Fórumok
Először konfigolok Synology -t. Használom rajta a Synology Drive nevű cuccot, amitől elvárom hogy a shared linkek és maga a szinkronizálás távolról is működjön.
Amiket megtettem eddig: admin és az 1 db user jelszava elég erős, let's encrypt cert telepítve, force https engedélyezve. A 2 factor auth -ot majd még bekapcsolom.
(Vannak egyéb módszerek a synos doksi szerint: upnp (kösz nem), E-Z internet (ami a megértésem szerint egy wizard ami segít ugyanazt megcsinálni amit megcsináltam már), quick connect (syno cloud alapú, kösz nem)).
A doksi alapján: https://www.synology.com/hu-hu/knowledgebase/DSM/tutorial/Network/What_…
Synology Drive Server | 80 (link sharing), 443 (link sharing), 5000 (HTTP), 5001 (HTTPS), 6690 (Synology Drive Client) | TCP |
Hozzászólások
A publikus elérést kerülném, inkább valamilyen szimpatikus VPN-t húznék fel, nem standard porton (40k fölé téve...) és akinek kell az eléri. Ha mégis kell a publikus elérés, akkor nagyon minimálisan ereszteném ki az Internetre, csak az ssl-es portokat engedném, de a 5000 és 5001-es menedzsmentet semmiképp. Ha publikus, akkor a frissítésére és a mentésére különösen oda kell figyelni.
Köszi. Kivettem az 5000 és 5001-et. A drive -nak két belépési pontja van: webes nézet (ez megy az 5000/5001-en) és asztali alkalmazás portja. Nekünk elég az utóbbi. Hálisten, hogy a fájlmegosztásokra van külön portja, ami különbözik a managementétől.
VPN nem annyira játszik, én magamtól még használnám, de a másik usernek az egyszerű hozzáférést kell biztosítani.
firewall mindig jo otlet. amugy meg hasznalj knockd -t. Javaslom az iptables alaput, az teljesen transzparens es sokkal rugalmasabb.
pl. https://omgjava.wordpress.com/2016/10/04/creating-knockd-with-iptables/
Pont annyira biztonságos mint bármi mást, pl. NextCloud, bármilyen webmail, WordPress, stb. Nekem egy rakás van, ha Magyarországról használod esetleg a tűzfalon szűrheted az országot IP-re, akkor a törések 99%-át kizártad egyből. Egyébként meg be kell tartani a szokásos dolgokat, de ezeket már leírtad, meg figyelni kell a security bulletin-eket.
A quick connect epp arra jo, hogy nem kell kozvetlenul publikusba kirakni a szervert, a kapcsolat a felhon keresztul megy. A sajat synology lehet tuzfal mogott, es csak a quickconnecten keresztul ered el. (Lehet sajat tanusitvanyt is rarakni, de ezt latom irtad). A syno cloud csak a kapcsolatat hozza letre, nem kell ott tarolni semmit.
Nekem jol jott a quick connect, nem a sajat digi elofizetesem alatt van NAS, nem lehet csak ugy publikussa tenni.
Nekem is van tobb, ami kint van. Ugyfelekkel lo nagy fileokat csereberelunk. Vpn is megy de aki nem ert hozza (ugyfel) annak nyugos. Alpveto biztonsagi dolgokat/frissiteseket be kell tartani de ezt ugyis irtad. En a szokasos portokat (ssh, telnet stb) tuzfalon elso kiserletre blacklistelem. Hazi home video gyujtemenyed azert ne ezen tarold :)
vati
Köszi a válaszokat. Beállítottam a következőket:
- auto update DSM + app packagek
- fail2ban
- geoip alapján tűzfal: Hungary adott szolgáltatásokra, LAN teljesen nyitott, minden más ország minden deny
- (hátravan, mert email is kell hozzá) 2factor auth
Sajnos a fent említett portok mindegyike kell valamiért, ha letiltom az 5000-et, akkor ugrik a drive sync, ami elég elkeserítő, de ez van.
Node rendes mentés készül róla valahova?
Ami ezen a NASon van az kétféle anyag:
- linux ISO-k
- synology drive-os 2way sync, vagyis a mindenkori adat eleve két helyen van meg
Tehát nem szükséges külön menteni, de tervben hogy mentődni fog (egy plusz diskre naponta + amazon glacierben offsite-ra, hátha leég a lakás).
Ha szinkronizál, akkor odavissza oda lehet verni az adatokat, ezért a klienseket is érdemes védeni. Ha plusz diszkre mentesz mindenképp legyenek legalább heti fullos és független állapotok, ne legyen felülírás állapotkép szerűen.
Az tök jó, mert egy esetleges ransonware után is két példányban lesz meg - csak hát mindkét helyen titkosítva ;)
zrubi.hu
Ahogy írtam lesz egy meleg meg egy hideg mentés is automatizáltan (mindkettő full, az egyik "tegnapi" a másik meg egy "múltheti" full state). A hideg glacierbe megy felfelé. Jöhet bármilyen árvíz vagy ransomware, maximum letöltöm azt. :)
De abban igazad van, hogy a 2way önmagában elég kevés dolog ellen véd. Talán az ellen, hogy ha ellopják a laptopot vagy meghal a diskje.
Az kinos szokott lenni, amikor az automatizalt backup felulirja a second copyt, mert mondjuk hetvegen nem volt senki, aki eszlelje a problemat. Offline copy felugyelet mellett.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Synolocker nagyon szerette a publikusan elerhető nas-okat.
Mutass egy rendszert amihez még nem volt sec. probléma...
Mellesleg a frissített, up to date rendszereket nem érintette.
https://www.synology.com/hu-hu/company/news/article/Synology_Encourages…
Nem kell kirakni a netre es nincs ilyen gond.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Be se kell kapcsolni semmilyen számítógépet és akkor még annyi gond sincs :)
Azért egy Wordpress, vagy Joomla, vagy akár NAS OS az célpont, valszin jobban, mint egy Linux kernel vagy SSH bug. Nyilván egy WP-t vagy Joomlát elég nehéz nem webre tenni, kivéve ha privát az oldal. Egy SSH már jobban védhető, akár tűzfallal, akár speciális porttal, meg szigorú beállítássokkal a Linux root bugokig nehezen jutnak el.
Szóval ha kiereszted mindenképp sűrű frissítés, rendes mentés, ahogy csak lehet tűzfalazás és csak a minimális portokat engedd ki, de ettől még nem a legjobb ötlet.
Sokszor ez valoban igaz. :) egyebkent pedig nem kell kipakolni a netre egy ilyen, tamadhato cuccost, legalabb egy tuzfal legyen elotte es csak a legszuksegesebb szolgaltatasokat forvwardolni, de inkabb vpn moge az egeszet.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Szükségem van a synology drive-ra, tehát kirakom. A kérdés az, hogy hogyan tudnám ezt biztonságosan megtenni. Az előző hasonló rendszerem ~6 évig kint volt a neten minden probléma nélkül. Van, amikor ezt nem tudod elkerülni, mert nem működik majd a szolgáltatás, amire szükséged van.
Nem engem kell meggyőznöd h. a security peccsek fontosak. Csak tény, h. a zsarolóvírusok 2014-15 környékén a Synolocker-rel kezdték meg diadalmenetelésüket a konzumer világba a netre dugott NAS-okon keresztül.
Az a kb fél éve javított biztonsági résen jutott be döntően xpenology gépekre.
Csakis VPN mögé tenném, de nagyon sokan használják közvetlenül.
Vagy a router vagy Synology VPN megoldását használnám és minden csatlakoztatandó eszközre kliens telepítenék. Amióta van crypto hw majdnem mindenben már egyáltalán nem erőforrás igényes egy vpn szerver.
Egy csomó pro-kontra gondolkodás után az eredeti ötletemmel ellentétben mégiscsak a quick connectre lőttem, és kikapcsoltam minden közvetlen bekötést a net felől. A tűzfalszabályokat és a többi biztonsági beállítást azért megtartottam.
Jó döntés! - Csak saját, szigorúan egyedi tapasztalat: (messzemenő következtetést nem kell levonni belőle..,) A legidősebb eszköz 508-as, 10 pár éve elindítva; ma már 3 különböző Syno-t használok NAT-olt alhálón, egy sincs kint publikus elérhetőséggel. Mégis az elmúlt években (2-3 szor legalább!) előfordult, hogy - szoftverhiba vagy más ki nem derített ok miatt, - önmagától alapértelmezett jelszóval találtam az egyébként rendes, 20 karakteres jelszóval adminisztrálható eszközt. (pw csak nálam van meg, senki másnál, a szerver-szobához nekem van kulcsom. Saját magam vettem rá a zárat is.., nem olcsót és saját zsebből!! :) - Szóval.., azóta nem bízom a Syno-sok fejlesztette szoftverben, szoktam ellenőrizni, hogy a jelszavam megvan-e még...! - És akkor ezeket még kitenni publikus netre???)
- Hozzáteszem, ilyen az általam még ezeken kívül hosszú idő óta használt FreeNAS-eknél - hogy ne tudjak belépni az aktuálissal, még ha nem néztem rá egy évig sem, - még soha, de soha nem fordult elő! (Valamilyen ok miatt, - valaki lentebb épp ezt javasolta, - a DSM azt sem szereti, ha az ember saját admin-t kreál és letiltja az alapértelmezettet. Nekem már ezzel is volt belépés-megtagadás esetem.) - Mindezt teljesen legális, saját szerzői jogosultságú grafikai munkák tárolása mellett..!
Még egy módszer beleraknék a kalapba a teljes DSM felület elérésére: a control centerben létrehozol egy reverse proxyt beállítást pl. a fajlok.<sajat domain>.duckdns.org -ra (ahol működik a wildcard dyndns) és a 127.0.0.1:5000 portra irányítod...
[mj1: ha csak a fájlmegosztás kell, akkor még ettől is egyszerűbb: beírod a kívánt domaint az applicaiton shortcuts-ba, talán, és akkor a sima 443-as porton működni fog
mj2: arra figyelj,h a domainre wildcalrd ssl cert-et használj, mert, ha az aldomain-re a syno beépített etsecnryptjével kérsz cert-et, akkor benne lesz a cert-ben a domain és szépen fognak próbálkozni...]
Így kívülről csak akkor érhető el a dsm felülete, ha tudod az aldomaint. Ez a próbálkozások 99.999%-át megfogja, ha nem hirdeted az elérhetőségét a nasodnak. A maradékra meg update és jószerencse kell - vagy egy rendes proxy dockerbe (ngnix, traefik, haproxy ...) + forward auth + egy tetszőlegesen támogatott backend erre (lehet authelia, google, github, azure, ami tetszik...) [sajnos a legegyszerűbb http-basic-auth nem megy a websocketes vackok miatt].
S.
En tettem ele egy nginx reverse proxit http user+pass -szal. Mar vagy 5 eve megy. Vagyis van egy kis baki vagy egy fel eve az egyik synology frissites ota mobilnezetbol nem enged be. Azt irja ki, hogy helytelen jelszo.
Ha "request desktop site"-ot bekapcsolom, akkor beenged mobilon is.
Meg nem volt kedvem kidebuggolni.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
1.: Létre kell hozni egy adminisztrátor jogú felhasználót, és ugyanazzal a jogkörrel felruházni, mint az admint.
2.: Az admin usert le kell tiltani.
3.: Ssh, telnet portokat csak a belső hálóról lehessen elérni.
4.: 2 faktoros azonosítás mindenkire.
5.: Fail2ban bekapcsolása
Azt hiszem talán ezeket találja meg nálad is a synology biztonsági biztonadó app, ha lefuttatod.