Unberechtigte Zugriffe / Kontosicherheit

Wirksamstes Mittel, alle Ports schlie

sen, Zugang von Außerhalb nur über VPN oder mind. ReverseProxy verwenden.

Matze Ich zitiere mich mal aus meinem Synology-Leitfaden selbst (nicht persönlich gemeint!)

Quote from *kw*

Merke, die größte Sicherheitslücke sitzt vor dem PC!

Viele verwechseln die DS mit einer Cloud, bzw. wollen sie zu einer machen, weil sie Google, Apple & Co. nutzen oder schon mal was von owncloud, nextcloud, o.ä., gehört haben. Deshalb die erste und nicht triviale Frage, die du dir ernsthaft stellen solltest:

Will ich mein NAS wirklich im Internet zugänglich machen? Im Zweifel, NEIN!

Unwissenheit oder „gefährliches Halbwissen“ führen nicht selten dazu, dass netzseitig alle möglichen Ports geöffnet und dadurch ungewollte Zugriffe ermöglicht werden. Es bedeutet nicht, dass es ausgeschlossen ist, aber das Motto lautet: So wenig Löcher wie möglich, nur so viele wie nötig.

Display More

Moin,

was läuft denn genau bei Dir, dass Du außer VPN noch weitere Zugänge brauchst?
Welche Ports sind an welchem Router offen?
Router auf jeden Fall auch mal durchleuchten, in die Ereignisprotokolle sehen, ob sich da was Komisches getan hat.

Ich spreche aus Erfahrung …

Da muss nur der „Richtige“ mit entsprechendem Wissen und Können kommen, dann kann’s bitter werden.

Insofern ist plump halt relativ.

Hast du ggf. über die CLI Sachen installiert, nativ auf Debian?

Quote from Matze

Wie geh ich mit so etwas um? kann ich mehr tun als Kontosperrung permant?

Ween das wirklich Versuche von außen waren gilt natürlich, alle Ports sperren und Zugriffe von aussen am besten erst gar nicht ermöglichen. Bei VPN ist das Risiko vielleicht geringer, allerdings ist aus meiner Sicht aucb UGos das Problem.

Unten drunter werkelt ein in erheblich Tilen (Programme, dateirechte) modifiziertes Debian 12. Es gibt wohl keine Anzeichen dafür Debina 13 zu installiere/upzudaten, deshalb benutze ich die UGreen Kiste nur als NAS.

Manche Sachen kann man nur mit erheblich Aufwand nachinstallieren, weil andere Pavkete fehlen oder Rechte nicht stimmen.

Auf einer Kiste die Dienste ins Internet gibt gehört wenigstens ein fail2ban oder aber noch besser ein crowdsec

Quote from Matze

Was ich sagen kann, da hat wohl jemand versucht von außen ein wenig zu spielen

Na ich weiß nicht, ich würde das nicht so schnell behaupten. Ich würde erst mal in den Logs nachschauen

sudo tail -f /var/log/auth.log

sudo journalctl -u ssh

sudo grep "daemon" /var/log/auth.log nur nach deamon suchen

Könnte sich immerhin auch um ein System deamon für Backups, vielleicht Updates, Wartungsaufgaben, Synchronisation, Cronjobs handeln

Also ich würde erst mal der Ursache auf den Grund gehen. Man kann doch ganz genau sehen, von wo er sich eingeloggt hat. Auch mit der IP-Adresse, falls es denn überhaupt von außerhalb kam ,beginne mit /var/log/auth.log dort siehst die Login-Details mit Zeitstempel und IP-Adresse

Der Ansatz von Protogonos klingt absolut sinnvoll!

root ist der klassische Systemadministrator-Account und seit den Anfängen von Unix fest definiert.

daemon ist kein speziell von Debian erfundener Benutzer, sondern ein historischer Unix-Standardaccount. Er wurde früher genutzt, um generische Hintergrundprozesse mit minimalen Rechten auszuführen. Heute legt man für Dienste in der Regel eigene Benutzerkonten an (z. B. www-data), sodass daemon meist nur noch aus Kompatibilitätsgründen existiert.