Synology betreibt seine bekannten NAS Systeme mit einem eigenen Betriebssystem – dem DiskStation Manager – das letztlich ein Linux ist. Doch ein reichlich altes Linux und Updates kommen nur selten.

Die Synology DiskStation 218 war eine meiner besten Kaufentscheidungen im IT-Bereich vergangenen Jahre. Das System ist vielseitig, stabil und wartungsarm. Ich konnte damit viel mehr Dinge realisieren, als vorher auf meinem Linux Home-Server liefen und habe gleichzeitig viel weniger Scherereien.

Mit dieser Entscheidung bin ich nicht alleine. Zusammen mit QNAP dürfte Synology einen Gutteil des deutschen Marktes unter sich aufteilen und ich weiß, dass Synology auch bei vielen IT-technisch versierten Nutzern beliebt ist, wenn sie etwas Wartungsarmes brauchen.

Selbst einem unkritischen Nutzer fällt aber die geringe Update-Frequenz auf. Die Version 7 des DSM ist massiv verspätet und bisher im Betatest. Die Produktivsysteme laufen auf DSM 6, zuletzt auf Version 6.2.4-25554 aktualisiert. Updates kommen sehr selten, die letzte Aktualisierung kam am 16.12.2020 und davor sogar 16.07.2020. Die Updatefrequenz für Pakete wie PHP, MySQL, Perl & Co ist nicht wesentlich besser.

Die Basis ist das, was im Linux-Jargon gerne als „gut abgehangen“ bezeichnet wird. Ich hatte dazu hier mal ein bisschen was geschrieben. Auch mit dem jüngsten Update hat sich da an den Versionen wenig getan. Der Kernel basiert weiter auf 4.4.59+, PostgreSQL ist nun bei 9.3.25, nginx ist jetzt bei 1.16.1. Was mit Version 7 mitgeliefert wird, konnte ich bisher noch nicht testen.

Nun sind Versionen natürlich nicht alles, man kann schließlich sicherheitsrelevante Fehler auch patchen, ohne die Version zu verändern. Hier macht die geringe Updatefrequenz aber Sorgen.

Es handelt sich immerhin um Geräte, die potenziell direkt aus dem Netz erreichbar sind und viel mehr Angriffsfläche als ein normales Desktopsystem bieten.

Wie würdet ihr das beurteilen? Bin ich zu kritisch? Gibt es wirklich so wenige sicherheitskritische Probleme bei den Basispaketen?

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

3 Ergänzungen

  1. Hi, ich stimme dir zu, dass eine Synology Diskstation, welche Dienste in einem Netzwerk anbietet, eine größere Angriffsfläche bietet, als ein Desktopsystem. Da Synology sowohl Produkte für Privatanwender als auch für Unternehmen anbietet, darf in meinen Augen ein professionelles Schwachstellen-Management erwartet werden.

    Synology betreibt Schwachstellen-Management (https://www.synology.com/de-de/security). Ich habe noch nicht alle verfügbaren Unterlagen und Informationen studiert. Das diese überhaupt in dieser Bandbreite verfügbar sind, ist in meinen Augen jedoch schonmal positiv zu beurteilen. Das Whitepaper macht auf den ersten Blick einen guten Eindruck (https://global.download.synology.com/download/Document/Software/WhitePaper/Firmware/DSM/All/enu/Synology_Security_Whitepaper.pdf).

    Ich selbst betreibe eine alte Diskstation, welche längst End-of-Support ist. Sie ist vom Internet aus *nicht* erreichbar und bietet nur wenige Dienste an. Und selbst hier erhalte ich sporadisch noch Updates für die installierten Pakete. Dies finde ich sehr gut.

    Die Informationen, welche Synology in seinen Sicherheitsanweisungen bietet, empfinde ich etwas spärlich (https://www.synology.com/de-de/security/advisory). Sofern ein Fix existiert interessiert mich allerdings selten mehr, als die Release-Nummer der abgesicherten Version.

    Schwachstellen finden sich häufig in ausführbaren Dateien und Bibliotheken. Je mehr von diesen auf einem System vorhanden sind, desto größer ist die potenzielle Angriffsfläche. Ich habe die Anzahl der Dateien in /usr/{bin,lib,sbin} für meine alte Diskstation, ein Buster Desktop-System und einen Buster-Server, welcher mehre Webapplikationen hosted, gezählt. Die Erhebung ist sicher nur eine kleine Stichprobe, zeigt aber, dass die Angriffsfläche der Diskstation nicht allzu groß ist.

    Diskstation:
    /usr/bin: 393
    /usr/lib: 3104
    /usr/sbin: 99

    Buster-Desktop:
    /usr/bin: 1929
    /usr/lib: 48312
    /usr/sbin: 320

    Buster-Server:
    /usr/bin: 937
    /usr/lib: 17662
    /usr/sbin: 230

    Für eine objektive Beurteilung fehlen mir Daten und die Zeit sie auszuwerten. Mein persönlicher Eindruck ist jedoch, dass Synology hier bereits ordentliche Arbeit abliefert, auch wenn sie in einzelnen Bereichen sicher noch besser werden können.

  2. Ich habe meine 920+ für etwas unter 500 € gekauft und bereue es eher.
    -> Das Geld hätte ich lieber in einen Eigenbau investieren sollen – dafür müsste ich schon bis zum i3-8100 und ECC Speicher kommen.
    Ansonsten betreibe ich noch ein Zyxel Billig NAS und OMV auf einem alten WHS Build.
    Das Zyxel kann wenig und die Bedienung ist eine Strafe (langsam), aber als Filer auch nicht langsamer als die Synology und eher leiser.
    Den OMV aufzusetzen war kein Hexenwerk und bietet mir die gleichen Features wie die Synology – eher mehr. Das System basiert auf Debian 9 und ist entsprechend gepflegt und deutlich flexibler.
    Der Sudo Fix ist auf der Synology nicht verfügbar – alle ’normalen‘ Distributionen haben das in keine Ahnung was Synology noch alles ungepatched gelassen hat – mir ist es zu riskant irgendetwas auf der Synology ins Internet zu lassen.

    • „Den OMV aufzusetzen war kein Hexenwerk und bietet mir die gleichen Features wie die Synology – eher mehr.“

      Ich kenne OMV gut und das stimmt so einfach nicht. Für Drive, Kontakte, Kalender und Notizen müsste man Nextcloud auf OMV installieren und hat dann wieder den entsprechenden Wartungsaufwand, weil man OMV + NC pflegen muss. Einen Mailserver als Archiv zu betreiben geht ebenfalls mit ordentlich Konfigurationsaufwand einher, da bietet OMV keine ootb Lösungen.

      Natürlich kocht Synology immer nur mit Wasser, das bestreitet niemand. Fast alle Produkte basieren zu einem Gutteil auf Open Source Software. Die Ersparnis an Lebens- und Arbeitszeit für den normalen Home oder Small Business Kunden sind aber enorm.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein