Synology: Per SSH-Konsole in den God-Mode

Zugegeben, deine Synology DiskStation bringt bereits ab Werk vielfältigste Einstellungsmöglichkeiten und Softwarepakete mit sich. Nichtsdestotrotz basiert das DSM-Betriebssystem auf einem Linux-Kernel und ermöglicht über einige Umwege eine noch tiefgreifendere Konfiguration. Der Haken daran ist, dass du ausschließlich über die Konsole, beziehungsweise die SSH (Secure Shell) Zugriff auf versteckte Befehle und Speicherorte erhältst. Wie du diese Funktion auf deinem NAS aktivierst und dabei diverse Sicherheitsrisiken auf ein Minimum reduzierst, erfährst du in unserem Tutorial.

SSH aktivieren und Verbindung herstellen

Bevor du loslegen kannst, musst du zuerst SSH auf deiner DiskStation aktivieren. Öffne die Systemsteuerung, wechsle in den erweiterten Modus und öffne im Bereich „Anwendungen“ den Punkt „Terminal & SNMP“.

Setze einen Haken bei „SSH-Dienst aktivieren“ und ändere sicherheitshalber den Standard-Port auf einen anderen. Merke dir diesen, da du IP-Adresse und Port im nächsten Schritt benötigst. Im gleichen Zug bietet sich hier an, die automatische Blockierung zu aktivieren, indem du auf den dazugehörenden Link klickst.

Ein Haken bei „Automatische Blockierung aktivieren“ verhindert weitere Loginversuche ab einer bestimmten Anzahl fehlgeschlagener Anmeldungen. Ein Klick auf den Übernehmen-Button speichert die Einstellungen. Dein NAS ist nun fertig konfiguriert und wartet auf Verbindungen per SSH auf deinem festgelegten Port.

Jetzt geht es an die Installation eines SSH-Clients auf deinem Rechner. Nutzt du einen Mac oder Linux, kannst du dafür einfach das Terminal nutzen und dich mit dem Befehl

ssh Benutzername@IP-Adresse -p Portnummer

mit deinem NAS verbinden. Benutzername, IP-Adresse und Portnummer musst du durch deine eigenen Werte ersetzen. Als PC-User benötigst du dafür erst einen Clienten. Wir nutzen für unsere Tests das kostenlos verfügbare Tool PuTTY. Lade dir hier im Bereich „Package files“ die 64-bit Version herunter und starte die Installation.

Öffne das Tool und gib im Feld „Host Name“ die IP-Adresse deines NAS ein, sowie im Bereich „Port“ den vorher festgelegten Port. Du kannst der Verbindung einen Namen geben und diese speichern, sodass du die Daten nicht jedes Mal erneut eingeben musst. Ein Klick auf „Open“ stellt die Verbindung her.

Die wichtigsten Befehle

Direkt nach dem Verbindungsaufbau fragt dich die Konsole nach den Zugangsdaten. Melde dich hier mit deinem Admin-Benutzeraccount sowie deinem Passwort an. Bestätige jeweils mit der Eingabetaste. Sobald du angemeldet bist, erscheint in der Konsole folgende Zeile

benutzername@IP-Adresse:~$

während die Bezeichnungen die tatsächlichen Werte darstellen.

Die Konsole wartet nun auf Eingaben und Befehle, wobei du aktuell noch als normaler User angemeldet bist und keine Root-Rechte besitzt. Diese kannst du im nächsten Schritt anfordern. Der Befehl hierfür lautet:

sudo -i

Jetzt musst du dein Kennwort nochmals eingeben und landest auf

root@IP-Adresse:~#

Je nach Konfiguration wird hier entweder die IP-Adresse oder der NetBIOS-Name der DiskStation angezeigt. Ab hier stehen dir alle Optionen und Rechte zur Verfügung. Wir haben dir für die ersten Schritte eine kleine Auflistung diverser Befehle zusammengestellt.

In einen bestimmten Ordner wechseln:

cd /volumeX/Ordnername/Unterordner

In einen Ordner wechseln:

cd Ordnername

Eine Verzeichnisebene höher:

cd ..

Inhalt des aktuellen Ordners auflisten:

ls

Ordner erstellen:

mkdir Ordnername

Ordner oder Datei löschen:

rm Dateiname/Ordnername

beziehungsweise rm -r Ordnername zum Löschen aller darin enthaltenen Dateien und Unterordner

Inhalt des Konsolenfensters bereinigen:

clear

Datei öffnen und bearbeiten:

vi Dateiname

zum direkten Öffnen einer Datei, beziehungsweise vi für den Texteditor und das Anzeigen der Tastenbelegung

Dank Linux-Kernel lassen sich hier alle kompatiblen Linux-Befehle nutzen, welche jedoch in ihrer Auflistung und Komplexität den Rahmen des Tutorials sprengen würden. Je nach Vorhaben ist es ratsam, sich zuerst mit den Befehlen auseinanderzusetzen und erst dann Änderungen vorzunehmen, wenn du dir deren Auswirkungen bewusst bist.

Anwendungsfälle aus der Praxis

Die SSH-Konsole auf deiner Synology DiskStation ist nicht nur ein nettes Gimmick, um das Dateisystem zu verwalten oder versteckte Einstellungen vorzunehmen. In einigen Fällen ist die SSH-Verbindung der rettende Anker, wenn du auf keinem anderen Weg mehr auf dein System zugreifen kannst – wie zum Beispiel, wenn bei voller Systempartition kein Web-Login mehr möglich ist.

Ebenso kann es sein, dass du nach einem Lüftertausch einige Systemdateien ändern und die Drehzahlkurven manuell festlegen musst, sodass die Lüfter korrekt anlaufen und dein NAS keinen ohrenbetäubenden Piepton (akustische Warnmeldung wegen vermeintlichem Lüfterausfall) von sich gibt.

Des Weiteren hast du Zugriff auf eine ganze Palette verschiedener Befehle, mit welchen du zum Beispiel symbolische Links erstellen oder auf einfache Art Rechte vergeben kannst. Vor allem bei der Verwaltung von FTP- und Web-Services ist der Befehl CHMOD Gold wert.

Verliere jedoch nie aus den Augen, dass du als Root-Nutzer alle Rechte genießt und sogar Systemdateien löschen kannst, sodass das System im schlimmsten Fall nicht mehr hochfährt. Ebenso erhältst du zum Beispiel Zugriff auf die Dateien anderer Nutzer auf dem System. Wie du siehst, geht mit großer Macht eine ebenso große Verantwortung einher.

Sicherheitstipps

Während deine DiskStation in der Regel über einige Dienste direkt aus dem Netz erreichbar ist, sollte dies auf die Secure Shell nicht zutreffen. Zu groß ist das Risiko, dass dein NAS über den SSH-Port von außen angegriffen wird. Zwar nutzt SSH im Gegensatz zum veralteten Telnet eine verschlüsselte Verbindung. Jedoch kann ein potenzieller Angreifer im schlimmsten Fall per Brute Force an dein Kennwort gelangen und nicht nur deine privaten Daten im WWW veröffentlichen, sondern dein NAS in einen sündhaft teuren Briefbeschwerer verwandeln. Mit wenigen Handgriffen kannst du dies jedoch wirkungsvoll unterbinden:

• Sofern du nicht zwingend auf eine Fernwartungsmöglichkeit per SSH angewiesen bist, leite den Port erst gar nicht per Router weiter. Meist ist es ausreichend, aus dem lokalen Netzwerk per SSH zu verbinden.
• Ändere den Port für deine SSH-Verbindung. Standardmäßig läuft dieser Dienst auf Port 22, wodurch auch Angreifer an diesem Ort zuerst suchen werden. Stelle vorher jedoch sicher, dass dein gewählter Anschluss nicht bereits anderweitig belegt ist.
• Nutze ein einzigartiges Kennwort mit Groß- und Kleinbuchstaben, sowie Ziffern und Sonderzeichen für deinen Benutzeraccount.
• Selbst, wenn es möglich ist – nimm keine Änderungen an der Systemkonfiguration oder Systemdateien per SSH vor, bei denen du dir nicht zu 100 Prozent sicher bist, was diese bewirken.