SSH Port 22 ändern, Hilfe für einen Neuling

[pagru]

Hallo zusammen

Ich bin noch ein Neuling, deshalb bin ich auf Hilfe angewiesen:

Seit einigen Monaten hab ich fehlgeschlagene SSH-Login-Versuche auf der Diskstation, täglich ein Dutzend Mal. Nach Recherchen im Internet möchte ich den Synology SSH-Port 22 ändern. Wie und wo kann ich das? Mit Hilfe des Internets bin ich noch nicht weitergekommen.

Danke für eure Hilfe.

 

[stefan_lx]

da ist meine erste Frage, warum der Port bei dir offen ist? Benötigst du ihn überhaupt? Wenn nein, die Weiterleitung im Router ausschalten, dann ist Ruhe. Benötigst du ihn, dann nutze ein "starkes" Passwort für root/admin und konfiguriere die IP-Blockierung.

Da du gefragt hast: Den Port kannst du erstens auf dem Router "verbiegen", also statt Port 22 extern auf den Port 22 der syno weiterzuleiten, z.B. Port 222 extern auf Port 22 der syno weiterleiten. Zweite Möglichkeit ist in der /etc/ssh/sshd_config den Port zu ändern.

Beides wird denjenigen, der deine syno kapern will, nicht davon abhalten, dies zu tun, diese Maßnahme hilft nur gegen das "Grundrauschen" im Internet...

Ich empfehle dir die Lektüre von http://www.synology-forum.de/showthread.html?49873-St%E4ndige-Angriffe-auf-meine-Diskstation, http://www.synology-forum.de/showthread.html?21249-Sicherheit-bei-offenen-Ports-22-873 und http://www.synology-forum.de/showthread.html?48262-Hintergrundwissen-Security-Probleme-von-offenen-Ports.

Stefan

 

[pagru]

Danke Stefan.
Passwort ist genug stark, IP Blockierung ist eingeschaltet. Den Port verbiegen, das hab ich noch nicht hingekriegt.

Gelesen hab ich schon von der Variante, den Port zu ändern über /etc/ssh/sshd_config. Und g-e-n-a-u das interessiert mich. Wie kann ich das tun? Wo kann ich das tun? Was muss ich eingeben?

 

[stefan_lx]

Nur noch mal eine Rückfrage: brauchst du denn den ssh-Port wirklich?

Stefan

 

[pagru]

Ich mache Netzwerksicherungen über das Internet, deshalb ist Port 22 offen. Ja, ich möchte ihn eigentlich schon brauchen.

 

[stefan_lx]

ok, das machst du aber bitte auf eigene Gefahr, schau dir vorher(!) mal im wiki die kleine Anleitung zum vi an.
Sei dir darüber im Klaren, dass du dich so auch gut aussperren kannst!

du meldest dich als root(!) mit dem Passwort von admin an.
mit vi /etc/ssh/sshd_config landet du in der richtigen config. Mit Tastatur-Pfeil abwärts gehst du in Zeile, in der "#Port 22" steht.
Drück die Entf-Taste, dann löscht du das #
Drück die Ende-Taste (Sprung an das Zeilen-Ende)
Drücke a oder i (append bzw. insert)
Tippe ein 2 (dann steht da 222)
Drücke Esc
Tippe :x (Verlassen und Speichern)

/usr/syno/etc/rc.d/S95sshd.sh restart

Wenn alles richtig war, fliegst du raus und kannst dich anschließend mit Port 222 wiederverbinden. Wenn es schief geht, kannst du dich über Port 23 (telnet) noch anmelden und die Änderung wieder rückgängig machen.
Z.B. wieder den Aufruf mit vi, in die gleiche Zeile an den Anfang gehen, i drücken und dann # eingeben, Esc und dann :x. Damit ist die Zeile auskommentiert und der Standard mit Port 22 greift wieder, sobald der sshd neugestartet wurde.

Du solltest dir evtl. das admin-Tool von Itari installieren, da kannst du das über eine grafische Oberfläche machen, sowohl Änderung der Configuration als auch den Neustart des sshd.

Stefan

 

[pagru]

Vielen Dank, ich mache nun einen Schritt nach dem andern:
Anmelden mit dem Benutzer Root kann ich nicht, keine Berechtigung. Jedoch gehts mit dem Admin Konto.
Wo finde ich den VI, Visual Editor? WO muss ich diesen aufrufen?

 

[stefan_lx]

du brauchst den root, admin kann in der Konsole keine Änderungen speichern

vi /etc/ssh/sshd_config

und dann so wie ich es beschrieben habe..

Stefan

edit: link zum wiki mit vi.

 

[joku]

Internet möchte ich den Synology SSH-Port 22 ändern.

Hallo, wenn wer Deine Ports scannt, dann scannt er nicht nur ein Port.
Er scannt erst einen Bereich und danach bestimmte Ports.
Also, gute Passwörter und was es sonst gibt oder Port von extern zu

Gruß Jo

 

[pagru]

Ich bin da schon gescheitert, Anmeldung mit root und Admin-Passwort ist nicht möglich, keine Berechtigung. Weshalb, keine Ahnung.
Ginge auch eine VPN Verbindung, anstelle von Netzwerksicherung Port 22? Kann der NAS Sicherungen auch via VPN machen?

 

[Ameisentaetowierer]

Hi,

zum einen muss ein VPN eigentlich "transparent" sein, was bedeutet, dass die beteiligten Clients eigentlich nicht wissen, dass da ein VPN ist.

Zum anderen:
Erkläre doch mal bitte, wie/wo du die Sicherung machst?
Ich habe es so verstanden, dass du eine Sicherung von deiner DS woanders hin machst.
Dann brauchst du eigentlich keinen ssh nach aussen.

Außerdem:
Wenn dein DSL-Router eine Weiterleitung von Port 22 nach Port 22 macht, nutzt dir das ganze mit Port 222 gar nichts.
Dann musst du deinen DSL-Router so konfigurieren, dass er eine Weiterleitung von Port 222 nach Port 22 macht.

Außerdem:
Es ist wahrscheinlich sehr viel ungefährlicher, wenn du nur das konfigurierst, was du auch wirklich verstehst.
Mit deinem "Halbwissen" kannst du ganz schnell eine unsichere konfiguration erzeugen, ohne was davon zu merken.
Auch wenn es keine absolute Sicherheit bedeutet, lass dein System von Heise scannen:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

 

[pagru]

Was macht dann am meisten Sinn?

Ich habe zwei Synology NAS: Die eine im Haus A und die andere im Haus S. Die vom Haus A synchornisiert gemeinsame Ordner und macht die Datensicherung zum NAS im Haus S. Der Router bei Haus S hat nun den offenen Port 22 und über ein Dutzend Angriffe täglich. Ich möchte das unterbinden.

 

[Ameisentaetowierer]

Am Ende dieser Seite werden "ähnliche Themen" vorgeschlagen.

Daraus habe ich diesen Link:
http://www.synology-forum.de/showthread.html?38502-2-Synology-Backup-via-WAN-Port-22-SSH-%E4ndern

Sinngemäß steht da, dass du zwar den Port in Haus S ändern kannst, das dann aber in Haus A nicht berücksichtigen kannst.
Wobei...man kann in der ssh Clientkonfiguration auch eine spezielle Konfiguration je Host angeben.....
Hier ist das beschrieben:
http://nerderati.com/2011/03/simplify-your-life-with-an-ssh-config-file/ (Beispiel Port 22000)

Du müsstest also in Haus S auf dem DSL-Router eine Weiterleitung von 22000 nach 22 machen.
Dann noch die Clientconfiguration der DS in Haus A so ändern, dass der ssh Client (ich weiss nicht, unter welchem User die Sicherung läuft...vermutlich root?) des Users, der die Sicherung durchführt, so ändern, dass er bei Zugriff auf Haus S automatisch den Port 22000 benutzt.

 

[Scrabbledo]

Hallo,
ich habe das gleiche Problem, mit den vielen "Angriffen" auf Port 22.

Habe hier beide Versionen versucht (Umleitung im Router bzw. im Config-file) aber beide funktionieren nicht.

Im Config-File:
- habe ich auf einen freien Port gewechselt (z.b. 7365)
- in der DS SSH-Dienst aktiviert
- in der DS Firewall den Port 7365 aufgemacht
- im Router (fritzBox) den Port 7365 auch aufgemacht
=> Ergebnis: ich musste Telnet aktivieren um alles rückgängig zu machen, denn ich konnte mich per SSH einfach nicht mehr verbinden

Im Router (FritzBox):
- eine Port-Weiterleitung von extern: 7365 (any IP) auf intern: 22 (nur DS-IP) eingerichtet
- in der DS den SSH-Dienst aktiviert
- in der DS Firewall den Port 22 (SSH) aktiviert
=> Ergebnis: kein Putty/WinSCP per SSH möglich auf diesem Port [Client = root und Port habe ich angepasst]

Wenn ich in der Fritzbox den Port 22 aktiviere, komme ich wieder drauf, mit meinem 7365'er Port nicht.

Habe selbst WLAN am Laptop deaktiviert und mich mit der internen WAN-Karte per Internet verbunden. Aber auch da geht nur Port 22, nicht mein selbst gewählter Port.

Was mache ich also falsch? Übersehe ich etwas bestimmtes?

Grüße,
Scrab

PS.: für den FTP-Port hat es übrigens wunderbar geklappt. Den konnte ich ja sogar direkt über die Oberfläche ändern. Dann nur die interne DS-Firewall angepasst, sowie die Portfreigabe in der Fritzbox und Zugriff per FTP ist nur noch über den von mir gewählten Port möglich. Warum also funktioniert das Ganze nicht auch mit SSH? ;-(

 

[pagru]

Kann mir jemand zusätzlich noch folgende Frage beantworten:
Ich hab bei einem Heimnetzwerk sämtliche Ports geschlossen bis auf den VPN Port 1723. Warum hab ich sogar dann über 22 SSH-Angriffsversuche? Dieser Port 22 ist ja gar nicht offen. Kommen auch SSH-Versuche über 1723 rein?

 

[Ameisentaetowierer]

Hi,

ich habe es gerade mit meiner Fritzbox und DS probiert.
In der Fritzbox eine Weiterleitung von TCP Port 2222 auf die DS Port 22.
Kein Problem, ich komme durch.

Deine Konfiguration hört sich für mich gut an, ich würde immer die Nr. 2 bevorzugen.
Mich macht allerdings der Satz "In der DS Firewall Port 22 aktiviert" stutzig.
Bei mir ist der immer offen, da ich den vom Laptop regelmässig benutze.
Ich sehe auch keinen Grund, den im internen Netz zu filtern.

 

[Ameisentaetowierer]

Kann mir jemand zusätzlich noch folgende Frage beantworten:
Ich hab bei einem Heimnetzwerk sämtliche Ports geschlossen bis auf den VPN Port 1723. Warum hab ich sogar dann über 22 SSH-Angriffsversuche? Dieser Port 22 ist ja gar nicht offen. Kommen auch SSH-Versuche über 1723 rein?

Vielleicht hast du was falsch gemacht?
Was meinst du mit "sämtliche Ports geschlossen"?
Du kannst ja mal über Heise -wie oben bereits beschrieben- deine eigene Firewall testen.

 

[Scrabbledo]

Hallo Ameisentaetowierer.

Danke für die schnelle Antwort.!

Mmh, bei mir funktioniert die Portweiterleitung leider immer noch nicht.
Habe inzwischen noch andere Ports versucht, aber auch ohne Erfolg.

Mit meinem Hinweis "in der DS FW den Port 22 aktiviert" wollte ich nur deutlich machen, dass ich diesen Schritt bedacht habe, sonst käme eventuell die erste Frage, ob der Port in der DS selbst überhaupt geöffnet ist bzw. der Terminaldienst aktiviert wurde. ;-) Logischerweise ist dieser bei mir auch normal geöffnet.

Habe jetzt den Eintrag aber angepasst und als Quell-IP die von meinem Laptop angegeben.
Damit haben zwar die "Angriffe" aufgehört (auch wenn nach 2 Fehl-Login die IP sowieso gesperrt wird) und ich kann mich per Port 22 lokal einloggen, wollte aber gern die Möglichkeit nutzen, dies ggf. auch aus der Ferne tun zu können, was dann ja aber nicht mehr geht, da meine öffentliche IP dann dynamisch wird. Daher die Idee mit dem geänderten Port.

Na ja. Ich bastele mal weiter, werde alle Geräte (FritzBox, Diskstation und Laptop) nochmal neu durchstarten und dann mal schauen, ob sich etwas verändert hat.

Scrab

 

[pagru]

Ameisentaetowierer

Ich habe alle Ports geschlossen, bis auf VPN 1723, und habe sogar dann Versuche über 22 SSH-Dienst. Es ist alles richtig konfiguriert, auf Router und DSM Firewall ist die 22-er-Tür zu.

Weshalb kann das sein?

 

[Ameisentaetowierer]

Habe jetzt den Eintrag aber angepasst und als Quell-IP die von meinem Laptop angegeben.

Verstehe ich das jetzt so, dass du auf der DS eine Firewall konfiguriert hast, die normalerweise nur die Fritzbox auf den Port 22 durchlässt?

Es gibt für mich eigentlich nur 2 Gründe, warum das bei dir nicht funktioniert:
- eklatante Fehlbedienung des Putty - schliesse ich mal aus
- dein DSL-Router macht Quatsch, wenn du von innen auf das externen Interface zugreifst, dich also mit dem Client nicht tatsächlich im Internet befindest