Welche Daten über RSYNC-Port auslesbar?

[xamoel]

Guten Abend zusammen.

Zur Sync gemeinsamer Ordner zwischen meinen DS nutze ich Rsync, über Port TCP 873.
Nun habe ich heute ein offizielles Schreiben der Telekom erhalten, diese wurden informiert, dass mein NAS offen im Internet wäre, und zwar über oben genannten Port.

Das allein wäre jetzt kein Grund zur Aufregung, allerdings ist wohl auch offen einsehbar, welche gemeinsamen Ordner angelegt sind und deren Beschreibung, das war nämlich auch in der Meldung enthalten!

Hier stellt sich mir jetzt die Frage, was noch alles einsehbar ist? Wie kann über die 873 die Ordnerstruktur meiner DS ausgelesen werden?

In der andren DS ist ja zwingend Nutzername und Passwort einzugeben, bevor wild gesynct wird.
Ich hätte erwartet, dass erst nach dessen Eingabe irgendetwas sichtbar wird.

Was meint ihr??

 

[tproko]

Bist du sicher, dass nur der Rsync Port nach außen frei ist?

Ich verwende disen rsync Service nach außen nicht. Aber laut syno wiki ist Port 873 unverschlüsselt. Wenn das stimmt, solltest du das unbedingt ändern...

 

[xamoel]

Das war der angegebene Port.

Offen sind der Management Port 5000 und 5001 (extern aber komplett andre Nr) sowie für die Downloadstation 16881, für Photostation (intern 443, extern was andres).

Alles manuell in der Fritze eingetragen natürlich.

Edit: Das ist der Standardport für die Sync gemeinsamer Ordner, die einzige DSM-eigene Möglichkeit, Ordner über mehrere DS synchron zu halten. Soweit ich weiss kann man den nicht ändern.

 

[tproko]

5000 - http sollte auch nicht nach außen gehen bzw. sollte im Idealfall alles von http auf https redirected werden.
Hab nochmal nachgesehen, man kann diesen Dienst rsync per SSH verschlüsseln. Hast du das aktiviert? Wenn nein, geht über 873 alles unverschlüsselt raus.

 

[xamoel]

Port 5000 geht natürlich extern über komplett andren Port, ist aber die einzige Möglichkeit, um z.B. mit der DS Video und DS Cam Aufnahmen abzuspielen, über HTTPS ist eine Wiedergabe nicht möglich, warum auch immer.

Kannst du mir einen Link zeigen wie ich die Verschlüsselung für die Sync gemeinsamer Ordner aktiviere? Habe ich in den Settings nirgendwo gefunden!

 

[Matthieu]

Hast du den Gastbenutzer oder einen vergleichbaren Benutzer aktiviert? Gehen aus der Telekom-Meldung noch mehr technische Details hervor?

MfG Matthieu

 

[xamoel]

So schaut das aus. Man sieht sowohl die gemeinsamen Ordner, als auch deren Beschreibung! Z.B. "top secret" etc

 

[Fusion]

Der Shared Folder Sync läuft auch über SSH, wenn man das (Übertragungsverschlüsselung) aktiviert.
https://www.synology.com/de-de/know...enter/application_backupserv_sharedfoldersync
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Und es läßt sich sogar ein anderer Port als 22 benutzen. Muss also weder 22 noch 873 nach außen direkt öffnen.

 

[xamoel]

Hab ich geändert inzwischen. Aber trotzdem wundert es mich, wie ohne Passwort und Username die Ordnerstruktur sichtbar ist.

Gastnutzer etc natürlich deaktiviert.

 

[peterhoffmann]

Probiere es doch mal von außen selber aus.

Du kannst natürlich auch hier die IP oder DDNS posten. Aber ich glaube nicht, dass du soviel "Besuch" möchtest.

 

[xamoel]

Wie kann ich das machen? Über Browser?

 

[Matthieu]

Ich habe jetzt einige Zeit damit verbracht, mich zu rsync zu belesen. Das Protokoll ist uralt aber genau deswegen hoch interessant und relativ gut zu durchblicken. Leider habe ich nicht das "Ursprungsdokument" gefunden in dem nur das Protokoll erklärt ist.

Was hast du hier eingetragen: Systemsteuerung > Dateidienste > rsync > rsync-Konto aktivieren
Wenn dort kein Haken gesetzt ist, steht rsync offen. Das Protokoll und der Dienst sind so alt und simpel gestrickt, dass dort nicht mit den Synology Standard-Accounts gearbeitet wird. Vielmehr muss man eigene User definieren.
Hochgradig interessant ist folgendes Dokument: https://rsync.samba.org/how-rsync-works.html und https://kromtech.com/blog/security-center/securing-rsync
Bei letzterem findet man ein paar Befehle nach etwa einem Drittel, die sehr nach dem Aussehen was die Telekom geschickt hat:

To start the daemon, run this:   rsync --daemon --config=rsyncd.conf
 
  Now connect to the daemon from another machine without specifying the module name. You will see the following:
   rsync --port=8765 bat-machine.example.com::
Hello! Welcome to Batmans rsync server.

dropbox            A place to leave things for Batman
pickup             Get your files here!
 
  If you do not specify the module name after the double colon (: :), the daemon will list all the available modules.

Bingo!

Nach meiner Recherche bleibt ein Rat: Niemals rsync direkt freigeben, immer über SSH tunneln.

MfG Matthieu

 

[xamoel]

Wow das ist ja schon krass! Zugriff ist aber nicht möglich oder?

Bei Rsync habe ich nur den Haken gesetzt bei "Rsync aktivieren", mit eigenem SSH-Verschlüsselungsport. Sonst keinen weiteren. Waren bis heute morgen aber drin die Haken.

 

[Matthieu]

Wir hätten uns das zum Teil auch sparen können. Folgendes steht in der DSM Doku:

Hinweis:

• Wenn der rsync-Dienst verschlüsselt ist (d. h. wenn ein SSH-Verschlüsselungsport angegeben ist), setzt das System direkt die Benutzernamen und Kennwörter von DSM-Benutzern als deren rsync-Konten ein.
• Wenn der rsync-Dienst nicht verschlüsselt ist, müssen Sie die entsprechenden rsync-Konten für sie erstellen.

 

[Matthieu]

Das Konzept ist offenbar vergleichbar mit einem Zugriff auf Shares via Windows Explorer. Man bekommt erst mal alle angezeigt und beim Zugriff darauf gesagt dass man da nichts verloren hat:

list This parameter determines if this module should be listed when the client asks for a listing of available modules. By setting this to false you can create hidden modules. The default is for modules to be listable.

Die Authentifizierung wird je Modul konfiguriert, nicht global. Solange ein Client also nur die Module abfragt, muss er sich auch nicht authentifizieren.

auth users This parameter specifies a comma and space-separated list of usernames that will be allowed to connect to this module.

Beides aus: https://linux.die.net/man/5/rsyncd.conf

MfG Matthieu

 

[xamoel]

Interessant. Als bei mir die Haken beim "rsyncc-Konto aktivieren" noch gesetzt waren, waren natürlich Benutzerkonten (nämlich das admin-Konto) in der Benutzerliste eingetragen, was ja nach dem Dokument dafür spräche was du geschrieben hast, dass nur die in der Liste eingetragene User letztlich auch Zugriff erlangen kann, auch wenn jeder abfragen kann, welche Ordner es gibt.

 

[Matthieu]

Das dort hinterlegte Konto muss man selbst einrichten! Es ist also nicht zwingend "admin". Die Benutzerverwaltung hat mit dem DSM nichts zu tun. Ich denke eher du hast das vor längerem mal so eingegeben. Oder es war in einer früheren DSM-Version anders geregelt. Ich habe rsync nie benutzt und nur testweise gestern aktiviert, da war die Benutzerliste leer.

MfG Matthieu