Synology betreibt seine bekannten NAS Systeme mit einem eigenen Betriebssystem – dem DiskStation Manager – das letztlich ein Linux ist. Doch ein reichlich altes Linux und Updates kommen nur selten.
Die Synology DiskStation 218 war eine meiner besten Kaufentscheidungen im IT-Bereich vergangenen Jahre. Das System ist vielseitig, stabil und wartungsarm. Ich konnte damit viel mehr Dinge realisieren, als vorher auf meinem Linux Home-Server liefen und habe gleichzeitig viel weniger Scherereien.
Mit dieser Entscheidung bin ich nicht alleine. Zusammen mit QNAP dürfte Synology einen Gutteil des deutschen Marktes unter sich aufteilen und ich weiß, dass Synology auch bei vielen IT-technisch versierten Nutzern beliebt ist, wenn sie etwas Wartungsarmes brauchen.
Selbst einem unkritischen Nutzer fällt aber die geringe Update-Frequenz auf. Die Version 7 des DSM ist massiv verspätet und bisher im Betatest. Die Produktivsysteme laufen auf DSM 6, zuletzt auf Version 6.2.4-25554 aktualisiert. Updates kommen sehr selten, die letzte Aktualisierung kam am 16.12.2020 und davor sogar 16.07.2020. Die Updatefrequenz für Pakete wie PHP, MySQL, Perl & Co ist nicht wesentlich besser.
Die Basis ist das, was im Linux-Jargon gerne als „gut abgehangen“ bezeichnet wird. Ich hatte dazu hier mal ein bisschen was geschrieben. Auch mit dem jüngsten Update hat sich da an den Versionen wenig getan. Der Kernel basiert weiter auf 4.4.59+, PostgreSQL ist nun bei 9.3.25, nginx ist jetzt bei 1.16.1. Was mit Version 7 mitgeliefert wird, konnte ich bisher noch nicht testen.
Nun sind Versionen natürlich nicht alles, man kann schließlich sicherheitsrelevante Fehler auch patchen, ohne die Version zu verändern. Hier macht die geringe Updatefrequenz aber Sorgen.
Es handelt sich immerhin um Geräte, die potenziell direkt aus dem Netz erreichbar sind und viel mehr Angriffsfläche als ein normales Desktopsystem bieten.
Wie würdet ihr das beurteilen? Bin ich zu kritisch? Gibt es wirklich so wenige sicherheitskritische Probleme bei den Basispaketen?
Hi, ich stimme dir zu, dass eine Synology Diskstation, welche Dienste in einem Netzwerk anbietet, eine größere Angriffsfläche bietet, als ein Desktopsystem. Da Synology sowohl Produkte für Privatanwender als auch für Unternehmen anbietet, darf in meinen Augen ein professionelles Schwachstellen-Management erwartet werden.
Synology betreibt Schwachstellen-Management (https://www.synology.com/de-de/security). Ich habe noch nicht alle verfügbaren Unterlagen und Informationen studiert. Das diese überhaupt in dieser Bandbreite verfügbar sind, ist in meinen Augen jedoch schonmal positiv zu beurteilen. Das Whitepaper macht auf den ersten Blick einen guten Eindruck (https://global.download.synology.com/download/Document/Software/WhitePaper/Firmware/DSM/All/enu/Synology_Security_Whitepaper.pdf).
Ich selbst betreibe eine alte Diskstation, welche längst End-of-Support ist. Sie ist vom Internet aus *nicht* erreichbar und bietet nur wenige Dienste an. Und selbst hier erhalte ich sporadisch noch Updates für die installierten Pakete. Dies finde ich sehr gut.
Die Informationen, welche Synology in seinen Sicherheitsanweisungen bietet, empfinde ich etwas spärlich (https://www.synology.com/de-de/security/advisory). Sofern ein Fix existiert interessiert mich allerdings selten mehr, als die Release-Nummer der abgesicherten Version.
Schwachstellen finden sich häufig in ausführbaren Dateien und Bibliotheken. Je mehr von diesen auf einem System vorhanden sind, desto größer ist die potenzielle Angriffsfläche. Ich habe die Anzahl der Dateien in /usr/{bin,lib,sbin} für meine alte Diskstation, ein Buster Desktop-System und einen Buster-Server, welcher mehre Webapplikationen hosted, gezählt. Die Erhebung ist sicher nur eine kleine Stichprobe, zeigt aber, dass die Angriffsfläche der Diskstation nicht allzu groß ist.
Diskstation:
/usr/bin: 393
/usr/lib: 3104
/usr/sbin: 99
Buster-Desktop:
/usr/bin: 1929
/usr/lib: 48312
/usr/sbin: 320
Buster-Server:
/usr/bin: 937
/usr/lib: 17662
/usr/sbin: 230
Für eine objektive Beurteilung fehlen mir Daten und die Zeit sie auszuwerten. Mein persönlicher Eindruck ist jedoch, dass Synology hier bereits ordentliche Arbeit abliefert, auch wenn sie in einzelnen Bereichen sicher noch besser werden können.
Ich habe meine 920+ für etwas unter 500 € gekauft und bereue es eher.
-> Das Geld hätte ich lieber in einen Eigenbau investieren sollen – dafür müsste ich schon bis zum i3-8100 und ECC Speicher kommen.
Ansonsten betreibe ich noch ein Zyxel Billig NAS und OMV auf einem alten WHS Build.
Das Zyxel kann wenig und die Bedienung ist eine Strafe (langsam), aber als Filer auch nicht langsamer als die Synology und eher leiser.
Den OMV aufzusetzen war kein Hexenwerk und bietet mir die gleichen Features wie die Synology – eher mehr. Das System basiert auf Debian 9 und ist entsprechend gepflegt und deutlich flexibler.
Der Sudo Fix ist auf der Synology nicht verfügbar – alle ’normalen‘ Distributionen haben das in keine Ahnung was Synology noch alles ungepatched gelassen hat – mir ist es zu riskant irgendetwas auf der Synology ins Internet zu lassen.
„Den OMV aufzusetzen war kein Hexenwerk und bietet mir die gleichen Features wie die Synology – eher mehr.“
Ich kenne OMV gut und das stimmt so einfach nicht. Für Drive, Kontakte, Kalender und Notizen müsste man Nextcloud auf OMV installieren und hat dann wieder den entsprechenden Wartungsaufwand, weil man OMV + NC pflegen muss. Einen Mailserver als Archiv zu betreiben geht ebenfalls mit ordentlich Konfigurationsaufwand einher, da bietet OMV keine ootb Lösungen.
Natürlich kocht Synology immer nur mit Wasser, das bestreitet niemand. Fast alle Produkte basieren zu einem Gutteil auf Open Source Software. Die Ersparnis an Lebens- und Arbeitszeit für den normalen Home oder Small Business Kunden sind aber enorm.
Ich stimme dir bei deiner Einschätzung zur Synology-Situation zu.
Dass es seit einigen Jahren keine spürbare Weiterentwicklung des DSM OS mehr gibt und bei Version 6.2 stagniert, ist bedauerlich.
Dass sie ein funktionierendes App-Ökosystem (Photo Station, PC-Backup-Apps) zersägt haben, um ihre aufgeblasenen, unzuverlässigen „Cloud Station“-Anwendungen „Chat“, „Sync“, „Memories“ und so) zu etablieren ist ärgerlich und macht, dass ich die Synology nur noch als Storage nutze.
Dass aber Sicherheitsupdates für DSM und Zusatzpakete (Python, Perl, PHP) so spärlich kommen macht, dass ich eine Synology gar nicht mehr einsetzen möchte.
Ich weiß nur nicht, was ich beim nächsten Neukauf statt dessen nehmen sollte und ob ich danach vom Alternativ-Hersteller auch im Stich gelassen werde. Ich kann Rechner bauen und Linuxe administrieren. Aber ein NAS soll einfach in der Ecke stehen und 5-7 Jahre grundsätzliche Dienstleistungen in unserem Home-LAN erbringen, sodass ich mich mit spannenderen Projekten beschäftigen kann. Aktuell plane ich keinen Synology-Kauf mehr ein.
Haha, just am 23.2, wo dein Artikel erschien, erschien auch ein neues DSM Update von Synology. Aber an sich stimme ich dir auch zu.
Drei mal darfst du raten was mich zu dem Blogbeitrag inspiriert hat.
Ganz ehrlich, momentan lese ich ständig von Warnungen was QNAP-Systeme betrifft. Auch heute wieder. Also entweder ist QNAP besonders betroffen oder QNAP informationsfreudiger als Synology.
Alles subjektiv, aber ich bin mir nicht sicher ob QNAP die bessere Alternative ist. Ansonsten bleibt dann nicht mehr soviel. Selbstbau hat halt auch seine Vor- und Nachteile und vor allem beim administrativen Aufwand nicht zu unterschätzen.
Patches sind das eine, das Verhalten von Nutzern das andere. Wenn ich schon lese das zum Beispiel auf einem einzigen NAS Webhosting betrieben wird (und dann logischerweise nach außen hin alles offen steht) und gleichzeitig persönliche Daten liegen, dann frage ich mich schon wie naiv man sein kann.
Hat eben alles Vor- und Nachteile.
Wer nur ein einfaches Datengrab möchte, dass über Jahre mit 0 Aufwand läuft und läuft… Go for it!
Wer auch mit Linux auf der Kommandozeile umgehen kann, wird sich sehr bald über die Unflexibilität und Einschränkungen des total verbogenen Syno-Linux aka DSM ärgern. Performance-mäßig auch eher gruselig im Vergleich zu vergelichbarer Hardware mit Debian oder Ubuntu. Dazu dann die von Dir ausführlich beschriebene Update-Politik, die ich auch für fragwürdig bis ärgerlich halte.
Und wie hier schon angedeutet wurde: Viele der Syno-Apps (zB Drive, Contacts, Calendar) sind bei näherer Betrachtung im Detail schlicht zu unreif (trotz absurd langer Entwicklungs- und Update-Zeiten) um sie zB in einem KMU einzusetzen. Da ist Nextcloud weiter. Und dann hat man doch wieder den Konfig-Aufwand.
Man kann es schon raushören: Ich habe das in jüngerer Vergangenheit selber ausprobiert und bereue es. Die Synology Kisten kann ich echt nur für ganz schlichten Hausgebrauch als Datenablage empfehlen.