Toggle sidebar

DSM 6.x und darunter DSM mit .htaccess schützen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
Mexx

Mexx

Benutzer
Registriert
27. Aug. 2007
Beiträge
553
Reaktionspunkte
0
Punkte
42
falls dies überhaupt jemanden interessiert, wie man seinen DSM Zugang und somit Filestation, Downloadstation usw. zusätzlich schützen kann hätte ich da einen Vorschlag.

Den mich stört schon ewig das der DSM so ungeschützt sein Login Fenster präsentiert und es keine Autosperre gibt bei mehrmaliger falsch Anmeldung vor allem wegen brute force attacken muss man sich doch so seine Gedanken machen.

Daher habe ich nun einen ganz einfachen Weg gefunden, der sehr wirksam ist, ich habe einfach eine .htacces Datei in das Verzeichnis

Rich (BBCode): 
/usr/syno/synoman/webman/modules
kopiert

in meiner .htaccess habe ich nur eingetragen das von bestimmten ip´s auf das Loginfenster zugegriffen werden darf (also mein LAN Netz Zuhause und von der Arbeit die IP range)

Rich (BBCode): 
order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit

Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.
 
Schöner Beitrag. :)

Vielleicht kannst ja unseren Wiki-Beitrag zu diesem Thema um dies hier ergänzen. Dann findet man es auch immer wieder.

Danke schon mal

Itari
 
oki, habs ins wiki eingetragen. hoffe es passt so, war mein erster Eintrag im wiki
 
Das ist ok so ... :) und wenn es jemanden nicht passt, dann kann er es ja an einen andere Stelle kopieren. ;)

Itari
 
Klappt leider bei DSM 3.0 nicht mehr so einfach :-(

weiss zufällig jemand wie es bei 3.0 geht ?
 
Mexx schrieb:
Rich (BBCode): 
order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit
Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.
Zum Vergrößern anklicken....
Du weisst schon dass das nicht funzen sollte? ;)
Es wäre wenn schon
Code: 
order allow,deny
allow from 10.0.0.
deny from all
Wenn du zuerst deny all machst dann sollte der Apache nicht mehr zum folgenden allow gehen.
 
@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.
 
MaCoM schrieb:
@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.
Zum Vergrößern anklicken....
Mit diesem Code hat ich es ned versucht. Ich habe nur aus meinem bisherigen Verständnis des Apache und seiner Config darauf aufmerksam machen wollen, dass imho der Code nicht das machen wird was erwartet wird.
Mein DSM ist aus dem Internet her nicht erreichbar drum brauche ich das ned. Und wenn ich von aussen auf den DSM will, dann öffne ich einen VPN Tunnel (z.B. OpenVPN oder IPSec.).
Für meine Webseiten blockiere ich jedoch bestimmte Länder IP Blöcke mittels .htaccess.
Habs gerade mal getestet und wie erwartet komme ich bei
Code: 
Order deny,allow
deny from all
allow from 192.168.
nicht mehr auf den Webserver (mit einer Client IP 192.168.254.6).

Gruss

tobi
 
Oha dann haben wir wohl an einander vorbei geredet.
ich setzt ja auch .htacces datein auf dem webserver ein und die klappen alle.

ich versuch nur den DSM von aussen zusätzlich mit einer passwortabfrage zu schützen.

Rich (BBCode): 
AuthUserFile /usr/syno/synoman/webman/modules/.htpasswd
AuthGroupFile /dev/null
AuthName "DSM 3.0"
AuthType Basic
require valid-user

Order deny,allow
Allow from 192.168.0. #Heimnetz
Deny from all

und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.
 
afaik sollte sich das .htpasswd file nicht im zu schützenden Verzeichnis befinden
 
MaCoM schrieb:
... und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.
Zum Vergrößern anklicken....

Die DSM-Verzeichnisstruktur hat sich mir der Version 3.0 geändert. Probiere mal eine Ebene höher.

Itari
 
unter /usr/syno/synoman/webman/.htaccess klappt leider auch nicht.

frage am rande - wo wäre denn die beste position (verzeichniss) für die .htpasswd in diesem fall ?
 
ähnliche Problematik

hallo,
hab ein Problem, das dem hier ähneln könnte, und es auch im entsprechenden thread gepostet, hier wurde aber in jüngerer Zeit etwas geschrieben, sodass ich hier etwas mehr hoffnung habe, dass jemand mir helfen kann:

http://www.synology-forum.de/showthread.html?p=122522#post122522

hier hab ich mein Problem beschrieben.

Vielen Dank für Hilfe
 
Ok lange probiert und nun klappt es auch mit DSM 3.0 unter "/usr/syno/synoman/webman/.htaccess" datei.

ich hatte ein zeichen fehler in der .htaccess datei darum hat er sie wohl komplettt ignoriert.
 
wie erstelle ich den die .htaccess datei?
 
Code:

Order deny,allow
deny from all
allow from 192.168.

Ist ja der hier und dann in dieses Verzeichnis

"/usr/syno/synoman/webman/.htaccess"

Welche IP sperre ich den dann alle die mit 192.168. anfangen? Wie kann ich den nur meine Erlauben?
 
Zuletzt bearbeitet:
eyjo schrieb:
Order deny,allow
deny from all
allow from 192.168.
Zum Vergrößern anklicken....
Wenn du Order deny,allow machst und einen deny from all drin hast, dann wird der folgenden allow niemals ausgewertet.
Ich würde es genau umkehren:
Code: 
Order allow,deny
allow from 192.168.
deny from all
 
Verstehe ich das jetzt richtig wenn ich

Code:

Order allow,deny
allow from 192.168.
deny from all



das so mache wir die 192.168. io`s gespert oder offen sein?
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten