Hallo,
also ich hänge mich da auch mal mit rein. Zu Anfang gings ja um die IP-Blockierung. Ich denke schon, daß sowas Sinn macht. Zumindest einfache Hacker kann man dann schnell mal abwimmeln, oder Brute-Force-Methoden scheitern dann relativ schnell. Ich hab die autom. Blockierung auf 5 Login-Versuche in 5 Minuten gestellt. Drei erscheint mir da etwas zu wenig, hat man sich ja schnell mal vertippt oder rafft es nicht schnell genug, daß die Caps-Lock oder die Num-Taste an war.
Zum Thema Sicherheit möchte ich auch noch was schreiben. Sehr wichtig erscheint mir die Rechte-Vergabe zu sein, welcher User mit welchem Paßwort Zugriff auf welche Daten erhält. Weniger ist da oft mehr. So habe ich für FTP eine eigene Gruppe und einen eigenen User angelegt (ich arbeite gerne mit Gruppen-Berechtigungen), wobei der User für den FTP-Zugang nur Zugriff auf ein einziges Verzeichnis / gemeinsamen Ordner hat. So kann ich ausschließen, daß zufällig andere Ordner beschrieben oder gelesen werden können. Außerdem habe ich dem admin die Berechtigung für den FTP-Logon einfach entzogen, denn für mich ist das wohl die größte Sicherheitslücke auf der DS, wenn man FTP verwendet (/etc/ftpusers).
Alle meine anderen User haben explizit keinen Zugriff weder auf die Anwendung FTP noch auf den gemeinsamen Ordner FTP.
Eine gründlich und gut überlebte Rechtestruktur ist schon sehr wichtig, meiner Meinung nach, bevor man sich dem Internet öffnet. Wichtig ist aber auch noch, die Dienste, die man nicht benötigt, abzuschalten oder einfach nicht weiter zu leiten. Eine Weiterleitung von Port 5000 oder 5001 stellt für mich auch schon ein Sicherheitsrisiko dar, denn da liegt die Verwaltungsoberfläche im Internet und kann von überall her aufgerufen werden. Das würde ich nur mittels VPN machen, denn über die Portweiterleitung benötigt man nur noch das Kennwort für den Admin und ist schon drin, und das mit allen Rechten, die der Admin so hat.
Synology hat nicht umsonst für die PhotoStation ursprünglich eine eigene Benutzer-Verwaltung angelegt, da es losgelöst vom DMS funktioniert. Der Webserver arbeitet auch relativ losgelöst vom DSM. Wieso der admin sich aber via FTP anmelden kann, ist mir schleierhaft.
Zu den Benachrichtigungen der automatischen Blockierung. Ich habe bemerkt, daß seit etwa einem Jahr die Benachrichtigungen bei mir weniger werden (und das bei drei aktivierten Dyndns-Adressen für die gleiche DS). Ich habe lediglich ftp und web-Server offen. Ich hab der automatischen Blockierungs-Meldung auch noch etwas beigefügt, damit ich mit einem Klick weiß, woher der Angreifer kommt. In letzter Zeit lediglich aus fern-Ost oder Amerika. Wobei China und Korea da schon öfters auf der Liste landen.
Ich denke aber, es sind keine echten "Hacker" sondern entweder nur Skript-Kiddies oder sogar nur BOTs. Egal, was es ist, ich würde jedenfalls großen Wert auf Sicherheit legen.
Ciao Jan
