Pomoc Pytanie o bezpieczeństwo

astonmartin

Entry Technician
Q Associate
1 Wrzesień 2008
38
1
8
QNAP
TS-109/209
Ethernet
1 GbE
Dziś sobie zaglądnąłem w logi systemowe i zauważyłem próby logowania na konto root przez SSH (około 50-60 prób) jak również żądania dostępu do zasobów Samby z "obcych" nr IP. Pytanie w zasadzie mam dwa.

Jak zmienić domyślny port logowania przez SSH z 22 na jakiś inny, i czy cokolwiek w kwesti bezpieczeństwa to zmienia ?

Co dokładnie zobaczył ten ktoś kto figuruje w logach jako guest, bo w tabelce w pozycji dostęp do zasobów nie ma nic ?

aimg149.imageshack.us_img149_4191_logss4.png
[Nieprawidłowy link obrazu]:[URL]http://img149.imageshack.us/img149/4191/logss4.58b4c1612a.jpg[/url]

//edycja

Znalazłem opcję pozwalającą zmienic port SSH, wymyślilem sobie nowy i ustawiłem. Reszta pytań aktualna.
 

Załączniki

  • aimg149.imageshack.us_img149_4191_logss4.png
    aimg149.imageshack.us_img149_4191_logss4.png
    5,2 KB · Wyświetleń: 39
i czy cokolwiek w kwesti bezpieczeństwa to zmienia ?
tak
najprawdopodobniej ten noob korzystak z skanera portow i tyle
ktos kto znajdzie SSH na innym porcie juz jest napewno znacznie lepszym hackeram :)
ponadto kolejnym zaskoczeniem dla uzytkownikow jest to, ze nie ma root'a
co przeklada sie na jeszcze wieksze bezpieczenstwo

warto tez uzywac funkcji IP Filter ktora jest dostepna
1) 'Allow connections from the list only' wprowadz swoja maske sieciowa na ktorej pracuje QNAP - jesli jestes w sieci obok niego
2) Sprecyzuj adresy IP z ktorych zezwalasz na dostep

Co dokładnie zobaczył ten ktoś kto figuruje w logach jako guest, bo w tabelce w pozycji dostęp do zasobów nie ma nic ?
jesli chodzi o sambe, ... ten koles najprawdopodobniej nie zobaczyl nic
tylko system Windows go domyslnie zalogowa
1) mogl przegladac otoczenie sieciowe
2) jest system mogl sie bootowac i poprostu laczyl sie z siecia (Microsot Networking)
obstawiam to drugie


u mnie to wyglada tak:

Kod:
           Internet
                |
    Dostawca kablowy
    / | | | |     \
   U  U U U U   Ja(Router)
                | | |  |
                K K K  QNAP

gdzie U to kliencie internetu
Ja mam kilka kompturowe za routerem + QNAP'a
Czesto mam wlasnie takie logowania po sambie od tych uzytkownikow - ale nikt nic nie przeglada i nie sciaga :) tak przez ponad pol roku
 
Ok już rozumiem, tym guest nie należy się przejmować. Spróbowałem się podłączyć do zasobów samby jako guest i mimo odmowy dostępu w logach Qnapa pojawia się wpis "Login OK", czyli być może prawidłowy ale trochę mylący komunikat :) U mnie sieć wygląda dokładnie tak samo jak na twoim schemacie.

W sprawie bezpieczeństwa jednak ciąg dalszy bo zacząłem trochę drążyć temat, testować i niestety wyniki nie są ciekawe. Otoż jeśli korzystamy z paczki "rtorrent++.qpkg", mamy włączony serwer web i qnapa na zewnętrzym ip lub przekierowany port 80 na routerze lub w DMZ to... cały świat może sobie korzystać z naszego interfejsu webowego do rtorenta. Sprawy nie rozwiązuje nawet wyłączenie serwera web bo trzeci interfejs działa nawet jeśli serwer web na qnapie jest wyłączony.

Nie muszę chyba uzasadniać czemu takie rozwiązanie jest niedopuszczalne. Co można zrobić żeby ograniczyć dostęp do interfejsów rtorrenta jednocześnie nie rezygnując z Qnapa jako serwera web widocznego z internetu ?
 
1. dot. proby polaczen na SSH - to normalna proba logowania brute force (script kidies) na uruchomiona usluge SSH - normalka jak masz port 22 otwarty. Na bardziej "dorosle" dystrybucje linuxa sa skrypty blokujace proby logowania do SSH po n-tej nieudanej probie.

2. dot. webUI - czy ktos moze mi wyjasnic jak to mozliwe ze dwie odrebne aplikacje dzialaja na tym samym porcie ? do tej pory wydawalo mi sie ze to niemozliwe ...
 
Pozwolę sobie na takie luźne dywagacje laika, kto jest lepiej zorientowany niech sprostuje mój tok myślenia.

Na Qnapie tak naprawdę działają dwa niezależne serwery web, jeden dający nam dostęp do interfejsu obsługi serwera - przecież korzystamy z niego w zwykłej przeglądarce czyli jakiś serwer web musi w systemie działać, a drugi który włączamy lub nie korzystając z tego pierwszego. Wygląda na to, że rtgui i wtorrent korzystają z tego włączanego ręcznie a ten trzeci interfejs wykorzystuje serwer "systemowy" jeżeli można go tak nazwać. Jak to się ma do podzielenia się przez oba serwery bezkonfliktowo jednego portu nie mam pojęcia.

Możliwe, że wypisałem tu wierutne bzdury bo nie znam się na linuxach i serwerach ale kilka faktów sugeruje właśnie rozwiązanie w tym stylu. Chętnie poczytam jak to jest naprawdę.
 
@astonmartin
zrezygnuj z uslugi DMZ - wlaczenie tej uslugi powoduje ze czesto bedziesz mial smieci wysylane na IP wskazany w DMZ
proponuje recznie ustawiac porty - bezpieczniejsze
wiem, ze funkcja DMZ jest bardzo przydatna i wydaje sie rozwiazywac wiele problemow w kilka sekund
ale jest bardzo niebezpieczna

slyt napisał:
2. dot. webUI - czy ktos moze mi wyjasnic jak to mozliwe ze dwie odrebne aplikacje dzialaja na tym samym porcie ? do tej pory wydawalo mi sie ze to niemozliwe ...
QNAP ma w sobie jeden serwer Apache
pracuje na portach 8080 i porcie ustawiany w Qweb
port 8080 - zarzadzanie QNAP'em
port dynamiczny ustalany w Qweb jest przeznaczony na strony internetowe uzytkownika

rtorrent++ to zupelnie inna bajka
jest to wersja beta klienta ktorego probuje przygotowac juz od dobyrch kilka miesiecy
ale z powodow problemow jakie napotykam na dolnej warstwie QNAP'a znalazlem jedno rozwiazanie:
- 2 gui postawic na serwerze Qweb (apache)
- 1 gui postawic na dedykowanym serwerze lighttpd (port 8081) ktory wspiera fastcgi (port 5000)

w wersji finalnej gui wszystkie maja byc albo przeniesione na lighttpd, albo na serwer Qweb - co zalezy od QNAP'a kiedy pokaza nowy firmware 3.0 skompilowany na glib 2.3.6
 
SiLAS napisał:
QNAP ma w sobie jeden serwer Apache
pracuje na portach 8080 i porcie ustawiany w Qweb
port 8080 - zarzadzanie QNAP'em
port dynamiczny ustalany w Qweb jest przeznaczony na strony internetowe uzytkownika

rtorrent++ to zupelnie inna bajka
jest to wersja beta klienta ktorego probuje przygotowac juz od dobyrch kilka miesiecy
ale z powodow problemow jakie napotykam na dolnej warstwie QNAP'a znalazlem jedno rozwiazanie:
- 2 gui postawic na serwerze Qweb (apache)
- 1 gui postawic na dedykowanym serwerze lighttpd (port 8081) ktory wspiera fastcgi (port 5000)

w wersji finalnej gui wszystkie maja byc albo przeniesione na lighttpd, albo na serwer Qweb - co zalezy od QNAP'a kiedy pokaza nowy firmware 3.0 skompilowany na glib 2.3.6

No dobrze, dobrze. Co innego praca jednej aplikacji (serwera apache) na dwoch i wiecej różnych portach. Co innego praca dwóch aplikacji na tym samym porcie. Tymczasem z opisu problemu wydaje mi sie ze mowa jest o takim wlasnie przypadku co wydaje mi sie malo mozliwe.
 
Z tego co się zdążyłem zorientować to nie występuje tu przypadek pracy dwóch aplikacji na tym samym porcie. Sprawa wygląda tak: serwer Apache pracuje na porcie 80 i na porcie do zarządzania Qnapem (domyślnie 8080), jeśli uruchomimy rtorent++ z zainstalowanej paczki to startuje razem z sama aplikacją serwer lighttpd na porcie 8081. Przy czym z trzech dostępnych GUI dwa siedzą w Qweb i są obsługiwane przez Apache a trzecie GUI jest nam serwowane przy pomocy lighttpd.

Problemem jest tylko fakt, iż wszystkie GUI są dostępne z internetu bez autoryzacji. Wcześniej prosiłem o radę co z tym zrobić ale, że się nie doczekałem to postanowiłem poszukać i już sobie z tym poradziłem zabezpieczając odpowiednie katalogi hasłem, postaram się napisać krótkie HOWTO do tego.