SFTP aktivieren

Status
Für weitere Antworten geschlossen.

caimy

Benutzer
Mitglied seit
15. Jan 2012
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
in der Wiki steht man könne SFTP ganz einfach aktivieren indem man die eine # wegmacht - nur wie mach ich diese Raute weg?

Wikieintrag:
SFTP aktivieren

Ab DSM 3.1 hat man die Möglichkeit SFTP zu aktivieren, indem man eine auskommentierte Zeile in der /etc/ssh/sshd_config wieder aktiviert:

in der Datei /etc/ssh/sshd_config wird das # am Anfang der Zeile entfernt

# override default of no subsystems
#Subsystem sftp /usr/libexec/sftp-server
Subsystem sftp internal-sftp

Quelle: http://www.synology-wiki.de/index.php/Nicht_unterst%C3%BCtzte_Konfigurations%C3%A4nderungen
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
SSH/Telnet auf die NAS:

1) cd /etc/ssh/
2) vi sshd_config
3) Pfeiltasten runter gehen (bis zu der Zeile, dass der Cursor am Anfang der Zeile stehen bleibt)
4) einmal 'x' drücken (danach sollte das '#' gelöscht sein)
5) ':wq' + Enter drücken
 
Zuletzt bearbeitet:

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0

caimy

Benutzer
Mitglied seit
15. Jan 2012
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
danke für die schnelle und einfach Erklärung
leider geht das SFTP immer noch nicht, obwohl die # jetzt weg ist
muss ich die Diskstation neustarten damit diese änderung aktiv wird?
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
danke für die schnelle und einfach Erklärung
leider geht das SFTP immer noch nicht, obwohl die # jetzt weg ist
muss ich die Diskstation neustarten damit diese änderung aktiv wird?
Glaub auch, dass ein Neustart fällig wird.
 

caimy

Benutzer
Mitglied seit
15. Jan 2012
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
funktioniert nach Neustart :)
vielen Dank!
 

luki83

Benutzer
Mitglied seit
16. Jan 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
hiii,

ich habe da mal eine frage..... muß ich alle # entfernen ???

danke

gruß luki
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
hiii,

ich habe da mal eine frage..... muß ich alle # entfernen ???

danke

gruß luki
Wie es geschriebe steht, von:

#Subsystem sftp internal-sftp

nach:

Subsystem sftp internal-sftp

Also nur die eine Zeile.
 

luki83

Benutzer
Mitglied seit
16. Jan 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hii nochmal,

dummerweise habe ich die ganzen # weggemacht -.-. Kannst du mir sagen, wie ich alles wieder normal hinbekomme (sshd_config)?

danke

gruß luki
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
SSH/Telnet auf die NAS:

1) cd /etc/ssh/
2) vi sshd_config
3) Pfeiltasten runter gehen (bis zu der Zeile, dass der Cursor am Anfang der Zeile stehen bleibt)
4) 'i' drücken (ist der Insert Modus; man sieht keine Änderung)
5) '#' eingeben
6) ESC drücken (um in den allgemeinen Modus aka. Zeilen-Kommando-Modus zurückzukehren)
7) ':wq' + Enter drücken

Ich habe nun mal Synology den Vorschlag unterbreitet, dass die es direkt in DSM aufnehmen.
 
Zuletzt bearbeitet:

luki83

Benutzer
Mitglied seit
16. Jan 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
hi danke für die schnelle antwort.
habe noch eine frage. Ich check die nummer 3 nicht so ganz .....
ich würde alle # zeichen auch so wieder eintackern (kommt überall eine # davor oder muss ich bei einpaar eintragungen die # weglassen)?
Ausser natürlich die die ich brauche ;-)

danke

gruß luki
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Es ist doch eigentlich "idiotensicher" oder nicht (sorry, wenn das eventuell hart formuliert ist)?

Vielleicht brauchst du doch keinen SFTP Server, solltest dich in Linux/vi erstmal einarbeiten oder warten bis Synology das in die DSM integiert hat.
 
Zuletzt bearbeitet:

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
hier das Original der Beta 4.0
Rich (BBCode):
#       $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#UsePAM no

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
ChrootDirectory none
#ChrootDirectory /var/services/homes/%u
#DenyUsers admin

# no default banner path
#Banner none

# override default of no subsystems
#Subsystem      sftp    /usr/libexec/sftp-server
#Subsystem       sftp    internal-sftp -f DAEMON -l VERBOSE
#Subsystem       sftp    /usr/syno/sbin/sftp-server -l DEBUG3

# the following are HPN related configuration options
# tcp receive buffer polling. disable in non autotuning kernels
#TcpRcvBufPoll yes

# allow the use of the none cipher
#NoneEnabled no

# disable hpn performance boosts.
#HPNDisabled no

# buffer size for hpn to non-hpn connections
#HPNBufferSize 2048


# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server

Gruß Götz
 

caimy

Benutzer
Mitglied seit
15. Jan 2012
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
@luki83

ich hab die # vom mittleren der drei Einträge weggemacht, also diesem "#Subsystem sftp internal-sftp -f DAEMON -l VERBOSE"
 

naofireblade

Benutzer
Mitglied seit
08. Jan 2012
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Ich habe den FTP Server über diese Methode aktiviert, komme nun aber mit jedem User auf das Root Verzeichnis des ganzen Systems, statt auf die für den User definierten Orte. Hat jemand eine Idee, wie die normalen Nutzerrichtlinien übernommen werden können?
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Ich habe den FTP Server über diese Methode aktiviert, komme nun aber mit jedem User auf das Root Verzeichnis des ganzen Systems, statt auf die für den User definierten Orte. Hat jemand eine Idee, wie die normalen Nutzerrichtlinien übernommen werden können?

Probiere das mal: http://www.debian-administration.org/articles/590

Homes liegen unter /volume1/homes (wenn in der Volume1) also in /etc/ssh/sshd_config:
Match group sftponly
ChrootDirectory /volume1/homes/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

oder wenn diese alle Freigaben sehen sollen eben nur "ChrootDirectory /volume1/"

Wenn es funktioniert kannst du es ja gleich unter http://www.synology-wiki.de/index.php/Nicht_unterstützte_Konfigurationsänderungen#SFTP_aktivieren eintragen.
 
Zuletzt bearbeitet:

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Ja, wollte gerade posten, dass man hier vorsichtig sein muss, da jeder User über SSH prinzipiell Zugriff auf alles hat. Das root dir für sftp zu verändern ist zwar schön und gut, aber auch hier hat dann jeder User Zugriff auf alle Ordner in /volume1/ bspw.. Und über SSH hat jeder User dann immer noch Zugriff auf alles.
 

naofireblade

Benutzer
Mitglied seit
08. Jan 2012
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Ok jetzt sind ein paar neue Probleme/Fragen aufgetaucht

- ChrootDirectory funktioniert nur, wenn Benutzer-Home-Dienst aktiviert ist?!
- ChrootDirectory ändert nur das Startverzeichnis vom FTP!?! Wenn ich in FileZilla weiter nach oben navigiere, hab ich doch wieder Zugriff auf root Ebene
- ChrootDirectory funktioniert seltsamer Weise nur mit dem admin Account, mit den anderen Accounts nicht, obwohl die Ordner für die User im volume1/homes/ Verzeichnis liegen, hier navigiert Filezilla eben direkt auf root Ebene.
- SSH Login geht nur mit root und admin, bei anderen Usern schließt Putty sich einfach o0 ?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
- SSH Login geht nur mit root und admin, bei anderen Usern schließt Putty sich einfach o0 ?
alle anderen Nutzer haben keine login-shell in /etc/password, somit kein Zugriff.

Gruß Götz
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Hallo,

alle anderen Nutzer haben keine login-shell in /etc/password, somit kein Zugriff.

Gruß Götz
Für jeden Nutzer legt DSM aber auch einen Eintrag in /etc/passwd an, normalerweise sollten daher alle Nutzer Shell-Zugriff haben und daher auch leider Vollzugriff auf das gesamte System.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat