Zum Inhalt springen
xaweho
Bestellen

Knowledge Base · einfach

Admin-Account auf der Synology absichern — 2FA, Passwort, Login-Schutz

Eine Synology, die im Internet hängt, ist ein Brute-Force-Magnet. So härtest Du den Admin-Account, schützt vor Login-Floods und schläfst nachts ruhiger.

einfach ·

Eine Synology, die wir Dir bereitstellen, hat eine eigene öffentliche IPv4 — sie ist also vom ganzen Internet aus erreichbar. Das ist Feature, nicht Bug: Du willst ja von unterwegs ran. Aber: jede DSM-Instanz, die im Internet hängt, kriegt ab Tag 1 Brute-Force-Versuche auf den Login. Aus unserer Erfahrung sind die ersten Login-Attacken nach etwa 4 Stunden im Log.

Mit den folgenden vier Maßnahmen ist das alles harmlos. Ohne sie kann’s irgendwann unangenehm werden.

1. Default-Admin-Account deaktivieren

Synology liefert standardmäßig einen User namens admin mit. Den deaktivieren wir bei der Bereitstellung — Brute-Force-Versuche zielen meist genau auf admin, also nehmen wir den raus.

Dein Admin-Account heißt deshalb anders (typisch admin-<deine-kundennummer> oder von Dir vorgegeben). Wenn Du den admin-User in der User-Liste noch sehen solltest: deaktivieren.

Systemsteuerung → Benutzer & Gruppe → admin → Bearbeiten → “Konto deaktivieren” anhaken.

2. Starkes Passwort

Klingt selbstverständlich, ist es aber nicht. Aus unseren Logs: 70 % der Brute-Force-Versuche probieren die Top-100-Passwörter aller Zeiten (123456, qwerty12, synology, admin123, …).

Aus dem Passwort-Manager generiert: mindestens 16 Zeichen, gemischt, einmalig. Nirgendwo anders verwendet. Bitwarden, 1Password, KeePass — egal welcher, Hauptsache nicht im Kopf.

Systemsteuerung → Benutzer & Gruppe → Dein Account → Passwort ändern.

3. Zwei-Faktor-Authentifizierung (2FA / TOTP)

Das ist die wichtigste einzelne Maßnahme. Selbst wenn jemand Dein Passwort hat, kommt er ohne den zweiten Faktor nicht rein.

Setup:

  1. Eine TOTP-App auf dem Smartphone installieren — wir empfehlen 2FAS oder Aegis (Open Source, lokales Backup). Apple-Nutzer können auch den eingebauten Passwort-Manager nehmen.
  2. Im DSM: Persönlich → Konto → Verifizierung in zwei SchrittenAktivieren.
  3. QR-Code mit der App scannen.
  4. Den 6-stelligen Code aus der App eintragen — Setup ist abgeschlossen.

Wichtig: DSM zeigt Dir am Ende Wiederherstellungs-Codes an. Diese ausdrucken oder im Passwort-Manager speichern — wenn Dein Smartphone kaputtgeht oder verloren geht, kommst Du nur mit diesen Codes wieder rein. Aus eigener Erfahrung: drucken und in den Aktenordner ist die zuverlässigste Variante.

4. Auto-Block einschalten

DSM hat einen eingebauten Brute-Force-Schutz, der nach X fehlgeschlagenen Logins die Quell-IP automatisch blockt. Standardmäßig ist er aus — was bei uns die häufigste Ursache für später-aufgetauchte Sicherheitsprobleme ist.

Systemsteuerung → Sicherheit → Konto → Auto-Block:

  • Auto-Block aktivieren: an
  • Anmeldeversuche: 5
  • Innerhalb (Minuten): 5
  • Sperre aktivieren: an
  • Sperrablauf (Tage): 7

Das blockt jede IP, die in 5 Minuten 5 Mal falsch eingibt, für eine Woche. Aus unseren Logs: blockt 99 % der Brute-Force-Versuche binnen Sekunden.

Wenn Du Dich mal selbst aussperrst (Tippfehler im Passwort), kommst Du von einer anderen IP wieder rein und kannst die Sperre selbst in der gleichen Maske aufheben.

5. (Optional) DSM-Port ändern

Standardmäßig hört DSM auf Port 5000 (HTTP) und 5001 (HTTPS). Beide sind im Internet sehr bekannt und ziehen Scanner an.

Du kannst den HTTPS-Port ändern, etwa auf 15001:

Systemsteuerung → Anmeldeportal → DSM → HTTPS-Port: 15001.

Dann ist Dein DSM unter https://...:15001/ erreichbar. Brute-Force-Scanner, die nur 5001 abklappern, gehen leer aus. Macht Logs ruhiger, ist aber kein echter Schutz — wer wirklich rein will, scannt alle Ports.

Vorsicht: vergiss den neuen Port nicht. Sonst kommen wir nur per VNC ans DSM ran und müssen den Port zurücksetzen.

6. Permission-Hygiene für andere Benutzer

Wenn Du Familienmitgliedern oder Kollegen Zugriff gibst: nicht den Admin-Account weiterreichen. Stattdessen:

  1. Eigenen User pro Person anlegen.
  2. Nur die nötigen Shared Folders freischalten — nicht alle.
  3. Keine Admin-Rechte vergeben, außer wirklich nötig.
  4. Pro User eigenes Passwort (kein gemeinsames).

So kannst Du im Notfall einzelne User deaktivieren, ohne dass alle anderen betroffen sind.

Was wir auf unserer Seite zusätzlich tun

Auf der Hardware-Seite haben wir Schutzmaßnahmen, die Du nicht selber konfigurieren musst:

  • DDoS-Filter vor dem RZ — massive Angriffswellen werden vor Deiner NAS abgefangen.
  • Netzwerk-Monitoring: wenn von einer einzelnen IP plötzlich extreme Traffic-Mengen auf Deine Synology gehen, alarmiert das uns.
  • Fail2ban-Logs: wir tracken Brute-Force-Patterns auf unseren Aggregations-Logs.

Heißt aber nicht, dass Du Dich nicht selbst absichern musst. Die DSM-Login-Schicht ist Deine Verantwortung.

Häufige Fragen

Brauche ich ein VPN, um aufs DSM zuzugreifen? Nein, mit den genannten vier Maßnahmen (Passwort, 2FA, Auto-Block, ggf. Custom Port) reicht direktes HTTPS. VPN macht das ganze nochmal sicherer, ist aber operationell unbequem — Du müsstest jedes Mal vorm Drive-Sync VPN aktivieren.

Was ist mit OpenVPN-Server auf der Synology? Synology bringt einen VPN-Server mit (Paket „VPN Server” im Package Center). Aktivieren kannst Du gerne — praktisch, wenn Du auch andere Dienste in Deinem Heimnetz erreichen willst, nicht nur die NAS. Aber für reinen NAS-Zugriff Overkill.

Ich habe mein 2FA-Gerät verloren — was nun? Wenn Du die Wiederherstellungs-Codes hast: einer davon nutzen für den Login, dann 2FA neu aufsetzen. Wenn nicht: Ticket öffnen, wir setzen 2FA per VNC zurück. Geht aber nur, wenn Du Dich gegenüber uns identifizieren kannst (etwa per Mail vom hinterlegten Mail-Account).

Kann ich den Admin-Account auf einen normalen User downgraden? Du brauchst mindestens einen Administrator. Wenn Du also einen zweiten Admin-User anlegst und den ersten nur „User” macht, ist das okay. Wir empfehlen aber: einen Admin-Account, der nicht für tägliche Sachen genutzt wird, plus einen normalen User für den Alltag.

Wie sehe ich, ob jemand versucht hat einzubrechen? Log Center im DSM (eigenes Paket, oft schon installiert) → Filter „Verbindung” → da siehst Du fehlgeschlagene Logins mit Quell-IP. Mit aktiviertem Auto-Block siehst Du auch die geblockten IPs.

Was, wenn ich Push-Benachrichtigung über fehlgeschlagene Logins haben will? Systemsteuerung → Benachrichtigung → Regeln — Du kannst pro Event-Typ E-Mail oder Push einrichten. „Anmeldung fehlgeschlagen” gehört in unsere Standard-Empfehlung.

Weiter geht’s

Passende Produkte
Synology Hosting
Tags
synology security 2fa hardening
Weitere Artikel zu Synology Hosting

Erste Anmeldung am DSM nach der Bereitstellung

Was Du nach der Bestellung Deiner Synology bei uns als erstes tust — Login, Sprache, initiale Sicherheit, ein paar wichtige Defaults gleich richtig setzen.

Synology Drive für Dateifreigabe und Sync einrichten

Synology Drive ist Dropbox-Ersatz auf Deiner Synology — Sync-Client, Sharing-Links, Versionsverlauf. So bringst Du es ans Laufen.

Synology Photos einrichten — Foto-Auto-Upload und Album-Verwaltung

iCloud-Photos-Ersatz auf eigener Hardware. So richtest Du Synology Photos ein, aktivierst den Auto-Upload und nutzt Gesichts- und Objekterkennung.

Snapshot Replication für Versions-Schutz konfigurieren

Btrfs-Snapshots schützen Deine Daten vor Ransomware, versehentlicher Löschung und kaputten Updates. Was es ist, wie Du es einrichtest, und warum es kein Backup ersetzt.
Alle Artikel zu Synology Hosting →

Hat dieser Artikel Dir geholfen?

Wenn nicht, schreib uns ein Ticket. Wenn ja, freuen wir uns über eine Empfehlung — beide bekommen 25 € Guthaben aufs Kundenkonto.

Mehr Wissens-Artikel Empfehlungsbonus