Skripte um die Synology-DSM-Blockierungsliste zu bearbeiten

Der Hersteller Synology stellt in deren DSM (Disk Station Manager) auf ihren NAS (Network Attached Storage) eine Blockierungsdatenbank bereit, die so konfiguriert werden kann, dass IP Adressen von denen fehlgeschlagene Anmeldeversuche registriert werden, für einen bestimmten Zeitraum oder dauerhaft blockiert werden. Diese Funktion findest du im Bereich Systemsteuerung -> Sicherheit -> Schutz -> Automatische Blockierung.

Als Auslöser für eine automatische Blockierung, empfiehlt es sich eine relative geringe Anzahl von Login-Versuchen in einem relativ großen Zeitfenster einzustellen (zum Beispiel 3 fehlgeschlagene Login-Versuche in einem Zeitraum von 240 Minuten).

Die Freigabe-/Blockierungsliste der Blockierungsdatenbank lässt sich an dieser Stelle auch einsehen und anpassen. Es können IP Adressen und/oder Subnetze jeweils der Freigabe- oder der Blockierungsliste hinzugefügt werden. Dies geschieht unabhängig vom automatischen Hinzufügen blockierter IP Adressen zur Blockierungsliste.

Um größere Mengen an Daten zu bearbeiten, oder ein Bearbeiten zu automatisieren (wie zum Beispiel ein automatisches Auffüllen der Blockierungsliste mit IP Adressen die von blocklist.de bereitgestellt werden) empfiehlt sich die Nutzung von Skripten. Diese können entweder direkt auf dem NAS per Aufgabenplaner oder per Secure-Shell-Zugriff (SSH) ausgeführt, oder zentral verwaltet über zum Beispiel CMS (Central Management System) oder Ansible angestoßen werden.

ganzen Beitrag anzeigen →

Bitwarden Zwei-Faktor-Authentifizierung einrichten

Um den zuvor erstellten Bitwarden Tresor nicht nur mit den Standard-Zugangsdaten (E-Mail-Adresse und Passwort) sondern auch durch einen zweiten Faktor (externen Sicherheitsschlüssel oder einen sich ständig ändernden Code) abzusichern bzw. diese Absicherung einzurichten, sind nur ein paar zusätzliche Schritte notwendig.

Je nach Wahl des zusätzlichen Zwei-Faktor-Authentifizierungs-Mechanismus kann folgende Hard- und/oder Software benötigt werden.

  • ein mobiles Endgerät auf dem eine entsprechende Authentifizierungs-App (z.B. 2STP, Authy, GoogleAuthenticator, Microsoft Authenticator, oder Secure SignIn) installiert ist
  • ein Sicherheitsschlüssel (YubiKey) der Firma Yubico
  • gültige E-Mail-Adresse
ganzen Beitrag anzeigen →

Passwörter

Die Wenigsten von uns machen sich Gedanken über die eigenen Passwörter, insbesondere was die Länge, die enthaltenen Zeichen und deren Vielfältigkeit angeht.

Oft wird ein und das selbe Passwort für einfach alles benutzt. Der Nachteil: Wird dieses Passwort durch einen Dritten in Erfahrung gebracht, so hat dieser schnell Zugriff auf das komplette Internet-Leben des Passwortbesitzers.

Erschwerend kommt dann noch hinzu, dass die Qualität der Passwörter extrem niedrig, wenn nicht in den meisten Fällen als gänzlich abwesend zu betrachten ist.

ganzen Beitrag anzeigen →

Datenschutz und mobile Geräte

Mobile Geräte enthalten heutzutage mehr persönliche Daten als manch andere Geräte. Erstaunlicherweise wird diese Datensammlung, wenn überhaupt, nur sehr spärlich vor direktem Zugriff durch Dritte geschützt. Häufig wird die Option genutzt das mobile Gerät mit einer vierstelligen Zahlenkombination zu sperren. Dies erleichtert und beschleunigt zwar den eigenen Zugriff auf das Gerät, bringt aber lediglich einen marginalen Schutz.

Bei einer Zahlenkombination von vier Stellen und einer möglichen Auswahl von zehn Zahlen (0 bis 9) pro Stelle sind es lediglich zehntausend verschiedene Kombinationen die probiert werden müssen, um diesen Schutz zu überwinden. Ausgehend davon, dass die gewählte Kombination nicht gerade 9999 ist, sind sogar noch weniger Versuche notwendig, um das Gerät zu entsperren.

ganzen Beitrag anzeigen →

Benutzerrechte auf Dateiebene

… in Mehrbenutzer-Betriebsystemen – verstehen und richtig nutzen!

In Mehrbenutzer-Betriebssystemen sind die individuellen Benutzerordner der einzelnen Benutzer strikt von einander getrennt und mit entsprechenden Nutzerrechten versehen, sodass lediglich der Besitzer des jeweiligen Objektes lesende, schreibende und ausführbare Zugriffsrechte zu diesen besitzt. Dies verhindert das Nutzer auf Daten anderer Nutzer im System zugreifen können, diese lesen bzw. ausführen.

Dies ist allerdings nur für die ursprünglich, bei der Systeminstallation bzw. der Anlegung eines neuen Nutzers, erstellten Objekte der Fall. Dank der hinterlegten umask von 0022 erhalten jegliche vom Nutzer selbst erstellten Daten die Berechtigungen „lesen, schreiben und ausführen“ für den Besitzer und „lesen und ausführen“ für alle anderen Nutzer des Systems. Während ersteres gewollt ist, ist die zweite Rechtevergabe mehr als fragwürdig … nicht jeder möchte das seine Daten für andere Nutzer des Systems lesbar vorliegen.

ganzen Beitrag anzeigen →