Nur mal eine kurze Frage: Anscheinend besteht Synology auf einem externen SSH-Zugang für Remote Support. Bin ich / ist meine Firma die einzige, die damit nicht nur im Hinblick auf unsere IT-Sicherheitsrichtlinien ein erhebliches Problem hat?
Synology-Support / SSH-Zugang
- Ersteller monochromec
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
- Registriert
- 03. Feb. 2012
- Beiträge
- 18.991
- Reaktionspunkte
- 630
- Punkte
- 484
Da bist du bestimmt nicht alleine, aber das sind die Bedingungen die Synology setzt.
Hast du denn Alternativvoschläge?
Hast du denn Alternativvoschläge?
- Registriert
- 13. Juli 2019
- Beiträge
- 5.533
- Reaktionspunkte
- 2.464
- Punkte
- 259
Wenn die Syno in deinem Unternehmen professionell als Server betrieben wird, wird es wohl jemanden geben, der das in der Firewall einrichten kann, ohne gleich alles ins Netz zu stellen.
Und wenn es niemanden gibt, der sich darum kümmern kann, dann ist remote support mit SSH vermutlich nicht euer größtes Problem.
Und wenn es niemanden gibt, der sich darum kümmern kann, dann ist remote support mit SSH vermutlich nicht euer größtes Problem.
- Registriert
- 03. Feb. 2012
- Beiträge
- 18.991
- Reaktionspunkte
- 630
- Punkte
- 484
Die Probleme hätte ich nicht primär mit der Absicherung des Netzes an sich, sondern damit, was die mit admin- bzw. root-Zugang auf der DS des nachts denn alles anstellen können. Da wäre ich doch lieber live dabei und schaue zu, was sie tun.
NormalZeit
Benutzer
- Registriert
- 15. Okt. 2012
- Beiträge
- 361
- Reaktionspunkte
- 17
- Punkte
- 24
Für sowas gibt es bei uns ausschließlich eine Teamviewer Session auf eine (virtuelle) Maschine, von der aus die Ziele per ssh (und ggf. weitere Ports) erreichbar sind.
So können wir dem Service bei der Arbeit auf die Finger schauen – und notfalls eingreifen/mithelfen. Normalweise wird parallel mit dem externen Supporter telefoniert.
So können wir dem Service bei der Arbeit auf die Finger schauen – und notfalls eingreifen/mithelfen. Normalweise wird parallel mit dem externen Supporter telefoniert.
Vielen Dank für das bisherige Feedback. Leider ist eine Isolation einer Synology in einer DMZ nicht möglich und natürlich verbieten allein die Grundlagen der IT-Sicherheit einen direkten, unkontrollieren Zugriff auf eine Maschine in einem firmeninternen Netzwerk von aussen.
Was mich wundert: Da sich Synology anscheinend immer mehr im B2B-Umfeld zu positionieren versucht, besteht der Support auf der grundsätzlichen Mißachtung grundlegender IT-Sicherheitsanforderungen. Sämtliche Versuche, diese kontrolliert im Rahmen einer Web-Session (Webex, wo die Anweisungen des Supports durch einen Mitarbeiter ausgeführt werden), wurden bisher stumpf mit einem "Wir benötigen einen direkten Zugang zu Ihrem Gerät" beantwortet.
Schade, daß die Entscheidung bzgl. eines signifikanten Invests unter diesem Aspekt nicht für Synology ausfallen wird, obwohl das Produkt firmenintern durchaus überzeugen konnte...
Was mich wundert: Da sich Synology anscheinend immer mehr im B2B-Umfeld zu positionieren versucht, besteht der Support auf der grundsätzlichen Mißachtung grundlegender IT-Sicherheitsanforderungen. Sämtliche Versuche, diese kontrolliert im Rahmen einer Web-Session (Webex, wo die Anweisungen des Supports durch einen Mitarbeiter ausgeführt werden), wurden bisher stumpf mit einem "Wir benötigen einen direkten Zugang zu Ihrem Gerät" beantwortet.
Schade, daß die Entscheidung bzgl. eines signifikanten Invests unter diesem Aspekt nicht für Synology ausfallen wird, obwohl das Produkt firmenintern durchaus überzeugen konnte...
"Leider ist eine Isolation einer Synology in einer DMZ nicht möglich" <- ??????
Zwar hat Synology in den letzten Jahren (grade in Düsseldorf) ordentlich an Personal aufgestockt, aber grundsätzlich muss man sagen: "Die müssen zugreifen und sich nicht auf irgendeinen..." (sorry, nix gegen Dich, nur ganz allgemein gesprochen
)..."... Hannes verlassen der Ihre Befehle abtippen soll und damit womöglich noch den grössten Bullshit baut und somit die 'unbezahlte' Supportzeit unnnötig in die Länge zieht)". Sag ich jetzt mal einfach so, weil ich das SEHR gut nachvollziehen kann. Auf der anderen Seite - Synology ist auch ein Unternehmen - haben die kleinen Support-Frontschweine auch Ihre klaren Richtlinien in Bezug auf das, was sie dürfen und von daher denke ich nicht, dass die da groß Möglichkeiten haben etwas anders zu machen.
Aber vielleicht mal so als kleiner Notbehelf... Ich weiss zwar nicht, ob "screen" verfügbar ist, aber man könnte mitunter eine entsprechende Session erstellen (beim Systemstart) und nach einem Login als root direkt ein Script ausführen , welches sich auf die screen-Session hängt. Somit hättest Du zumindestens die Möglichkeit "live" mitzuschauen. Allerdings wird Dir der Syno-Support vermutlich nicht direkt mitteilen, wann daran gearbeitet wird... Alternativ kann man natürlich auch hingehen und die bash_history ständig irgendwohin syncen (nur mit Versionierung)... dann kann man auch schon anhand der Dateigrösse sehen, wann ggf. die History gelöscht wurde.
Als letzte Möglichkeit würde mir halt noch einfallen, dass man Synology halt erstmal auf ein "ganz" anderes System via SSH lässt (Bastion-Host nur für den Syno-Support? sofern die Synology-Mitarbeiter das denn überhaupt "dürfen"/können, also nix via Teamviewer/RDP/sonstige Unrat), denn da könnte man dann wiederum so ziemlich alles in die Wege leiten zur Überwachung was einem grade so einfällt.
Grundsätzlich würde ich Dir aber doch schon empfehlen, dass Du einfach mal da "anrufst" und denen mal Deine Problematik schilderst. Ich weiss zwar nicht, wer da grade an der Support-Team-Spitze für Deutschland steht bzw. um welchen konkreten Bereich es bei der Thematik geht, aber i.d.R. ist Synology da wirklich SEHR kundenfreundlich. Mag sein, dass es da für den ein oder anderen Mitarbeiter halt nicht zutrifft, aber ich würde sagen, ruf einfach mal da an, es findet sich mit Sicherheit eine Lösung.
Zwar hat Synology in den letzten Jahren (grade in Düsseldorf) ordentlich an Personal aufgestockt, aber grundsätzlich muss man sagen: "Die müssen zugreifen und sich nicht auf irgendeinen..." (sorry, nix gegen Dich, nur ganz allgemein gesprochen
)..."... Hannes verlassen der Ihre Befehle abtippen soll und damit womöglich noch den grössten Bullshit baut und somit die 'unbezahlte' Supportzeit unnnötig in die Länge zieht)". Sag ich jetzt mal einfach so, weil ich das SEHR gut nachvollziehen kann. Auf der anderen Seite - Synology ist auch ein Unternehmen - haben die kleinen Support-Frontschweine auch Ihre klaren Richtlinien in Bezug auf das, was sie dürfen und von daher denke ich nicht, dass die da groß Möglichkeiten haben etwas anders zu machen.Aber vielleicht mal so als kleiner Notbehelf... Ich weiss zwar nicht, ob "screen" verfügbar ist, aber man könnte mitunter eine entsprechende Session erstellen (beim Systemstart) und nach einem Login als root direkt ein Script ausführen , welches sich auf die screen-Session hängt. Somit hättest Du zumindestens die Möglichkeit "live" mitzuschauen. Allerdings wird Dir der Syno-Support vermutlich nicht direkt mitteilen, wann daran gearbeitet wird... Alternativ kann man natürlich auch hingehen und die bash_history ständig irgendwohin syncen (nur mit Versionierung)... dann kann man auch schon anhand der Dateigrösse sehen, wann ggf. die History gelöscht wurde.
Als letzte Möglichkeit würde mir halt noch einfallen, dass man Synology halt erstmal auf ein "ganz" anderes System via SSH lässt (Bastion-Host nur für den Syno-Support?
sofern die Synology-Mitarbeiter das denn überhaupt "dürfen"/können, also nix via Teamviewer/RDP/sonstige Unrat), denn da könnte man dann wiederum so ziemlich alles in die Wege leiten zur Überwachung was einem grade so einfällt.Grundsätzlich würde ich Dir aber doch schon empfehlen, dass Du einfach mal da "anrufst" und denen mal Deine Problematik schilderst. Ich weiss zwar nicht, wer da grade an der Support-Team-Spitze für Deutschland steht bzw. um welchen konkreten Bereich es bei der Thematik geht, aber i.d.R. ist Synology da wirklich SEHR kundenfreundlich. Mag sein, dass es da für den ein oder anderen Mitarbeiter halt nicht zutrifft, aber ich würde sagen, ruf einfach mal da an, es findet sich mit Sicherheit eine Lösung.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
