DSM 6.x und darunter IP adress has beem blocked by SSH

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Wutzmann

Benutzer
Mitglied seit
13. Apr 2011
Beiträge
62
Punkte für Reaktionen
0
Punkte
12
Hallo,

ich habe seitenweise Benachrichtigungen auf meiner DS

Die IP-Adresse [xxx.xx.xxx.xxx] hat 5 vergeblich versucht sich beim Dienst SSH auf xxx innerhalb von 5 Minuten anzumelden und wurde um xxx blockiert.

Gibt es eine Möglichkeit diese ständigen einwähl versuche zu blockieren, oder was kann man generell dagegen unternehmen?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ja, du kannst Port 22 in deinem Router schließen, denn das - und der aktivierte SSH Dienst - ist der Grund für die Zugriffe.
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Wenn Du den remote ssh Zugang brauchst, leg den Port auf was anderes. Port 22 wird permanent gescannt, daher auch die häufigen blocked Meldungen. Seitdem ich ssh im Router auf einen anderen Port gelegt habe, ist Ruhe.

Also Router (Port xxxx) -> Synology (Port 22)
 

Wutzmann

Benutzer
Mitglied seit
13. Apr 2011
Beiträge
62
Punkte für Reaktionen
0
Punkte
12
Danke für die Hilfe, den Tipp!
 

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
Ja, du kannst Port 22 in deinem Router schließen, denn das - und der aktivierte SSH Dienst - ist der Grund für die Zugriffe.
und wie kann ich den Port 22 ändern? Schliessen ist ja kein Problem, aber dann funktioniert SSH ja nicht mehr.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.530
Punkte für Reaktionen
38
Punkte
94
Das WIKI sagt folgendes, ich zitiere:

SSH Port auf einen anderen legen

Der SSH Port kann leider nicht im DSM auf einen anderen gelegt werden. Abhilfe schafft das Ändern unter /etc/ssh/sshd_config:
Einfach Zeile 14 auskommentieren und beispielsweise Port 650 reinschreiben.
Nun verbindet man sich unter Linux und Mac OS X mit: ssh root@ip-adresse -p650
Unter Putty kann der Port auch angegeben werden.

PS: Hättest du auch gefunden
smile.png
 

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
hallo,
nachdem ich in der Datei die betreffende Zeile geändert habe, habe ich den Router auch nochmal konfigurieren lassen. Auch hier hat sich dann wieder der Port 22 eingefunden. Mit Putty kann ich jetzt über meinen Win-Rechner weder mit Port 22 noch mit 650 auf die DS zugreifen:"Network error. Connection timed out"
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Du willst ja auch nicht den ssh port der Diskstation ändern, sondern den des Routers.

Wenn Du die Portfreigabe über DSM machst (Externer Zugriff/Routerkonfiguration) dann klick das da weg.
Dann geh in die Konfiguration deines Routers und mach die Freigabe per hand. Dann kannst Du auch beliebige Port-Kombinationen einstellen.
Dort machst Du dann von xxxx (extern) -> 22 (IP der DS) TCP

Wie man das macht, hängt allerdings vom Router ab. Bei ner Fritzbox könnte ich dir das sagen.
 

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
FritzBox 7390 ist die meine. Hab aber noch nicht geschaut, ob ich das so wie gewohlt hinkriege...
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Auf der Fritz
Internet/Freigaben/Neue Portfreigabe

Portfreigabe.jpg

Statt 12345 nimmst Du irgendwas im 4 oder 5 stelligen Bereich.
Von intern ist die DS dann immer noch per Port 22 erreichbar, von aussen aber nur über Port xxxx. Das musst Du im SSH-Client dann entsprechend einstellen.
 

Anhänge

  • Portfreigabe.jpg
    Portfreigabe.jpg
    53,1 KB · Aufrufe: 105

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
also, wenn ich wie weiter oben beschrieben Port 650 editiere, habe ich über den Router keinen Zugriff. Schließe ich die DS direkt an den PC an, kann ich mittels Putty und dem Port 22 auf die DS zugreifen. Ich weiß jetzt natürlich nicht, ob dies an Port 650 liegt?

sshd_config.jpgPutty.jpg
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.530
Punkte für Reaktionen
38
Punkte
94
Hallo,

du hast den Port auf 650 geändert, aber die Zeile ist weiterhin auskommentiert.

Dann kannst du dich auch nicht mit Port:650 verbinden.
Bitte beachte auch, ob Port:650 nicht von einem anderen Dienst benutzt wird
 

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Ok, nur mal zur Klarstellung. Es geht ausschliesslich darum, Attacken auf Port 22 aus dem Internet zu verhindern. Dazu ist es nicht notwendig, am sshd irgwendetwas zu ändern.
Die Portweiterleitung, die ich oben beschrieben habe, setzt nur Anfragen von aussen um. Der Zugriff von intern (auch wenn das über denselben Router passiert, bleibt davon völlig
unberührt.
Das ist mit Abstand die einfachste Methode.
 

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
vielen Dank, nach der Umstellung sin die geblockten IP-Adressen nicht mehr aufgetreten!

Bis zum nächsten Mal
:)
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.237
Punkte für Reaktionen
581
Punkte
174
Hi,

man könnte die Authentifizierung auch via RSA-Key gestalten sodass die "User/Passwort Abfrage" deaktiviert ist. Somit schützt man sich zumindest von den Botnet´s die dafür Zuständig sind dass ständig irgendwelche IP´s geblockt werden.
Bei mir ist beispielsweise Port 22 permanent offen und ich bekomme auch keine Meldungen dass IP Adressen geblockt werden. Der ssh server lässt eben dann keine "user/passwort" Authentifizierung mehr zu. Man benötigt dazu den entsprechend passenden geheimen Key (wahlweise mit oder ohne Passwort) um Zugang zu erhalten.
Es ist jedenfalls für diejenigen interessant die auf den ssh Zugriff von außen nicht verzichten und sich dennoch sicher fühlen wollen.

Eine Anleitung wie vorzugehen ist und welche Einstellungen dazu nötig sind findet ihr im SynologyWiki.

Gruß
luddi
 
Zuletzt bearbeitet:

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
hallo,
nachdem ich den Port geändert habe (jetzt bekomme keine Infos mehr über geblockte IP´s) kann ich mich nicht mehr mit Putty über den Router anmelden!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Wo hast du denn den Port geändert?

Und den geänderten Port übernimmst du dann auch für Putty?!
 

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
532
Punkte für Reaktionen
1
Punkte
44
alles gut...

heute Morgen konnte ich per Putty mit dem geänderten Port auf die DS zugreifen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat