0600 hebben. Als er nog steeds om een wachtwoord wordt gevraagd zijn de instellingen van de key niet goed.
Ook is het vaak een kunst om de keys aan putty mee te geven.
Als je (command line) `ssh -v` doet zie je wat er gebeurt. Wellicht dat putty ook zo'n optie heeft.
Wat ik beschreef is het inloggen met wachtwoorden onmogelijk maken, zodat er alleen met keys kan worden ingelogd.
-
Ik heb mijn Nas gewoon aan het internet hangen, want ik gebruik DS file, DS audio, photos etc. en dat zou ik niet graag willen missen onderweg. Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd, wat kan ik nog meer doen?
VPN gebruiken, dan hoef je maar één poort open te zetten (1194 voor OpenVPN) en ben je gewoon klaar.