DSM 6.x und darunter DSM mit .htaccess schützen

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
falls dies überhaupt jemanden interessiert, wie man seinen DSM Zugang und somit Filestation, Downloadstation usw. zusätzlich schützen kann hätte ich da einen Vorschlag.

Den mich stört schon ewig das der DSM so ungeschützt sein Login Fenster präsentiert und es keine Autosperre gibt bei mehrmaliger falsch Anmeldung vor allem wegen brute force attacken muss man sich doch so seine Gedanken machen.

Daher habe ich nun einen ganz einfachen Weg gefunden, der sehr wirksam ist, ich habe einfach eine .htacces Datei in das Verzeichnis

Rich (BBCode):
/usr/syno/synoman/webman/modules
kopiert

in meiner .htaccess habe ich nur eingetragen das von bestimmten ip´s auf das Loginfenster zugegriffen werden darf (also mein LAN Netz Zuhause und von der Arbeit die IP range)

Rich (BBCode):
order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit

Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Schöner Beitrag. :)

Vielleicht kannst ja unseren Wiki-Beitrag zu diesem Thema um dies hier ergänzen. Dann findet man es auch immer wieder.

Danke schon mal

Itari
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
oki, habs ins wiki eingetragen. hoffe es passt so, war mein erster Eintrag im wiki
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Das ist ok so ... :) und wenn es jemanden nicht passt, dann kann er es ja an einen andere Stelle kopieren. ;)

Itari
 

MaCoM

Benutzer
Mitglied seit
06. Dez 2009
Beiträge
347
Punkte für Reaktionen
0
Punkte
0
Klappt leider bei DSM 3.0 nicht mehr so einfach :-(

weiss zufällig jemand wie es bei 3.0 geht ?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Rich (BBCode):
order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit
Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.
Du weisst schon dass das nicht funzen sollte? ;)
Es wäre wenn schon
Code:
order allow,deny
allow from 10.0.0.
deny from all
Wenn du zuerst deny all machst dann sollte der Apache nicht mehr zum folgenden allow gehen.
 

MaCoM

Benutzer
Mitglied seit
06. Dez 2009
Beiträge
347
Punkte für Reaktionen
0
Punkte
0
@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.
Mit diesem Code hat ich es ned versucht. Ich habe nur aus meinem bisherigen Verständnis des Apache und seiner Config darauf aufmerksam machen wollen, dass imho der Code nicht das machen wird was erwartet wird.
Mein DSM ist aus dem Internet her nicht erreichbar drum brauche ich das ned. Und wenn ich von aussen auf den DSM will, dann öffne ich einen VPN Tunnel (z.B. OpenVPN oder IPSec.).
Für meine Webseiten blockiere ich jedoch bestimmte Länder IP Blöcke mittels .htaccess.
Habs gerade mal getestet und wie erwartet komme ich bei
Code:
Order deny,allow
deny from all
allow from 192.168.
nicht mehr auf den Webserver (mit einer Client IP 192.168.254.6).

Gruss

tobi
 

MaCoM

Benutzer
Mitglied seit
06. Dez 2009
Beiträge
347
Punkte für Reaktionen
0
Punkte
0
Oha dann haben wir wohl an einander vorbei geredet.
ich setzt ja auch .htacces datein auf dem webserver ein und die klappen alle.

ich versuch nur den DSM von aussen zusätzlich mit einer passwortabfrage zu schützen.

Rich (BBCode):
AuthUserFile /usr/syno/synoman/webman/modules/.htpasswd
AuthGroupFile /dev/null
AuthName "DSM 3.0"
AuthType Basic
require valid-user

Order deny,allow
Allow from 192.168.0. #Heimnetz
Deny from all

und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
afaik sollte sich das .htpasswd file nicht im zu schützenden Verzeichnis befinden
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
... und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.

Die DSM-Verzeichnisstruktur hat sich mir der Version 3.0 geändert. Probiere mal eine Ebene höher.

Itari
 

MaCoM

Benutzer
Mitglied seit
06. Dez 2009
Beiträge
347
Punkte für Reaktionen
0
Punkte
0
unter /usr/syno/synoman/webman/.htaccess klappt leider auch nicht.

frage am rande - wo wäre denn die beste position (verzeichniss) für die .htpasswd in diesem fall ?
 

Wessix

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
328
Punkte für Reaktionen
0
Punkte
22
ähnliche Problematik

hallo,
hab ein Problem, das dem hier ähneln könnte, und es auch im entsprechenden thread gepostet, hier wurde aber in jüngerer Zeit etwas geschrieben, sodass ich hier etwas mehr hoffnung habe, dass jemand mir helfen kann:

http://www.synology-forum.de/showthread.html?p=122522#post122522

hier hab ich mein Problem beschrieben.

Vielen Dank für Hilfe
 

MaCoM

Benutzer
Mitglied seit
06. Dez 2009
Beiträge
347
Punkte für Reaktionen
0
Punkte
0
Ok lange probiert und nun klappt es auch mit DSM 3.0 unter "/usr/syno/synoman/webman/.htaccess" datei.

ich hatte ein zeichen fehler in der .htaccess datei darum hat er sie wohl komplettt ignoriert.
 

eyjo

Benutzer
Mitglied seit
26. Nov 2010
Beiträge
123
Punkte für Reaktionen
0
Punkte
0
wie erstelle ich den die .htaccess datei?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

eyjo

Benutzer
Mitglied seit
26. Nov 2010
Beiträge
123
Punkte für Reaktionen
0
Punkte
0
Code:

Order deny,allow
deny from all
allow from 192.168.

Ist ja der hier und dann in dieses Verzeichnis

"/usr/syno/synoman/webman/.htaccess"

Welche IP sperre ich den dann alle die mit 192.168. anfangen? Wie kann ich den nur meine Erlauben?
 
Zuletzt bearbeitet:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Order deny,allow
deny from all
allow from 192.168.
Wenn du Order deny,allow machst und einen deny from all drin hast, dann wird der folgenden allow niemals ausgewertet.
Ich würde es genau umkehren:
Code:
Order allow,deny
allow from 192.168.
deny from all
 

eyjo

Benutzer
Mitglied seit
26. Nov 2010
Beiträge
123
Punkte für Reaktionen
0
Punkte
0
Verstehe ich das jetzt richtig wenn ich

Code:

Order allow,deny
allow from 192.168.
deny from all



das so mache wir die 192.168. io`s gespert oder offen sein?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat