Dateidienste

Auf allen Sub Registern alles deaktivieren.
Nur auf dem ersten Register folgende Einstellungen:
SMB aktiv mit Arbeitsgruppe Kastens
AFP deaktivieren
NFS deaktivieren

Benutzer

Ich verzichte vorerst auf die lokale Einrichtung der User. Stattdessen werden die User als LDAP User angelegt.
Wichtig ist bei Erweitert nur, dass die Benutzerbasis, also Home Verzeichnisse aktiviert werden.
Einziger lokaler User ist damit matzeadmin.
Final soll eine Übersicht der User mit Gruppenzuordnung erfolgen.

Gruppen

Final soll eine Übersicht der User mit Gruppenzuordnung erfolgen.
Domain / LDAP
Ich habe jetzt den LDAP Server am laufen und dort entsprechende Gruppen eingerichtet, die ich auf der Diskstation nutzen möchte. Klappt soweit ganz gut.
Derzeit ist nur der matzeadmin ein lokaler User. Yvi kann mit yviadmin via LDAP auf die Diskstation zugreifen. Standardberechtigungen gibt es nicht mehr. Über Berechtigungen werden den Gruppen Rechte zugewiesen.
Auf dem Reiter LDAP-Benutzer müssen nun noch Home Verzeichnisse erlaubt werden. Dazu auf Benutzerbasis klicken und entsprechend aktivieren. Es wird dasselbe Volume genutzt wie für die normalen Benutzerkonten und unter homes wird ein Unterordner @LH-DAP.KASTENS angelegt. Darunter werden nun alle Home Verzeichnisse der LDAP user eingerichtet.
Über die LDAP Benutzer und Gruppen kann man auch schon einmal die grundlegenden Berechtigungen auf gemeinsame Ordner setzen.

Quickconnect

Ist deaktiviert

Externer Zugriff

DynDNS:

• msds.myDS.me über Synology Account aktiviert
• kastens.net über Strato aktiviert
Auf kastens.net zeigen noch folgende Aliase:
• depression.kastens.net
• msds.kastens.net
• yvi.kastens.net
• doku.kastens.net
Interessant:
• muenster.kastens.net ist bei Strato als CName auf kastensfbms.dynv6.net. eingerichtet
• routerms.kastens.net ist bei Strato als CName auf routerms.kastens.net eingerichtet
und darüber ist auch eine Namensauflösung per IPv6 möglich.

Erweitert

Hier ist lediglich msds.kastens.net als Hostname für externe Kommunikation hinterlegt

Netzwerk

Allgemein

Servername: msds
Gateway wurde per DHCP ermittelt
DNS Server geändert auf zuerst 192.168.20.9 und als secondary dann 192.168.20.1

Netzwerkschnittstelle

DHCP für IPv4 und automatische Adresszuweisung für IPv6.

Datenflussteuerung

Wäre noch zu erkunden…

Statische Routen

Keine

DSM Einstellungen

DSM Ports 5000 (http) und 5001 (https)
http wird nicht automatisch umgeleitet, da von aussen über Port 5000 eh nicht erreichbar
http/2 ist aktiv
Server Header benutzerdefiniert auf NGINX -> nach Reset schauen

DHCP Server

Deaktiviert

Sicherheit

Sicherheit

Timer zum Abmelden: 30 Minuten
Aktiviert:
• Schutz gegen Cross-Site-Request-Forgery
• Sicherheit mit CSP Header
• iFrame nicht zulassen
• Benutzersitzungen beim Systemstart löschen

Firewall

NICHT AKTIV?!

Schutz

LAN: DoS Schutz aktivieren

Konto

Automatische Blockierung: 10 Versuche in 5 Minuten -> Aufhebung nach einem Tag
In der Freigabeliste das Netz 192.168.20.0/24
Kontoschutz aktiv: ACHTUNG! UNKLAR -> Handbuch
Nicht vertrauenswürdige Clients: 5 Versuche in 1 Minute -> Aufhebung nach 30 Minuten
Vertrauenswürdige Clients: 10 Versuche in 1 Minute -> Aufhebung nach 30 Minuten

Zertifikat

Derzeit 4 Zertifikate:
• muenster.kastens.net hält auch msds und wird genutzt als Standardzertifikat (für WebDav, Drive, FTPS, Systemvoreinstellung und LDAP)
• kastens.net hält auch depression, doku und yvi und wird nur für die Webauftritte genutzt
• msds.myds.me – Standardzertifikat aus der Einrichtung des Synology User Accounts
• synology – War bereits vorhanden. Derzeit nicht aktiv genutzt

Erweitert

http Komprimierung verwenden (War bislang nicht der Fall)
TLS/SSL auf moderne Komp.

Info Center

Liefert umfangreiche Systeminformationen zu Speicher, Diensten etc.
Synology Konto ist interessant: Dort kann der zentrale Login erfolgen, um dann DDNS zu nutzen.

Thema

Lediglich Look and Feel der Oberfläche

Regionale Optionen

Neben Datumsformaten vor allen Dingen interessant: Zeitsynchronisierung! Sollte auf de.pool.ntp.org eingestellt werden

Benachrichtigung

Hier wird die log Mail Adresse hinterlegt, um Log Meldungen zu erreichen. Mailversand sollte verschlüsselt (465?) erfolgen.
Unter Erweitert kann dann die Art der Meldungen konfiguriert werden.
Ggfs. Push Meldungen?

Aufgabenplaner

wurde bislang automatisch durch Hyperbackup und die Festplattentests gefüllt.

Hardware und Energie

Allgemein

Automatisch nach Stromausfall neu starten
Signaltonsteuerung: Alle Events aktiv
Lüftermodus: Still
Helligkeit: 2. Stufe

Energie Zeitplan

Nicht gesetzt. Hier könnte man einen regelmäßigen Neustart einplanen.

Ruhezustand Festplatte

20 Minuten intern und 15 minute USB. Protokollierung aktiv

Externe Geräte

Hier werden USB Platten und Drucker angezeigt

Aktualisierung und Wiederherstellen

Hier habe ich gerade eine Aktuelle Sicherung der Konfiguration angelegt und lokal auf dem Linux Rechner im Download Verzeichnis gespeichert. Unter Zurücksetzen hat man die Möglichkeit, auf die Werkseinstellung zu gehen. Das löscht aber alle Daten auf den Platten!

Berechtigungen

Über diesen Menüpunkt habe ich alle Standardberechtigungen deaktiviert. Rechte werden nur noch Gruppen und in Ausnahmefällen einzelnen Usern gegeben.

Anwendungsportal

Darüber kann man einzelnen Paketen direkte URL Aufrufe zuordnen. Habe ich bspw. Für Moments und File Station gemacht.

Indizierungsdienst

Unklar. Steht wahrscheinlich in Verbindung mit Moments

Synchronisierung frei gegebener Ordner

Nicht genutzt

Terminal und SNMP

Lediglich ssh per Port 5022 aktiviert. Unter erweitert hohe Sicherheit aktiviert.

Spezialfall Webstation mit WordPress

Webstation wird benötigt, wenn man mit WordPress einen Internetauftritt schalten möchte. Auch für andere Funktionen ist dies erforderlich (ggfs. auch für die Zertifikatsbeschaffung via let’sencrypt.

Ich möchte die Webauftritte eigentlich von der DS weg bekommen wegen meiner Performance Probleme. Diese rühren zwar vermutlich nicht von den Webservern, aber da die Kiste ja nachweislich nicht alllzu leistungsstark ist, möchte ich dort lieber nur zwingend erforderlich Kernkomponenten betreiben. Leider bekomme ich dieses Ziel mangels Zertifikatsunterstützung kurzfristig bei Strato nicht geregelt und für die Migration brauche ich die WordPress Installationen funktinsfähig.

Standardmäßig kommt die Webstation mit dem Webserver Nginx einher. Für WordPress muss in der Installation aus dem Paket Zentrum zusätzlich als Abhängigkeit Apache mit dazu. Theoretisch kann man aber auch eine Installation mit Nginx hinbekommen.

Einige Screenshots aus der Altumgebung:

WordPress

Das hier sind die Aufzeichnungen die nicht ganz passend sind. Anhand dieser Daten werde ich aber die drei Webauftritte wieder einrichten.

Mit der normalen Paketinstallation von WordpPress über das Paketzentrum werden auch die WebStation, MariaDB, PHP 7.2 und Apache 2.2 installiert.
Installationsverzeichnis: /volume2/\@appstore/WordPress/

Bislang habe ich die Installationen sehr stark manuell durchgeführt und in einem Ordner WordPress abgelegt. Da will ich wieder auf Standard, sprich Unterordner in web.

Zusätzlich hatte ich eine Anleitung, nach der ich je WP Installation eine spezielle PHP Konfig gebaut habe. Details dazu unten. Auch das möchte ich eigentlich mit einer gemeinsamen Vorgabe erschlagen. Hierzu identische Konfigurationen für alle Seiten (Abweichungen unten bei den Seiten):

Version: 7.3

Erweiterungen: bcmath, curl, exif, gd, ldap, mysqli, openssl

Unter Kern angepasst:
Mysqli.default_socket = /run/mysqld/mysqld10.sock
Mysqli.default = 3306 (muss eigentlich 3307 sein!)
Die virtuellen Hosts sind alle eingestellt auf NGINX als Backend Server

depression.kastens.net

DB: WP_depression
Pfad: wordpress/depression
PHP Individualabweichungen, die weg sollen:
• Basedir: /tmp:/var/services/tmp:/volume1/wordpress/depression/www
Unter Kern angepasst:
• Upload_tmp_dir = wordpress/depression/tmp

yvi.kastens.net

DB: WP_yvi
Pfad: wordpress/yvi
PHP Individualabweichungen, die weg sollen:
• Basedir: /tmp:/var/services/tmp:/volume1/wordpress/yvi/www
Unter Kern angepasst:
• Upload_tmp_dir = wordpress/depression/tmp

kastens.net

DB: WP_kastens
Pfad: wordpress/kastens
Datenbank Backup
PHP Individualabweichungen, die weg sollen:
• Basedir: /tmp:/var/services/tmp:/volume1/wordpress/kastens/www
Unter Kern angepasst:
• Upload_tmp_dir = wordpress/kastens/tmp

Dokubasis

  • Maria DB Zugriff sichten
    • Aufruf des Maria DB Paketes. Dort findet man
    • Den Zugriffsport: 3307
    • Den Domain Socket: /run/mysqld/mysqld10.sock
  • PHP Einstellungen in der Web Station erzeugen
Tatsächlich sollen die beiden dargestellten Erweiterungen mysqli und openssl aktiviert werden.
  • Zusätzlich auf dem Reiter Kern die Parameter der MysqlDB Installation erfassen (Filter auf mysqli.default sinnvoll):
  • Virtuellen Host in der Webstation erzeugen
  • Jetzt in PHPMyadmin eine DB anlegen. Am einfachsten gelingt das über die Anlage eines neuen Benutzerkontos:
Durch den Haken unten „erstelle eine Datenbank …“ wird auch gleich eine passende DB erzeugt, die genutzt werden kann.
  • Installation von WordPress:

!!!!
Das hier muss nochmal überarbeitet werden!
Ziel ist Installation nicht in einem Unterverzeichnis namens WordPress, sondern verschieben der Daten in das root Verzeichnius des virtuellen Host
!!!!

Per ssh auf die Diskstation und dann wie folgt Vorgehen (Das Web Verzeichnis liegt derzeit auf Volume 6):
matzeadmin@ms_ds:~$ cd /volume6/web/
matzeadmin@ms_ds:~$ cd /volume6/web/Kastens_Doku/
matzeadmin@ms_ds:/volume6/web/Kastens_Doku$ wget https://wordpress.org/latest.tar.gz



matzeadmin@ms_ds:/volume6/web/Kastens_Doku$ tar -xzvf latest.tar.gz



matzeadmin@ms_ds:/volume6/web/Kastens_Doku$ rm latest.tar.gz

Nun noch die Verzeichnisberechtigungen und den User anpassen:
matzeadmin@ms_ds:/volume6/web/Kastens_Doku$ sudo chown http:http -R wordpress/
Password:
matzeadmin@ms_ds:/volume6/web/Kastens_Doku$ sudo find wordpress -type f -exec chmod 640 {} \;
matzeadmin@ms_ds:/volume6/web/Kastens_Doku$ sudo find wordpress -type d -exec chmod 750 {} \;