DSM 6.0 - Fehlender "Root-Zugriff" - Lösung für WinSCP gesucht

[fraubi]

Hallo zusammen,

ich habe auf meinem Test-NAS DSM 6 installiert. Vorher hatte ich schon gelesen, dass es eine Änderung beim Root-Zugriff gibt.

Bevor ich nun DSM6 auf meine Haupt-NAS installiere möchte ich sicherstellen, dass ich auch weiterhin mit Root-Rechten über Putty und WinSCP arbeiten kann.

Hinsichtlich Putty habe ich schon hier im Forum gelesen, dass man sich als Admin anmeldet, und dann mit 'sudo -i' Root-Rechte bekommt. Ist zwar umständlich, damit kann (bzw. muss) ich aber leben.

Ich arbeite aber auch viel mit WinSCP, da ich nicht so ein Linux-Fan bin. WinSCP erleichtert mir das sehr viel. Ich konnte allerdings noch nicht herausfinden, wie ich mich mit WinSCP und Root-Rechten unter DSM6 mit dem NAS verbinde.

Die FAQ von WinSCP unter

http://winscp.net/eng/docs/faq_su#use_sudo_on_login

hilft mir auch nicht weiter, da man den Pfad zu "sftp-server" in WinSCP vorgeben muss. Diese Datei gibt es aber nicht auf dem NAS.

Hat jemand dafür einen Tipp für mich...........würde mich sehr freuen.....

Gruß
Fraubi

 

[jahlives]

root Login mit Zertifikat müsste eigentlich immer noch gehen

 

[goetz]

Hallo,
mit Schlüssel funktioniert es immer noch, putty wie auch WinSCP.

Gruß Götz

 

[fraubi]

Danke für die Infos. Ich hab das jetzt wie folgt gelöst (Lösung stammt hier irgendwo aus dem Forum)

Login > admin > Enter
Passwort > Adminpasswort > Enter
sudo su - > Enter
Passwort > Adminpasswort > Enter

vi /etc/sudoers
i drücken -zum editieren
"admin ALL = NOPASSWD: ALL" eingeben (ohne „)
ESC Drücken
:wq! eingeben

Dann in WinSCP unter den erweiterten Einstellungen zu der jeweiligen Verbindung bei Shell

sudo su - eingeben.

Anmeldung in Putty erfolgt dann weiterhin mit dem Benutzer „admin“, allerdings hat dieser dann Root-Rechte

Wär auch ok, oder habt Ihr da Bedenken ?

Gruß
Fraubi

 

[Pressies]

Danke für die Infos. Ich hab das jetzt wie folgt gelöst (Lösung stammt hier irgendwo aus dem Forum)



Wär auch ok, oder habt Ihr da Bedenken ?

Gruß
Fraubi

Ich habe das gleiche Problem wie Du, Fraubi. Leider bekomme ich es nicht mehr hin, per WINSCP zu verbinden und auf alle Verzeichnisse der Syn (712+) Root-Rechte zu bekommen. Auch nicht nach Deinem Lösungsansatz. Schade

regs
Pressies

 

[jahlives]

Wär auch ok, oder habt Ihr da Bedenken ?

massive Bedenken meinerseits So erlaubst du dem admin JEDES Kommando ohne PW Abfrage auszuführen. Wenn schon, dann nur für eine genau definierte Reihe Kommandos, für den Rest muss die PW Abfrage kommen. Dass z.B. sudo su ohne PW Abfrage erlaubt sein soll schiesst jeden "Schutz" des sudo-Prinzipes tot. Dann ist es kein Unterschied mehr zu einem direkten root Login (aus Sicherheitssicht). Zudem, aber das ist ein Problem des Konzeptes von Synology, bringt sudo/sudoers imho rein gar nichts, solange das admin PW und das root PW identisch sind. Da braucht es auch kein sudo um root zu werden, denn mit dem admin Zugang hat man ja auch das root Passwort. Also reicht ein su mit anschliessendem root Passwort und man ist an sudoers vorbei root

Da würde ich in jedem Fall einen root-Login mittels SSH-Zertifikat bevorzugen/wärmstens empfehlen

@Pressies
schau dir mal den ssh Login mittels Zertifikat an. Damit geht der root Login immer noch und es wird auch von Putty und WinSCP so unterstützt

 

[Pressies]

@Pressies
schau dir mal den ssh Login mittels Zertifikat an. Damit geht der root Login immer noch und es wird auch von Putty und WinSCP so unterstützt

Danke für die Info, jahlives

Ich habe auf der SYN mein bestehendes Zertifikat exportiert. Im Archive sind enthalten: cert.pem, privkey.pem, syno-ca-cert.pem sowie syno-ca-privkey.pem. Welche Datei, wenn eine davon überhaupt zutrifft, muss ich davon verwenden, die ich dann im WINSCP unter dem Root-User / Erweitert als Datei einpflege?

Oder von Putty eine "Schlüsseldatei" erstellen lassen und die unter WINSCP / Erweitert / SSH/ Authentifizierung einpflegen?

Ich glaube Letzteres kommt in Frage. Recherchiere schon etliche Infos.

 

[jahlives]

diese erstellten Zertifikate sind SSL-Zerifikate, die kannst du mit SSH nicht nutzen. Du musst, wie du schon erkannt hast, eine Schlüsseldatei erstellen. Das geht mit Putty oder mit ssh-keygen direkt auf der Konsole der DS

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa

ein Passwort würde ich für den Key festlegen (wird abgefragt) oder du lässt die Abfrage leer (einfach Enter drücken) für keinen Passwortschutz der Schlüsseldatei. Auf dem Client (System, das die Verbindung aufbaut) brauchst du den Inhalt des Schlüsselfiles (id_rsa). Auf dem Server (DS) musst du den Inhalt des id_rsa.pub in die Datei authorized_keys eintragen

cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys

auf dem Server selber brauchst du id_rsa ned, den kannst du auch löschen.
Danach musst du auf dem Client deinen Anwendungen (z.B. Putty oder WinSCP) bekannt geben wo der id_rsa (privater Schlüssel) zu finden ist

 

[Pressies]

Klasse! Hat geklappt! Vielen Dank!

 

[Bravestarr]

Hallo,

auch ich habe mit der Umstellung auf DSM 6.0 keine root Rechte mehr. Ich bin absoluter Laie und bin daher auf eue Unterstützung angewiesen.
Ich möchte auch die Lösung mit den Zertifikaten umsetzen. Mein Benutzername ist in der Admingruppe. Ich habe mich mit meinem Benutzer in Putty angemeldet.
Wenn ich den Befehl mkdir -p /root/.ssh wie beschrieben eingebe, bekomme ich die Meldung "chmod: cannot access ‘/root/.ssh’: Permission denied"
Was mache ich falsch?

 

[goetz]

Hallo,
Du mußt noch ein
sudo -i
absetzen dann bist Du root.

Gruß Götz

 

[Bravestarr]

OK Danke.

Die Schlüssel habe ich erstellt und dem Server bekanntgegeben. Wie komme ich an die Datei ran um sie in WinSCP einzubinden.

Gruß
Bravestarr

 

[goetz]

Hallo,
kopiere die Datei id_rsa in einen gemeinsamen Ordner wo Du sie vom PC abholen kannst zB
cp /root/.ssh/id_rsa /volume1/public
Da dies der private Schlüssel ist danach im gemeinsamen Ordner löschen und auf dem PC für diese Datei nur Leserechte für Dich vergeben.

Gruß Götz

 

[Bravestarr]

Perfekt,

hat alles geklappt. Sehr einfache Methode.

Danke

Gruß
Bravestarr

 

[fraubi]

Hi,

auf Grund der Infos hier in diesem Thread will ich meinen Rootzugriff auch auf die Variante mit der Schlüsseldatei umgestellen. Schlüsseldatei habe ich über die Konsole erzeugt, und zwar mit

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public

Datei liegt jetzt in einem Verzeichnis auf meinem Rechner.Soweit ok. Aber dann.....

Danach musst du auf dem Client deinen Anwendungen (z.B. Putty oder WinSCP) bekannt geben wo der id_rsa (privater Schlüssel) zu finden ist

Wenn ich WinSCP davon überzeugen will, die Schlüsseldatei zu verwenden, erhalte ich folgende Fehlermeldung :



Wo genau muss ich in WinSCP auf die Schlüsseldatei verweisen ? Und wo in Putty ???
Fragen über Fragen, irgendwie bin ich heute extrem blind........

Danke für die Erleuchtung

Fraubi

 

[jahlives]

Mal probiert, wie in der Fehlermeldung steht, putty zu verwenden, um id_rsa ins putty Format zu bringen?

 

[goetz]

Hallo,
putty und puttygen findest Du hier. Dann per puttygen Conversions - Key importieren und dann Save private key.

Gruß Götz

 

[fraubi]

Verdammt, ich glaub ich bin heute völlig neben der Spur...

Key ist umgewandelt, hat jetzt die Endung *.ppk

Wo genau hinterlege ich den in WinSCP ?
Habe schon versucht unter

Verbindung --> Tunnel --> über SSH Tunnel verbinden

sowie

SSH --> Authentifizierung --> Erlaube SSH-Agent Weiterleitung

Ständig bekomme ich den Fehler "Der entfernte Rechner lehnte unseren Schlüssel ab"

Was mache ich falsch, hiiiiiiiillllllllllllfffffffffffeeeeeeeeeeeeeeee !!!

Danke
Fraubi

 

[goetz]

Hallo,
nicht Tunnel aktivieren. Unter Authentifizierung - Datei mit privatem Schlüssel:
Gerade durchgespielt und funktioniert.

Gruß Götz

 

[fraubi]

Super, danke für die Hilfe, klappt bei mir jetzt auch (sowohl unter WinSCP und Putty).

Coole Sache, macht einmal Arbeit bei der Ersteinrichtung, ist aber ansonsten dann einfach zu nutzen.

Viele Grüße und danke
Fraubi