Securityfrage zur Verwendung von rsync

[jo-hannes]

Hallo,

ich möchte Ordner meiner Workstations per rsync mit meinem NAS abgleichen. Das NAS ist mit DSM 6.2.3 ausgerüstet. Die Konfiguration hab ich soweit hinbekommen. SSH läuft per Key-Files und rsync mittels separatem User dadrüber. Soweit so schick.

Um rsync automatisiert betreiben zu können und die manuelle Passwortabfrage zu unterbinden, lasse ich rsync über SSH laufen (Option -e ssh) und der SSH-Zugang erfolgt mittels keyfiles. Um dem rsync User den SSH-Login zu geben, wurde er der Admin-Gruppe zugefügt.

Frage: Wenn ich rsync nutzen möchte/muss, muss das dann so sein? Ist der Weg sinnvoll? Oder geht rsync automatisiert auch anders? (Verschlüsselte Übertragung benötige ich nicht sooo dringend.)

Hintergedanke: Wenn eine Workstation kompromittiert wird, dann kann ein Angreifer theoretisch mittels Keyfiles vollen Adminzugang zum NAS bekommen. Zwar nur Konsole, aber reicht aus, um alles zu zerstören, wenn ich mich nicht irre. (sudo rm -rf /* - und tschüss ...) Das scheint mir etwas unglücklich. Kann man dem User nur begrenzte Adminrechte geben? Zum Beispiel: Zugriff nur auf Folder /volume1/netbackup/ und sonst nichts? (Schon gar nicht auf /)

Wir macht ihr das? Habt ihr da Ratschläge?
Jo

 

[NSFH]

Hat deine Syno 2 Nw-Ports? Wenn ja nutze einen nur für die Backups und mache da mit der Firewall alle Ports bis auf den Rsync Port zu.
Dazu würde ich einen reinen Backupuser mit entsprechenden Rechten erstellen.

 

[jo-hannes]

Hat deine Syno 2 Nw-Ports? Wenn ja nutze einen nur für die Backups und mache da mit der Firewall alle Ports bis auf den Rsync Port zu.
[...]

2 Netzwerkports habe ich. Aber ich ahne, dass das nicht so viel bringt, da ich von einigen Workstations auch auf gemeinsame Daten auf dem NAS zugreifen muss. Ich denke da aber mal drüber nach. Vielleicht fällt mir noch was in der Richtung ein.

Frage: Nur den rsync-Port öffnen, wenn ich rsync über SSH laufen lasse, dürfte nicht klappen. Da muss dann doch auch der SSH-Port offen sein. Und dann ist auch wieder der Zugang zur Konsole mit Admin-rechten offen. Oder übersehe ich da was?

 

[NSFH]

Du brauchst kein SSH. Das wäre nur sinnvoll, wenn du von Aussen auf dein LAN zugreifst.
Du kannst die Backupjobs auch mit Drive oder Backup for Business durchführen. Wäre meines Erachtens sinnvoller.
Einen Schutz vor Ransomware bekommst du aber egal mit welcher deiner Varianten so nicht hin, schliesslich bleiben die Anbindungen der Nutzer an ihre Nw-Laufwerke bestehen und damit hast du dir die Kröte schon eingefangen.
Dafür würdest du also eine andere Backupstrategie und -konfiguration brauchen

 

[jo-hannes]

Ich brauche kein SSH? Das wäre toll. Aber wie bekomme ich den rsync-Aufruf hin ohne manuell ein Passwort eingeben zu müssen??

 

[NSFH]

Wenn dein Nutzer sich doch sowieso am Server anmelden kann....
es gibt aber auch für ssh ohne pw einige Anleitungen im Web, zb https://www.bitblokes.de/synology-r...sh-ohne-passwort-eingabe-auf-das-nas-sichern/
oder direkt aus Windows mit https://itefix.net/cwrsync

Aber nochmal, deine Idee ist fragwürdig wenn es um einen Kompromittierungsschutz geht. Alle hier aufgezeigten Lösngen schützen davor definitiv nicht!
Den Abgleich der Dateien kannst du daher mit DRIVE viel einfacher haben.

 

[jo-hannes]

[...] es gibt aber auch für ssh ohne pw einige Anleitungen im Web [...]

Ja, das läuft bei mir schon ganz prima.
Aber es ging um die Frage rsync ohne SSH und dann auch ohne Passworteingabe. Da Du ja meintest, dass man in einer FW alle Ports bis auf den rsync Port sperren könnte, was meines Wissens nicht geht, wenn ich rsync über SSH laufen lasse...

Aber nochmal, deine Idee ist fragwürdig wenn es um einen Kompromittierungsschutz geht.

Naja, es geht in erster Linie darum, Daten auf Rechnern mittels rsync abzugleichen. Dass diese Daten aufgrund des Syncs nicht gegen Kryptojaner auf dem Client geschützt sind, ist klar. Dafür gibt es dann Backups im Schrank.

Wenn nun ein Rechner kompromittiert werden sollte, dann ist es "ok", wenn der Sync auf dem NAS dann auch weg ist. (Schrank öffnen, Daten kopieren, Kaffee kochen, fertig). Aber mir wäre lieb, wenn nicht gleich die ganze Diskstation platt ist, sondern nur dieser eine Share, mit dem der fragliche Rechner verbunden ist.

Wenn rsync nun per SSH mit Keyfile abgesichert wird, und der rsync User in der Admingruppe sein muss, dann könnte ein Angreifer mit den Keyfiles sofort vollen Adminzugriff auf die Konsole der Diskstation bekommen und dort alles platt machen.

 

[NSFH]

wenn ein PC kompromittiert wird und auch mit Nw-Laufwerk am NAS hängt hast du so oder so für alle Freigaben die Ar....karte gezogen. Ransomware gibt sich nicht mit dem lokalen PC zufrieden sondern lauscht sogar auf Admin-Passwörter.
Daher verstehe ich den Sinn überhaupt Rsync zu nutzen gar nicht.
Die einfachere Lösung wäre DRIVE oder Backup for business.
In Firmen habe ich inzwischen eine zweite Syno am laufen, die nur via Port von Hyperbackup ereicht werden kann. Nicht aus dem normalen LAN und die Bedienung erfolgt über die Remotekonsole von Synology. Das schützt zumindest bisher zu 100% vor jeglichem Datenverlust.

 

[jo-hannes]

[...] sondern lauscht sogar auf Admin-Passwörter.

Ja, das ist mir klar. Hmm ... vermutlich würde ich dann wohl zur Sicherheit eh die DS komplett neu aufsetzen.

Daher verstehe ich den Sinn überhaupt Rsync zu nutzen gar nicht.

Ich habe Ordner auf Notebooks, die mit Daten gefüllt sind und funktionieren sollen, auch wenn sie unterwegs sind - also kein Share greifbar ist. Sobald die zu Hause andocken, sollen die Daten abgeglichen werden. Desweiteren hätte ich die Daten gern jederzeit lesbar. Wenn die DS "zerbricht", möchte ich die Platte an meine Rechner hängen, mounten und die Daten auslesen können. Wenn da ein Drive oder Backup for Business am Werk ist, klappt das meines Wissens nicht. Daher erscheint mir rsync sinnvoll.

 

[the other]

Moinsen,
kann deinen Ansatz durchaus nachvollziehen, um Daten des road client mit dem NAS abzugleichen.
Bei den aktuellen Synology Entwickungen scheint es, als ob die Firma (aus Sicherheitsgründen) auf den ssh log-in für nicht admins verzichtet. Frühere workarounds sind afaik nicht mehr gültig bzw. gehen eben nicht.
Also bleibt die Frage, wie du (automatisiert) unter den von Synology diktierten Bedingungen die Synchronisation angehen willst. Da du dem rsync-User keine admin Rechte geben willst, geht ssh eben auch nicht. Doof, hab mich hier auch geärgert...hilft aber nix.
Also mal nach alternativen zu rsync umschauen...gibt es viele, viele basieren aber eben auf rsync. Oder sind nicht opensource. Oder doof. Oder...
Ich selber hab aber auch nicht die Notwendigkeit, Daten täglich syncen zu müssen, daher mache ich das jetzt old school manuell mit Grsync.Und als user mit admin Rechten. Au weia!! Aber da bin ich recht entspannt, weil alles Lunix basiert, weil zeitlich versetzte Backups auf unterschiedliche usb hdds und ein extra NAS (olles Ding, tut aber). Somit hab ich zum einen die backup Sicherheit, monatlich zeitversetzt...und den zentralen share für einige clients plus die lokalen Daten auf dem PC / Notebook für unterwegs ohne Netz an der Milchkanne...
Es gibt aber auch Tools, die du dir mal anschauen kannst: FreeFileSync etwa ist opensource, synct über (S)FTP und automatisiert...vielleicht wäre das ja was?

 

[jo-hannes]

Danke für Dein Feedback!
FreeFileSync schaue ich mir mal an. Vielleicht hilft das. Hab gesehen, man kann es auch von der Commandline steuern. Das klingt gut.