Benachrichtigung bei fehlerhaften LogIn-Versuchen.

Status
Für weitere Antworten geschlossen.

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Hallo Gemeinde !

Ich besitze eine DS107+ mit der Firmware DSM 2.2-0942

Seit einigen Tagen stelle ich erhöhte Netzwerkaktivität fest habe den Übeltäter gefunden.

Irgend jemand versucht per BruteForce meine DS zu hacken.

Wie kann ich mich davor schützen, ohne den Zugang über das Internet gänzlich zu blockieren ?
Kann ich die Benachrichtigungs-Optionen so konfigurieren, dass ich darüber informiert werde, sollten mehrere LogIn.Versuche fehlschlagen ?

Danke für die Antworten !

LG,
Berndi
 

Supaman

Benutzer
Mitglied seit
26. Jan 2007
Beiträge
1.447
Punkte für Reaktionen
0
Punkte
62
eine benachrichtigung ist derzeit nicht vorgesehen. die frage wäre auch: wozu soll das gut sein? ist ja nichts neues, das jede menge crawler im netz unterwegs sind auf der suche nach angreifbaren servern.

wenn du mehrsicherheit willst, gibts andere möglichkeiten:
- sichere passwörter
- über die firewall rules zugriffe aus bestimmten ländern unterbinden
- keine standard ports nach außen führen
- ssh/ftp zugriff für root/admin sperren
 

die-andis

Benutzer
Mitglied seit
19. Jan 2009
Beiträge
54
Punkte für Reaktionen
0
Punkte
0
das was du willst gibt es, nennt sich "automatische Blockierung" unter "Netzwerkdienste"
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hallo Gemeinde !

Ich besitze eine DS107+ mit der Firmware DSM 2.2-0942

Seit einigen Tagen stelle ich erhöhte Netzwerkaktivität fest habe den Übeltäter gefunden.

Irgend jemand versucht per BruteForce meine DS zu hacken.

Wie kann ich mich davor schützen, ohne den Zugang über das Internet gänzlich zu blockieren ?
Kann ich die Benachrichtigungs-Optionen so konfigurieren, dass ich darüber informiert werde, sollten mehrere LogIn.Versuche fehlschlagen ?

Danke für die Antworten !

LG,
Berndi
Es wäre noch wichtig zu wissen auf welchen Protokollen resp Ports die Angriffe stattfinden...
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Es wäre noch wichtig zu wissen auf welchen Protokollen resp Ports die Angriffe stattfinden...

Es ist immer der FTP Server.
...also 21 und 55536-55663

Welche Ports explizit betroffen sind, kann ich aus dem Log nicht ersehen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
FTP sollte afaik durch die "automatische Blockierung" abgedeckt sein. Zusätzlich solltest du verhindern, dass sich root am FTP Server anmelden darf. Denn eigentlich interessiert einen "bösen Zeitgenossen" nur der root Account und dessen Passwort.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Zusätzlich solltest du verhindern, dass sich root am FTP Server anmelden darf. Denn eigentlich interessiert einen "bösen Zeitgenossen" nur der root Account und dessen Passwort.

root = admin ?

Die Passwörter stimmen jedenfalls überein ...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Das ist das Problem bei der DS: admin und root haben das gleiche Passwort (geht nicht anders), sind aber nicht die gleichen Benutzer. root darf auf dem System schlicht und ergreifend alles machen. admin hat nur beschränkte Rechte. Für FTP würde ich daher sowohl root als auch admin verbieten!
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
... nur, dass root im Webinterface nicht als Benutzer angezeigt wird.

Gibt es da keine Konflikte, wenn ich den anlege ?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
root kannst du nicht anlegen. Das wird dir von der DS verwehrt. Dies da root als User bereits existiert. Wird dir im DSM nur nicht angezeigt. Ist aber sicher vorhanden, weil sonst die DS ned laufen würde ;)
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Wie verhindere ich dann den Zugang zum FTP über root ?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Normalerweise ist 'root' bereits in der /etc/ftpusers vermerkt. Das wäre die Datei, wo man einträgt, welche User keinen Zugang per ftp haben dürfen.

Itari
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Da stehen


root
lp
smmsp
nobody
guest


drin.

Sol ich root da etwa rausschmeißen ?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Das stehen die User drin, die keinen ftp-Zugriff bekommen. Also drin lassen.

Itari
 

jsteinberger

Benutzer
Mitglied seit
09. Dez 2008
Beiträge
53
Punkte für Reaktionen
0
Punkte
0
Auch eine Frage zur Blockierung...

Hallo,
auch ich habe seit der Umstellung auf den DSM 2.2 jetzt öfters Mails, daß meine DS bestimmte IPs blockiert, weil innerhalb 5min mehr als 5 Login-Versuche gescheitert sind (Anzahl sowie Zeit und die Benachrichtigung per Mail hab ich so eingestellt, hatte es im DSM gefunden). Ich kenne mich aber in Linux nicht besonders gut aus, habe aber immerhin geschafft, mit WinSCP einen Zugriff auf die DS zu bekommen und somit kann ich auch alles auf der DS sehen (im Prinzip, wenn man wüsste wo man suchen soll :confused:).
Meine Frage ist also : Wo finde ich die (eine) Log-Datei wo diese Versuche protokolliert werden bzw wo sehe ich, über welche Ports/Dienste diese Logins kamen?
Interessieren würde mich auch ob irgendwo ein fremdes Login erfolgreich war , die Logins werden doch bestimmt auch protokolliert. Auch Aktionen auf der DS interessieren mich um mal zu sehen ob ein Unbefugter irgendwas auf der DS macht.
Zusammengefasst: Ich hätte langsam gerne mal einen Einblick was auf meiner DS evtl. ohne mein Wissen passiert.
Wenn das wichtig ist, ich hab ne 107+ 2nd ED, DSM 2.2-0942

Wäre nett wenn ich auch als absoluter Newbie einen kleinen Einblick in die DS bekäme.

Gruß....Jürgen
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Die Logs kann man sich doch im DS-Manager ansehen. Viel mehr wird auch nicht protokolliert. Die Protokoll-Dateien sind im Verzeichnis /var/log - leider kann man sie nicht mit einem normalen Texteditor lesen.

Itari
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat