Sicherheit / 3rd Party Anwendungen über Paketmanagement

Status
Für weitere Antworten geschlossen.

kupferrafi

Benutzer
Mitglied seit
17. Mrz 2007
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
bisher habe ich 3rd Party Anwendungen immer manuell installiert.
Somit waren die PHP Anwendungen immer im Verzeichnis /volume1/usr/syno/synoman/phpsrc zu finden.
Auf die Anwendungen konnte man ungeschützt übers Internet zugreifen.
Zur Sicherheit habe ich also alle neuen Verzeichnisse verschoben und bei Bedarf wieder in phpsrc zurückkopiert.

Wie verhält sich das bei Anwendungen, welche über's Paketmanagement installiert wurden?
Diese liegen doch unter /volume1/@appstore/ , und da kann ich doch nicht von außen zugreifen. Demzufolge könnte ich sie installiert lassen.
Liege ich richtig, oder ist da auch was unsicher?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Diese liegen doch unter /volume1/@appstore/ , und da kann ich doch nicht von außen zugreifen. Demzufolge könnte ich sie installiert lassen.
Liege ich richtig, oder ist da auch was unsicher?
Wenn du nicht darauf zugreifen könntest, dann würde aber keine einzige 3rd Party Application laufen. Der Client muss darauf zugreifen können, sonst geht nichts.
Absichern kannst du das ganze via .htaccess File und mod_rewrite. Zusätzlich lässt sich alles was durch den PHP Parser muss (.php oder je nach Konf auch .html) zusätzlich mit einem PHP Script absichern, das sicherstellt, dass der Zugriff auf die Files nur erlaubt wird, wenn der Benutzer als admin beim DS-Manager angemeldet ist. Sprich ein gültiges Login Cookie besitzt.

Gruss

tobi
 

kupferrafi

Benutzer
Mitglied seit
17. Mrz 2007
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Wenn du nicht darauf zugreifen könntest, dann würde aber keine einzige 3rd Party Application laufen.
Oh ja, ich habs wie man auch so rankommt:
"https://meinname.dyndns.org/webman/3rdparty/'application'/'application'.php"
Absichern kannst du das ganze via .htaccess File
Ist schon klar, wäre nur zu schön, wenn man das nicht bräuchte.
Also werde ich den sicheren Weg gehen und die "öffentlichen" php Seiten verschieben.
Schade..

Dank + Gruß
Rafael
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Also werde ich den sicheren Weg gehen und die "öffentlichen" php Seiten verschieben.
Heisst das, dass du auf dem Apache unter root auch öffentlich zugängliche Seiten hast laufen lassen?? Wäre ein ziemlich risikoreiches Unterfangen...
Ist schon klar, wäre nur zu schön, wenn man das nicht bräuchte.
Und was schwebt dir denn als Lösung vor? Was wäre für dich ein gangbarer Weg? Der sicherste Weg ist es sicherlich, den DS-Manager überhaupt nicht aus dem WWW erreichbar zu machen...
 

kupferrafi

Benutzer
Mitglied seit
17. Mrz 2007
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Heisst das, dass du auf dem Apache unter root auch öffentlich zugängliche Seiten hast laufen lassen??
5 Minuten zur Probe, ansonsten alles so wie original von der DS.

Der sicherste Weg ist es sicherlich, den DS-Manager überhaupt nicht aus dem WWW erreichbar zu machen...
Das ist schon richtig, aber wie komme ich dann von unterwegs an meine Daten ran? Den Filemanager brauche ich, und der geht doch über die Weboberfläche, über die sich auch der admin einloggen kann.
- nur https
- langes Passwort
- kein bekannter öffentlicher Port (xxxx auf 5001 im Router umgeleitet)

Was kann ich noch mehr tun?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
bisher habe ich 3rd Party Anwendungen immer manuell installiert.
Somit waren die PHP Anwendungen immer im Verzeichnis /volume1/usr/syno/synoman/phpsrc zu finden.
Auf die Anwendungen konnte man ungeschützt übers Internet zugreifen.
Zur Sicherheit habe ich also alle neuen Verzeichnisse verschoben und bei Bedarf wieder in phpsrc zurückkopiert.

Wie verhält sich das bei Anwendungen, welche über's Paketmanagement installiert wurden?
Diese liegen doch unter /volume1/@appstore/ , und da kann ich doch nicht von außen zugreifen. Demzufolge könnte ich sie installiert lassen.
Liege ich richtig, oder ist da auch was unsicher?

Zwischen diesen beiden Lösungen gibt es hinsichtlich der Sicherheit keinen Unterschied. Sind gleich sicher bzw. unsicher - je nach Standpunkt.

itari
 

seat66

Benutzer
Mitglied seit
11. Okt 2008
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Die 3rd-Party-Anwendungen sind in der Tat ein grosses Sicherheitsrisiko wenn der Disk Station Manager (Port 5000 bzw. 5001) vom Internet her durchgelaasen wird. Bei installierten Applikationen wie z.B. der Web-Shell ist es für einen "unerwünschten Gast" problemlos möglich sämtliche Daten auf der NAS zu löschen oder so zu manipulieren dass ihr selber nicht mehr an eure Daten kommt.
Für diejenigen welche unbedingt vom Internet her auf ihre NAS müssen, z.B. wegen dem FileManager, aber von ausserhalb auf die 3rd-Party-Applikationen verzichten können, folgender Tipp:

Erstellt eine Datei .htaccess (der Punkt am Anfang ist wichtig) im Verzeichnis /usr/syno/synoman/phpsrc mit folgendem Inhalt:


# .htaccess Datei für phpsrc des Sys-Apache der Synology
Order deny,allow
Deny from all
Allow from 192.168.1
ErrorDocument 403 "Zugriff verweigert"


Bei 'Allow from 192.168.1' tragt ihr den Anfang der IP-Adressen in eurem lokalen Netzwerk ein. Mit dieser Lösung können die 3rd-Party-Apps aus eurem internen Netzwerk normal aufgerufen werden, von extern erhält man nur die Meldung "Zugriff verweigert".
Wer auch das nicht will, dem empfehle ich 3rd-Party-Apps wie WebEditor oder Webshell zu entfernen, sonst löscht euch wirklich irgend wann mal einer eure Daten !!!
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Noch mal zum mitdenken: Es sind nicht nur die 3rd-party-apps-Skripte wie Webshell oder Webeditor (oder was ihr sonst noch geladen habt), es sind die für das Funktionieren der hier im Forum vorgestellten 3rd-party-apps vorgenommenen Veränderungen in der httpd.conf-sys und in der php.ini, die das Sicherheitsloch aufmachen.

Deswegen habe ich immer gesagt, dass man dann entweder das Risiko eingehen (und natürlich auch per .htaccess und/oder mod_rewrite-Klauseln) und eingrenzen kann oder die Finger vom Durchlassen der Ports 5000 und 5001 lassen soll.

Da man den File Manager mittlerweile auch auf andere Ports legen kann, ist ein Drankommen an die Dateien möglich (wars immer per FTP, aber das muss ich euch Nasen ja nicht noch erklären).

Und noch was: 3rd-party-apps ist nicht gleich 3rd-party-apps. Wir reden hier im Forum im Wesentlichen von den 3rd-party-apps, die ich mal als Skripte reingestellt habe und deren Ideen von vielen aufgegriffen wurden. Es gibt auch total andere 3rd-party-apps und es gibt auch ipkg-Anwendungen, die Sicherheit und/oder Unsicherheit hervorrufen können. Der Begriff ist nicht näher definiert und/oder vorbelastet.

Meine Empfehlung (die ich auch schon an anderen Stellen kund getan habe):

Da es keine absolute Sicherheit im Web gibt und eine an einen Router angeschlossene DS mit einem Bein im Web steht:

(1) immer alles sichern, möglichst zweimal !
(2) trennen von internen (wichtigen) und externen (unwichtigen, möglicherweise für jeden lesbaren) Daten durch Einsatz zweier Disk Stations mit dazwischenliegendem Firewall und einem mehr oder weniger verstandene DMZ-Konzept !
(3) Verstehen und akzeptieren, dass alles andere immer ein Stück weit unsicher ist und sich darauf auch einstellen !

Das mag unbequem sein, ist aber als Ausgangsbasis für Diskussionen zum Thema "Sicherheit der DS" ein gute Basis.

itari
 

seat66

Benutzer
Mitglied seit
11. Okt 2008
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Itari, du hast natürlich vollkommen Recht, dass das Sicherheitsloch durch die Aenderungen am Sys-Apache aufgemacht werden.
Als erfahrener 'IT-ler' weiss ich allerdings auch, dass viele drauflos installieren und weniger Efahrene bzw. Anfänger keine Ahnung haben was sie damit genau anstellen und solche Mods werden eben auch von Anfängern verwendet.

Leider (ok, sind ja nicht meine Daten) ist es halt so, dass ich schon mehrere DS im Netz gesehen habe, die den Management-Port offen haben und halt auch WebShell installiert haben.

Natürlich ist sicherste Sache die, erst gar nichts von draussen reinzulassen.

Wer aber das Management von draussen offen hat, den Sys-Apache modifiziert hat und halt eben z.B. WebShell drauf hat, der soll wenigstens den Zugriff auf die 3rd-Party-Apps von draussen blocken.

Wie ich bereits in meinem vorherigen Thread angemerkt hatte, ein gezielter URL-Aufruf auf eine solche DS, einen Befehl eintippen und weg sind die Daten auf der DS!
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
seat66,

weil es das Problem des Nicht-genau-Wissens gibt, deshalb diskutieren wir ja hier, um darauf aufmerksam zu machen. ;)

Und die Konsequenzen sind nicht nur, dass jemand etwas löschen kann, was in meinen Augen ärgerlich ist, aber wenn man Sicherungen hat, kein wirklicher Schaden, sondern nur ein Zeitaufwand; die wirklich schlimmen Konsequenzen sind eher, dass man ausspioniert werden könnte und dass Informationen verfälscht werden können. Es ist unglaublich schwierig, dann dahinter zu kommen, was passiert ist. Und nicht jede Anwendung und erst Recht nicht Linux protokolliert mit, wer wann was wo geändert hat.

Auch sind Fernsteuerungen möglich und man bekommt das nicht unbedingt mit.

Was kann man dagegen tun? Den Zugang kontrollieren wie du es schon vorgeschlagen hast, ist ein erster Schritt. Weitere könnten sein:

Man kann zum Beispiel den sys-Apache nur zu bestimmten Zeiten laufen lassen oder mit einem Telnet/ssh-Skript anwerfen und nachher wieder ausschalten.

Mit der letzten Init_3rdparty.spk habe ich auch schon dafür gesorgt, dass die Änderungen an der php.ini nicht auch noch für den user-Apache mit gelten; also auch hier der Hinweis, sich dass anzusehen und eventuell einzubauen.

itari
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat