Synology betreibt seine bekannten NAS Systeme mit einem eigenen Betriebssystem – dem DiskStation Manager – das letztlich ein Linux ist. Doch ein reichlich altes Linux und Updates kommen nur selten.
Die Synology DiskStation 218 war eine meiner besten Kaufentscheidungen im IT-Bereich vergangenen Jahre. Das System ist vielseitig, stabil und wartungsarm. Ich konnte damit viel mehr Dinge realisieren, als vorher auf meinem Linux Home-Server liefen und habe gleichzeitig viel weniger Scherereien.
Mit dieser Entscheidung bin ich nicht alleine. Zusammen mit QNAP dürfte Synology einen Gutteil des deutschen Marktes unter sich aufteilen und ich weiß, dass Synology auch bei vielen IT-technisch versierten Nutzern beliebt ist, wenn sie etwas Wartungsarmes brauchen.
Selbst einem unkritischen Nutzer fällt aber die geringe Update-Frequenz auf. Die Version 7 des DSM ist massiv verspätet und bisher im Betatest. Die Produktivsysteme laufen auf DSM 6, zuletzt auf Version 6.2.4-25554 aktualisiert. Updates kommen sehr selten, die letzte Aktualisierung kam am 16.12.2020 und davor sogar 16.07.2020. Die Updatefrequenz für Pakete wie PHP, MySQL, Perl & Co ist nicht wesentlich besser.
Die Basis ist das, was im Linux-Jargon gerne als „gut abgehangen“ bezeichnet wird. Ich hatte dazu hier mal ein bisschen was geschrieben. Auch mit dem jüngsten Update hat sich da an den Versionen wenig getan. Der Kernel basiert weiter auf 4.4.59+, PostgreSQL ist nun bei 9.3.25, nginx ist jetzt bei 1.16.1. Was mit Version 7 mitgeliefert wird, konnte ich bisher noch nicht testen.
Nun sind Versionen natürlich nicht alles, man kann schließlich sicherheitsrelevante Fehler auch patchen, ohne die Version zu verändern. Hier macht die geringe Updatefrequenz aber Sorgen.
Es handelt sich immerhin um Geräte, die potenziell direkt aus dem Netz erreichbar sind und viel mehr Angriffsfläche als ein normales Desktopsystem bieten.
Wie würdet ihr das beurteilen? Bin ich zu kritisch? Gibt es wirklich so wenige sicherheitskritische Probleme bei den Basispaketen?
Hi, ich stimme dir zu, dass eine Synology Diskstation, welche Dienste in einem Netzwerk anbietet, eine größere Angriffsfläche bietet, als ein Desktopsystem. Da Synology sowohl Produkte für Privatanwender als auch für Unternehmen anbietet, darf in meinen Augen ein professionelles Schwachstellen-Management erwartet werden.
Synology betreibt Schwachstellen-Management (https://www.synology.com/de-de/security). Ich habe noch nicht alle verfügbaren Unterlagen und Informationen studiert. Das diese überhaupt in dieser Bandbreite verfügbar sind, ist in meinen Augen jedoch schonmal positiv zu beurteilen. Das Whitepaper macht auf den ersten Blick einen guten Eindruck (https://global.download.synology.com/download/Document/Software/WhitePaper/Firmware/DSM/All/enu/Synology_Security_Whitepaper.pdf).
Ich selbst betreibe eine alte Diskstation, welche längst End-of-Support ist. Sie ist vom Internet aus *nicht* erreichbar und bietet nur wenige Dienste an. Und selbst hier erhalte ich sporadisch noch Updates für die installierten Pakete. Dies finde ich sehr gut.
Die Informationen, welche Synology in seinen Sicherheitsanweisungen bietet, empfinde ich etwas spärlich (https://www.synology.com/de-de/security/advisory). Sofern ein Fix existiert interessiert mich allerdings selten mehr, als die Release-Nummer der abgesicherten Version.
Schwachstellen finden sich häufig in ausführbaren Dateien und Bibliotheken. Je mehr von diesen auf einem System vorhanden sind, desto größer ist die potenzielle Angriffsfläche. Ich habe die Anzahl der Dateien in /usr/{bin,lib,sbin} für meine alte Diskstation, ein Buster Desktop-System und einen Buster-Server, welcher mehre Webapplikationen hosted, gezählt. Die Erhebung ist sicher nur eine kleine Stichprobe, zeigt aber, dass die Angriffsfläche der Diskstation nicht allzu groß ist.
Diskstation:
/usr/bin: 393
/usr/lib: 3104
/usr/sbin: 99
Buster-Desktop:
/usr/bin: 1929
/usr/lib: 48312
/usr/sbin: 320
Buster-Server:
/usr/bin: 937
/usr/lib: 17662
/usr/sbin: 230
Für eine objektive Beurteilung fehlen mir Daten und die Zeit sie auszuwerten. Mein persönlicher Eindruck ist jedoch, dass Synology hier bereits ordentliche Arbeit abliefert, auch wenn sie in einzelnen Bereichen sicher noch besser werden können.
Ich habe meine 920+ für etwas unter 500 € gekauft und bereue es eher.
-> Das Geld hätte ich lieber in einen Eigenbau investieren sollen – dafür müsste ich schon bis zum i3-8100 und ECC Speicher kommen.
Ansonsten betreibe ich noch ein Zyxel Billig NAS und OMV auf einem alten WHS Build.
Das Zyxel kann wenig und die Bedienung ist eine Strafe (langsam), aber als Filer auch nicht langsamer als die Synology und eher leiser.
Den OMV aufzusetzen war kein Hexenwerk und bietet mir die gleichen Features wie die Synology – eher mehr. Das System basiert auf Debian 9 und ist entsprechend gepflegt und deutlich flexibler.
Der Sudo Fix ist auf der Synology nicht verfügbar – alle ’normalen‘ Distributionen haben das in keine Ahnung was Synology noch alles ungepatched gelassen hat – mir ist es zu riskant irgendetwas auf der Synology ins Internet zu lassen.
„Den OMV aufzusetzen war kein Hexenwerk und bietet mir die gleichen Features wie die Synology – eher mehr.“
Ich kenne OMV gut und das stimmt so einfach nicht. Für Drive, Kontakte, Kalender und Notizen müsste man Nextcloud auf OMV installieren und hat dann wieder den entsprechenden Wartungsaufwand, weil man OMV + NC pflegen muss. Einen Mailserver als Archiv zu betreiben geht ebenfalls mit ordentlich Konfigurationsaufwand einher, da bietet OMV keine ootb Lösungen.
Natürlich kocht Synology immer nur mit Wasser, das bestreitet niemand. Fast alle Produkte basieren zu einem Gutteil auf Open Source Software. Die Ersparnis an Lebens- und Arbeitszeit für den normalen Home oder Small Business Kunden sind aber enorm.