Beiträge von elschafo

Zitat von "christian"

Leider etwas spät aber genau deshalb wirbt QNAP für die TS-109 und TS-209 Serie plus TS-409 als HOME & SOHO. Für Firmen und höhere Ansprüche wird die TS-409 Pro, TS-409 U und die neue TS-509 Pro angeboten.
Christian

Bietet die Software der gehobenen Klasse denn auch die gewünschten Sicherheitsmerkmale?
Ich hatte den Eindruck als wäre die Hardware einfach stärker und die Software sonst ähnlich. Aber in der Firma meines Vaters muss der Server TS-109 eigentlich nicht mehr tun, als er es in meiner HOME-Umgebung tun müsste. 1 TB Speicher reicht auch allemal. Und trotzdem schmiert er ab.

Mich würde vor allem mal interessieren woher das kommt. Ich habe selbst ein embedded Linuxsystem mit ähnlicher Hardware (566Mhz und 128MB Ram), jedoch Ubuntu Server als Betriebssystem. Der läuft erheblich stabiler als mein TS-109 und ich musste den noch nie neu starten. Auch habe ich da natürlich die Sicherheitsrichtlinien auf dem Gerät sehr streng, so dass ein Hämmern durch Skriptkiddies praktisch unmöglich ist.
Kommt ein Aufhängen dann einfach durch die zu schwache Hardware?

Ansonsten finde ich, dass die Intrusiun-Prevention trotzdem auf das NAS gehört (muss ja kein Superduperteil sein, aber eben wohl durchdacht), da im HOME-Bereich der Standard ist: Router (evtl. mit SPI - was nicht reicht) und dann direkt das NAS. Und Fakt ist, es schmiert aktuell zu oft ab.

Und wenn ich schon dabei bin, folgendermaßen kann man den Apache-Server weniger geschwätzig machen und somit die Gefahr vermindern, gehackt zu werden, da Hacker oft nach dem Serverstring suchen:

Editiere die Apache-Config unter: /mnt/HDA_ROOT/apache/conf/apache.conf

Und ändere Serversignature On zu ServerSignature Off
und füge die Zeile ServerTokens Prod hinzu.

Weitere Abdichtungen zu FTP folgen, wenn ich mehr weiß.

Zitat von "W650"

Kann man das auch so machen das es Tägliche ne neue Datei gibt ???

Und sich nicht auf die letzten paar Zugriffe beschränkt ???

Ich nutze das NAS ausschließlich als Webserver... :oops:

Ja kann man.

Ich habs folgendermaßen gelöst:

Editiere die Datei /etc/init.d/Qthttpd.sh

Bei der Funktion clean_apache_log() wird standardmäßig in den ersten beiden Zeilen die aktuelle Logdatei gelöscht.
Setze also vor die beiden Zeilen noch folgende:

LOG_BACKUP="/share/HDA_DATA/Verzeichniswologdateihinsoll/"
LOG_TIME=$(date +"%Y%m%d%H%M%S")
/bin/cp /usr/local/apache/logs/apache_error_log "$LOG_BACKUP"apache_error_log_"$LOG_TIME"
/bin/cp /usr/local/apache/logs/apache_access_log "$LOG_BACKUP"apache_access_log_"$LOG_TIME"

Damit wird dann bei jedem Neuladen des Apaches nicht nur die Logdatei gelöscht, was wohl einen Sinn haben wird, sondern auch die Log-Dateien mit aktuellem Datum als Logdatei gespeichert.

Ich hoffe das hilft.

Schönen Gruß,

Das Schaf

Servus,

ja, das große Problem ist, dass das NAS als Server für die Firma meines Dads vorgesehen ist.
Da sollen dann Kunden über FTP und HTTP Dateien hochladen können. Diese Funktion darf nicht fehlen. Den Kunden kann man dann nicht erklären, hey, macht doch nen SSH-Tunnel weil so läuft unser System stabiler...

SSH selbst läuft nicht auf dem Standardport und das Hauptproblem scheint echt das Hämmern auf den FTP zu sein.
Gerade bin ich aber dabei das per Hand abzudichten.
Ich mach gerne nochmal einen Thread auf mit einer Anleitung, wie man die Sicherheit mit wenig Aufwand verbessern kann.

Schön wäre es, wenn diese Sachen dann auch in der kommenden Firmware vorzufinden wären.
Dazu schreib ich aber nochmal den Herrn Admin von hier an.

Mit der aktuellen Firmware ist es auf jeden Fall zu empfehlen möglichst keine Ports in die weite Welt offen zu haben.
Bim letzten Absturz gab es auf jeden Fall keine FTP Zugriffe. An was es genau liegt, kann ich noch nicht sagen. Muss mal tiefer die Logs begutachten.

Schlecht finde ich aktuell auch, dass die Apache Logs bei einem Neustart automatisch gelöscht werden. Da kann man dann herzlich wenig über Angriffe erfahren. Sollte auch noch geändert werden.
Hab die Logs jetzt umgelenkt auf den unersättlichen Speicher der 3,5" Platte.

Edit:

Achso,

und zum Thema Firewall, das ist natürlich sehr nützlich, wenn man einen Router/Firewall hat, der/die Intrusion-Prevention kann.
Bei kleinen Firmen will man halt leider nicht allzuviel in gescheite Hardware investieren. Die SPI des Routers muss da ausreichen.

Aber ich habe erkannt, dass das TS-109 aktuell einfach nicht für Firmen gemacht ist, die eine gewisse Sicherheit brauchen.

Aber kann man ja noch anpassen und neue Märkte erschließen.

So, jetzt muss ich doch nochmal schreiben, weil es mich so langsam aber sicher tierisch aufregt.
Mein TS 109 hängt sich spätestens alle 3 Tage auf.
Ich nehme an, dass es mit den Online-Attacken zusammenhängt. Die Standard-Ports HTTP, HTTPS und FTP (auch PASV) sind öffentlich für jeden zugänglich und ja eigentlich auch völlig normal für einen Server, diese offen zu haben.

Nicht normal für einen Server ist es, dass er innerhalb so kurzer Zeit schlapp macht.
Das kann es doch echt nicht sein, dass man alle paar Tage den Server rebooten muss, damit er wieder läuft.

Bitte bitte tut schleunigst was, damit eure NAS-Systeme stabiler laufen. Das ist echt grausam!
Da tu ich sonst echt lieber wieder meine alte Linuxkiste hin. Die läuft wenigstens viele Monate bis Jahre ohne Wartung.

Hallo liebe IT Experten

Freut mich sehr, dass sich beim Thema Sicherheit etwas tut. :thumb:

Ich kann gerne ein paar Tips geben, falls es an Sicherheitsexperten in Fernost mangelt.
Aber so wie es sich anhört, tut sich ja so einiges und ich wollte in erster Linie mal wachrütteln.

Die wichtigsten Dinge habe ich ja genannt.
Einfach so wenig wie nötig preisgeben und eine Intrusion-Prevention aufsetzen.

Weil es einfach nur wenige gibt, die sich mit Sicherheit gut auskennen und denen das überhaupt bewusst ist, gibt es eben viele NAS Systeme, die schutzlos im Internet stehen (siehe Google).
Und damit man möglichst nicht die Kriminalität im Internet unterstützt, sollte man als Hersteller immer davon ausgehen, dass der Kunde keine Ahnung von Sicherheit hat und viel falsch macht. Daher muss das System Sicherheitsvorkehrungen treffen, so dass selbst fahrlässige Konfigurationen des Systems nicht dazu führen, dass man ohne Weiteres dort einbrechen kann.

Aktuell ist das NAS Bruteforce- und Wörterbuchattacken schutzlos ausgeliefert.
Auch ein hinweis auf die Passwortqualität wäre toll, aber wäre jetzt nicht das erste, was zu machen ist.

Schönen Gruß aus dem sonnigen Süden

Grüß Gott,

mir ist nach ersten Tests aufgefallen, dass die aktuelle Firmware 2.1.0 einige Sicherheitslücken aufweist.
Daher will ich das Thema Sicherheit generell ansprechen.

Da ich mich seit längerem mit IT Sicherheit befasse will ich an dieser Stelle QNAP ans Herz legen, es den Hackern und Scriptkiddies in der nächsten Firmwareversion nicht so einfach zu machen!

Das ist ja wirklich ein Armutszeugnis und eine Freude für jeden, der in das NAS einbrechen will, wenn man sich anschaut, was in Sachen Sicherheit bisher gemacht wurde. Als Hersteller hat man in der heutigen Zeit des E-Crime doch eine Verantwortung dafür, dass Systeme sicher sind. Aktuell sind die Sicherheitsvorkehrungen doch eher schlampig!
Mein alter Linuxserver, den ich Jahre nicht gewartet habe, lief zu Spitzenzeiten ohne Absturz und Einbruch ca. 1 Jahr durch.
Das neue QNAP-System TS-109 ist mir heute am ersten Online-Tag abgeschmiert wegen mangelhaften Sicherheitsvorkehrungen von Seiten der Firmware!

Ich versichere Ihnen, IT-Sicherheit ist sehr sehr wichtig und sollte eine hohe Priorität haben!
Es ist nicht im Sinne der QNAP-Kunden, dass Hacker leicht auf sensible, persönliche Daten zugreifen können!
Sollte sich daran nichts ändern, werde ich mit Sicherheit kein QNAP-System mehr kaufen.

Sehr nützlich für Hacker sind Informationen über das verwendete System. Demnach sollte nach Möglichkeit so wenig wie möglich über die Software des Systems öffentlich preisgegeben werden.
Der Webserver dieses Forums gibt z.B. auch nur Preis, dass es ein Apache-Server ist. Das ist gut so.
Das QNAP NAS hingegen redet sehr gerne:

Bei HTTP: Apache/1.3.37 (Unix) PHP/5.2.0
Bei FTP: 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.0.2]

Das ist eine völlig unnötige Preisgabe von Informationen über die sich Hacker sehr freuen.
Ist das NAS online, wird es auch durch Suchmaschinen erfasst (oder Scans durch Hacker). So müssen Hacker nur nach z.B "Apache/1.3.37" suchen und können bei einer gegebenen Sicherheitslücke dieser Softwareversion sehr schnell das System kapern.
Es werden ständig neue Sicherheitslücken entdeckt, so dass die Preisgabe solch heikler Versionsdaten heutzutage ein hohes Sicherheitsrisiko birgt!

Dass man sich so oft man will über FTP ins QNAP NAS einloggen kann ist natürlich auch unglaublich fahrlässig.
Sogar der SSH-Login ist ein Traum für Hacker. Zwar wird nach (glaube ich) 8 fehlerhaften Loginversuchen die Verbindung unterbrochen, allerdings kann man trotzdem einfach wieder eine neue TCP-Verbindung aufbauen und hat wieder 8 Versuche. Automatisiert man das, ist man mit einer Wörterbuchattacke schnell in einem QNAP NAS seiner Wahl.

Ich finde es wirklich sehr sehr schlimm, dass man das mit der Sicherheit derzeit so vernachlässigt.
Dass Nicht-IT-Experten es mit der Sicherheit nicht so ernst nehmen und gehackt werden verstehe ich ja noch, aber wenn man tausende von Systemen in die Welt setzt, hat man doch auch eine Verantwortung gegenüber seinen Kunden!

Wenn QNAP da nichts tut, wird die Kriminalität im Internet dadurch unterstützt. Dem sollte man sich klar sein.
Ich hoffe das ist Anreiz genug der Grundfunktionalität Sicherheit etwas mehr Aufmerksamkeit zu schenken. :thumb:

Hallo,

ich will den Webserver des QNAP 109 dazu nutzen, Dateien über HTTP hochzuladen.
Das funktioniert auch wunderbar bis ca 16MB Größe. Bei größeren Dateien funktioniert der PHP-Befehl:

move_uploaded_file($_FILES['datei']['tmp_name'], $uploadfile)

nicht mehr, da $_FILES['datei']['tmp_name'] nicht mehr gesetzt ist, sprich die temporäre Datei ist schon wieder gelöscht.
Mein Script funktioniert wunderbar auch bei Dateien die größer sind als 16MB (z.B. 200MB) bei meinem bisherigen Linux-Server.

Ich habe die erforderlichen PHP-Werte in der QNAP-Adminoberfläche angepasst (wie bei meinem anderen Linux-Server):
post_max_size = 100M
upload_max_filesize = 100M

Trotzdem scheint es noch irgendwo eine Schranke zu geben, die Dateien, größer als 16MB, nicht zulässt.
Das Memorylimit ändert auch nichts daran, dass es nicht geht.

Lässt sich da was machen?
Ich will meinen QNAP 109 gewerblich einsetzen. Kunden sollen Dateien über Web hochladen können. 16MB ist da sehr wenig im Druckgewerbe.
Bei meinem Ubuntuserver gehts wie gesagt einwandfrei mit Dateien größer als 200MB.

Es grüßt das Schaf