PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : DSM mit .htaccess schützen



Mexx
01.07.2009, 18:42
falls dies überhaupt jemanden interessiert, wie man seinen DSM Zugang und somit Filestation, Downloadstation usw. zusätzlich schützen kann hätte ich da einen Vorschlag.

Den mich stört schon ewig das der DSM so ungeschützt sein Login Fenster präsentiert und es keine Autosperre gibt bei mehrmaliger falsch Anmeldung vor allem wegen brute force attacken muss man sich doch so seine Gedanken machen.

Daher habe ich nun einen ganz einfachen Weg gefunden, der sehr wirksam ist, ich habe einfach eine .htacces Datei in das Verzeichnis


/usr/syno/synoman/webman/modules kopiert

in meiner .htaccess habe ich nur eingetragen das von bestimmten ip´s auf das Loginfenster zugegriffen werden darf (also mein LAN Netz Zuhause und von der Arbeit die IP range)


order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit


Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.

itari
02.07.2009, 08:02
Schöner Beitrag. :)

Vielleicht kannst ja unseren Wiki-Beitrag zu diesem Thema (http://www.synology-wiki.de/index.php/3rd_Party_Applications_absichern) um dies hier ergänzen. Dann findet man es auch immer wieder.

Danke schon mal

Itari

Mexx
02.07.2009, 10:24
oki, habs ins wiki eingetragen. hoffe es passt so, war mein erster Eintrag im wiki

itari
02.07.2009, 11:10
Das ist ok so ... :) und wenn es jemanden nicht passt, dann kann er es ja an einen andere Stelle kopieren. ;)

Itari

MaCoM
08.10.2010, 18:19
Klappt leider bei DSM 3.0 nicht mehr so einfach :-(

weiss zufällig jemand wie es bei 3.0 geht ?

jahlives
08.10.2010, 19:32
order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit
Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.
Du weisst schon dass das nicht funzen sollte? ;)
Es wäre wenn schon


order allow,deny
allow from 10.0.0.
deny from all
Wenn du zuerst deny all machst dann sollte der Apache nicht mehr zum folgenden allow gehen.

MaCoM
09.10.2010, 09:44
@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.

jahlives
09.10.2010, 12:35
@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.
Mit diesem Code hat ich es ned versucht. Ich habe nur aus meinem bisherigen Verständnis des Apache und seiner Config darauf aufmerksam machen wollen, dass imho der Code nicht das machen wird was erwartet wird.
Mein DSM ist aus dem Internet her nicht erreichbar drum brauche ich das ned. Und wenn ich von aussen auf den DSM will, dann öffne ich einen VPN Tunnel (z.B. OpenVPN oder IPSec.).
Für meine Webseiten blockiere ich jedoch bestimmte Länder IP Blöcke mittels .htaccess.
Habs gerade mal getestet und wie erwartet komme ich bei


Order deny,allow
deny from all
allow from 192.168.

nicht mehr auf den Webserver (mit einer Client IP 192.168.254.6).

Gruss

tobi

MaCoM
09.10.2010, 15:46
Oha dann haben wir wohl an einander vorbei geredet.
ich setzt ja auch .htacces datein auf dem webserver ein und die klappen alle.

ich versuch nur den DSM von aussen zusätzlich mit einer passwortabfrage zu schützen.


AuthUserFile /usr/syno/synoman/webman/modules/.htpasswd
AuthGroupFile /dev/null
AuthName "DSM 3.0"
AuthType Basic
require valid-user

Order deny,allow
Allow from 192.168.0. #Heimnetz
Deny from all

und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.

jahlives
09.10.2010, 16:25
afaik sollte sich das .htpasswd file nicht im zu schützenden Verzeichnis befinden

itari
09.10.2010, 16:46
... und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.

Die DSM-Verzeichnisstruktur hat sich mir der Version 3.0 geändert. Probiere mal eine Ebene höher.

Itari

MaCoM
09.10.2010, 18:53
unter /usr/syno/synoman/webman/.htaccess klappt leider auch nicht.

frage am rande - wo wäre denn die beste position (verzeichniss) für die .htpasswd in diesem fall ?

Wessix
14.10.2010, 15:45
hallo,
hab ein Problem, das dem hier ähneln könnte, und es auch im entsprechenden thread gepostet, hier wurde aber in jüngerer Zeit etwas geschrieben, sodass ich hier etwas mehr hoffnung habe, dass jemand mir helfen kann:

http://www.synology-forum.de/showthread.html?p=122522#post122522

hier hab ich mein Problem beschrieben.

Vielen Dank für Hilfe

MaCoM
14.10.2010, 19:26
Ok lange probiert und nun klappt es auch mit DSM 3.0 unter "/usr/syno/synoman/webman/.htaccess" datei.

ich hatte ein zeichen fehler in der .htaccess datei darum hat er sie wohl komplettt ignoriert.

eyjo
30.11.2010, 16:37
wie erstelle ich den die .htaccess datei?

jahlives
30.11.2010, 16:44
wie erstelle ich den die .htaccess datei?
Mit einem Editor deiner Wahl. vi ist z.B. schon auf der DS vorhanden oder du installierst dir ipkg install nano

eyjo
30.11.2010, 16:57
Code:

Order deny,allow
deny from all
allow from 192.168.

Ist ja der hier und dann in dieses Verzeichnis

"/usr/syno/synoman/webman/.htaccess"

Welche IP sperre ich den dann alle die mit 192.168. anfangen? Wie kann ich den nur meine Erlauben?

jahlives
03.12.2010, 09:03
Order deny,allow
deny from all
allow from 192.168.
Wenn du Order deny,allow machst und einen deny from all drin hast, dann wird der folgenden allow niemals ausgewertet.
Ich würde es genau umkehren:


Order allow,deny
allow from 192.168.
deny from all

eyjo
03.12.2010, 21:04
Verstehe ich das jetzt richtig wenn ich

Code:

Order allow,deny
allow from 192.168.
deny from all



das so mache wir die 192.168. io`s gespert oder offen sein?

Dümmster Anzunehmender
28.03.2014, 14:16
Das klappt mit DSM 5 nun gar nicht mehr so, siehe http://www.synology-wiki.de/index.php/3rd_Party_Applications_absichern

ssdnvv
29.12.2015, 02:04
Ich weiß, das ist mal wieder Leichenschändung, aber es passt hier rein:
Ich würde gerne mittels htaccess verhindern, dass das roundcube-Modul unter
https//mein.IP:webstation-Port/mail
aufgerufen werden kann. Hintergrund ist, dass ich das webmail-Plugin nur wegen seiner fetchmail-Fähigkeit verwende. Ich greife auf den E-Mail-Server über Thunderbird per IMAP zu.
Über den Webserver nutze ich folgende Elemente:
^/dokuwiki/
^/owncloud/
Über den root-Server nutze ich weiterhin die audiostation.

Wie muss ich die Datei aufsetzen? Das folgende hat leider nicht geklappt:

RewriteEngine On
RewriteRule ^/mail/$ https://meine.IP:webstation-port

ssdnvv
11.01.2016, 23:13
Knock knock.
Keiner eine Ahnung, wie man hier vorgehen muss?