Beveiliging site Logitech Media Server

[Aanbeeld]

Al een tijdje loop ik er tegen aan dat ik de beveiliging van LMS absoluut slecht vind. Nu ben ik aan het zoeken geweest hoe dit beter dicht te timmeren.

De standaard beveiliging die in LMS werkt voor mij niet omdat mijn telefoon die ik vaak voor streaming gebruik het wachtwoord niet goed mee zend. Ook veranderd hiervan het IP adres iedere keer als ik mobiel internet gebruik dus ook op IP adres blokken is geen optie. Ik heb met de firewall de subnetten die met poort 9002 mogen communiceren wel al flink in geperkt.

Maar wat me het meeste stoort is dat je de gewone bediening en de instellingen niet apart kan afschermen. Maar ik heb nu wat trucken uitgehaald om de boel dichter te timmeren, zijn een boel stappen en je moet ook weer veel terug zetten als je wel wat wil wijzigen.

Een andere grote ergernis is dat als je op de browse knop drukt om een folder in te stellen waar bijv. je muziek bestanden staan dat je dan je door een groot deel van de Diskstation kan browsen. Dit komt omdat LMS alles doet als admin (vind ik vrij slordig).

Om bij deze laatste stap te beginnen. Om de browse knop weg te halen moet je de bestanden van LMS aan passen. Deze staan in /volume1/@appstore/SqueezeCenter/HTML/EN/settings
de eerste vind je in basic.html. De invul velden met de browse knop zien er als volgt uit in dit bestand.

Code: [Selecteer]

<input type="text" class="stdedit selectFolder" name="pref_artfolder" id="artfolder" value="[% prefs.pref_artfolder %]" size="40">

De truck is dat je in de class de tekst ' selectFolder' weg haalt. Dan krijg je onderstaand resultaats:
 

Code: [Selecteer]

<input type="text" class="stdedit" name="pref_artfolder" id="artfolder" value="[% prefs.pref_artfolder %]" size="40">

Dit moet je doen bij elk veld en in elke pagina waar de browse knop voor komt:

• /volume1/@appstore/SqueezeCenter/HTML/EN/settings
• /volume1/@appstore/SqueezeCenter/Cache/InstalledPlugins

Alle verschillende layout skins blijken voor de settings pagina's toch naar deze twee mappen te verwijzen, dus je hoeft dit niet voor elke skin te doen. Ik heb naar de stylesheet gezocht om te kijken of ik het op dat niveau kon aanpassen, maar die heb ik helaas nog niet gevonden

Dan de volgende stap het onbereikbaar maken van de settings.

Dit heb ik gedaan door de rechten van de mappen waar de html pagina's in staan aan te passen. Zoals aangegeven werkt LMS als admin en heeft dus toegang tot bestanden met waar de admin eigenaar van is of tot de groep behoord. Ik heb dus de rechten van deze mappen aangepast naar 700 en de eigenaar een andere gebruiker dan admin van gemaakt.

Dit heb ik gedaan bij de volgende mappen:

• /volume1/@appstore/SqueezeCenter/HTML/EN/settings               -->    algemene settings tabbladen: basis, mijn muziek, mysb.com, interface, geavanceerd (wel de tab, niet de onderliggende pagina's en informatie
• /volume1/@appstore/SqueezeCenter/Cache/InstalledPlugins       -->   enkele instellingen pagina's van plugins (via tab gevanceerd, maar ook op andere plekken, is afhankelijk van de plugin)
• /volume1/@appstore/SqueezeCenter/Slim/Plugin/     -->   instellingen pagina's van plugins en de tab plugins
• /volume1/@appstore/SqueezeCenter/HTML/EN/settings/player/     -->    tabblad muzieksysteem (heb ik niet beveiligd)
• /volume1/@appstore/SqueezeCenter/HTML      -->          heb ik niet beveiligd, maar dan is dus de hele LMS uit de lucht, niet echt handig omdat je dan je streaming players niet meer kan bedienen.

Nu heb ik geprobeerd of het mogelijk was om met user groepen dit wat makkelijker te regelen. Het idee is als volgt. Maak een groep LMSUser aan. Zet de groep van de te beveiligen mappen die hierboven genoemd zijn naar LMSUser en zet de rechten van deze mappen op 750.  Door de admin lid te maken van de groep LMSUser zou de beveiliging uit moeten zijn, en door admin er weer uit te halen de beveiliging weer aan.

Het vreemde is dat dit wel werkt voor de standaard groepen users en administrator, maar niet voor groepen die je zelf hebt gemaakt. Vreemd, misschien zie ik iets over het hoofd.

Als iemand ideeën heeft om dit netter en beter te doen dan hoor ik het graag.

[Grofweg]

Al een tijdje loop ik er tegen aan dat ik de beveiliging van LMS absoluut slecht vind. Nu ben ik aan het zoeken geweest hoe dit beter dicht te timmeren.

De standaard beveiliging die in LMS werkt voor mij niet omdat mijn telefoon die ik vaak voor streaming gebruik het wachtwoord niet goed mee zend. Ook veranderd hiervan het IP adres ...

Tjonge jonge wat een verhaal. Waar ben je trouwens bang voor, maar dat terzijde.
Kijk eens  bij de plugins inLMS, other third party plugins. Daar staat plugin 'NoSetup' . Hiermee kun je de gehele settingspagina verbergen. Misschien een optie.

[Aanbeeld]

Die plug-in had ik nog niet ontdekt, eens kijken wat 't doet. Waar ik bang voor ben is dat als de LMS van buiten af benaderbaar is dat derden door mijn folder structuur kunnen browsen en dat is info die ik niet aan derden (eventueel kwaadwillend) wil prijsgeven.

[Aanbeeld]

Ik heb de NoSetup plugin in geschakeld, maar het blokkeert helemaal niks en ik kan ook geen configuratie pagina vinden. Enig idee hoe het werkt?

Mijn route met het aanpassen van de rechten van bepaalde mappen was achteraf geen succes. Als je de server opnieuw moet opstarten dan gaat er iets mis en start de server niet op.

Ik heb ook ergens iets gevonden dat je slimserver.pl de parameter --NoSetup kan meegeven. Wat de setup pagina's ook blokkeert. Weet iemand waar ik dit ergens kan aan passen? Heb het slimserver.pl gevonden. alleen weet ik dus niet waar en hoe dit script wordt aangeroepen.

[Grofweg]

Ik heb de NoSetup plugin in geschakeld, maar het blokkeert helemaal niks en ik kan ook geen configuratie pagina vinden. Enig idee hoe het werkt?

Mijn route met het aanpassen van de rechten van bepaalde mappen was achteraf geen succes. Als je de server opnieuw moet opstarten dan gaat er iets mis en start de server niet op.

Ik heb ook ergens iets gevonden dat je slimserver.pl de parameter --NoSetup kan meegeven. Wat de setup pagina's ook blokkeert. Weet iemand waar ik dit ergens kan aan passen? Heb het slimserver.pl gevonden. alleen weet ik dus niet waar en hoe dit script wordt aangeroepen.

Je activeert de plugin niet aan de settings kant maar aan de voorzijde :-)  je moet de plugin namelijk ook weer kunnen uitschakelen. Ga naar het hoofdmenu en dan vind je onder ' extra' de instellingen van de plugin. O.a. kun je hier een wachtwoord instellen voor het activeren en deactiveren van de plugin.

Zie deze plugin als de front-end van de parameter -NoSetup.

[Aanbeeld]

Daar had ik nog niet gekeken. instellingen gevonden. Alleen werken ze niet. Kan de setup pagina nog steeds benaderen.

[Grofweg]

Daar had ik nog niet gekeken. instellingen gevonden. Alleen werken ze niet. Kan de setup pagina nog steeds benaderen.

Klopt meer doet het ook niet :-) . met een directe link kun je de settings nog steeds benaderen.

Enige goede mogelijkheid voor beveiliging lijkt dan vpn/ssh te zijn.
Op dezesite vind je meer info:
http://www.squeezeplayer.com/category/howto/

 Of kijk anders eens op de wikipagina van slimsever:
http://wiki.slimdevices.com/index.php/Connecting_remotely

[Aanbeeld]

Heb nu inderdaad ontdekt wat de NoSetup plugin doet. De instellingen link wordt van de hoofd pagina verwijderd. Vandaar dat ik dacht dat de plugin het niet deed, want ik deed de instellingen pagina refreshen en dan merk je dus inderdaad dat het een wassen neus beveiliging is. Laat de plugin wel aanstaan want het geeft mensen die onbekend zijn met LMS in elk geval niet de route beschrijving naar binnen.

Heb met de firewall de toegang tot de LMS poort ook beperkt tot de subnetten van mijn mobiel ISP en de IP adressen van locatie's waar ik wifi of vaste aansluitingen gebruik (werk, familie etc.)

De SSH poort is een interessante optie om te onderzoeken. Heb nu putty voor mijn mobiel gedownload, eens kijken of 't wil werken. Heb nog nooit een SSH tunnel opgezet, maar de omschrijving die ik op internet vond verwacht ik geen problemen.

Het verhaal met de reverse proxy heb  ik al eens geprobeerd, maar ben toen vast gelopen. Als ik jouw link bekijk dan is dat misgegaan omdat ik /slimserver/ heb proberen om te leiden ipv /  en dit blijkt dus bij de nieuwere versies van LMS niet te werken.