DSM 7: Sicherheitsberater warnt ständig bei SSH-Anmeldung

[ilpssun]

Hallo zusammen,

ich habe mir unter DSM 6.2 ein Backup eingerichtet, das grob so aussieht:

• Auf einem Cloud-Server läuft ein Cronjob, der restic aufruft.
• Restic verbindet sich via ssh/sftp mit meiner Synology.
• Der Benutzer auf der Synology heißt ebenfalls restic und ist in der Admin-Gruppe (für SSH). Er darf sich aber nur per SSH/SFTP anmelden (kein DSM, Drive, …).
• Dabei nutzt restic einen privaten Schlüssel, sodass man kein Passwort für die Anmeldung benötigt.
• Der Cloud-Server hat eine feste öffentliche IP. Der SSH-Server ist über einen geänderten Port (>1024) aus dem Internet erreichbar.

Unter DSM 6.2 hat das alles wunderbar funktioniert. Seit ich vor ein paar Tagen auf DSM 7 aktualisiert habe, erhalte ich nun jedes Mal, wenn sich restic per sftp verbindet eine E-Mail vom Sicherheitsberater, dass ein neues Anmeldeverhalten erkannt wurde.

In Anbetracht der Tatsache, dass ich schon über 50 E-Mails zum Thema erhalten habe, ist das Verhalten nun wirklich nicht mehr neu ? Ich habe aber trotz Recherche bisher nicht herausgefunden, wie ich das der Synology mitteilen kann.

Habt ihr einen Ansatz?

Viele Grüße
ilpssun

 

[ottosykora]

kannst du nicht im Sicherheitsberater diesen 'Problem' auswählen und als Benutzerdefiniert markieren?

 

[ilpssun]

Ich habe dort nachgeschaut (Start ? Sicherheitsberater ? Erweitert ? Sicherheitsrichtlinie ? Benutzerdefiniert). Dort gibt es einen Punkt zu "Nicht normale Anmeldeaktivität wurde festgestellt". Das könnte ich vermutlich rausnehmen. Aber eigentlich würde ich das gerne drin lassen für die anderen Konten auf dem System und dem DSM nur mitteilen, dass dieses konkrete Verhalten "normal" ist.

Kann man vielleicht die IP irgendwo in eine Whitelist eintragen oder so?

 

[ottosykora]

also wenn man es als benutzerdefiniert markiert dann ist es so was wie white listed und erscheint danach nicht mehr

 

[ilpssun]

Ich glaube, ich verstehe noch nicht, was du genau meinst. Ich bin gedanklich an dieser Stelle:


Da kann ich nichts klicken außer "Anzeigen" und danach kommt auch keine Aktionsmöglichkeit mehr.

 

[ottosykora]

na ja, ich kann das nicht genau sagen weil ich keine Einträge unter Anmeldeanalyse habe, aber bei den anderen Einträgen kann man diese dann als benutzerdefiniert markieren und dann unter erweitert die List auf benutzerdefiniert schalten und dort halt was ein und ausschalten

jedenfalls habe ich auch immer wieder Meldungen bekommen weil etwas nicht updated ist und hier konnte ich es abstellen.

 

[ilpssun]

Tatsächlich habe ich hierzu keine Lösung gefunden. Im Endeffekt habe ich es so hinbekommen, dass ich mich über ein VPN mit der Synology verbinde. Durch die interne IP wird die Verbindung nicht mehr als verdächtig eingestuft und die Warnung entfällt.

Nur, falls jemand das gleiche Problem hat…