DSM 6.0 - Fehlender "Root-Zugriff" - Lösung für WinSCP gesucht

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
überlebt auch ein Firmware Upgrade, die Variante mit sudoers hingegen nicht.

Gruß Götz
 

fraubi

Benutzer
Mitglied seit
25. Nov 2011
Beiträge
605
Punkte für Reaktionen
0
Punkte
42
Na dann passt es ja jetzt alles........... :D

Fraubi
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Hey LEute, bei mir klappt das noch nicht so.
Ich habe die Schritte wie jahlives beschrieben auf der Shell von der DS ausgeführt.
Den Schlüssel habe ich dann über Umweg auf den Rechner kopiert.
Mit pyttygen dann umgewandelt. Jetz habe ich eine "private.pkk", eine "public" (ohne Endung" und die id_rsa.
Wenn ich dann in WinSCP die bestehende Verbindung bearbeite, gehe ich unter "Erweitert"->"Authentifizierung"->"Datei mit privatem Schlüssel".
Dort gebe ich dann den Speicherort zu dem private.pkk an.
Beim Anmelden erscheint "Der entfernte Server lehnt unseren Schlüssel ab.
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
Das habe ich vorher natürlich gemacht.
Irgendwo,- wie ist da noch der Wurm drin.

Gruß Rednag
 

evil_shinobi

Benutzer
Mitglied seit
26. Nov 2013
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Lehnte Schlüssel ab

Bei mir kommt leider auch der Fehler "Beim Anmelden erscheint "Der entfernte Server lehnt unseren Schlüssel ab." :(

Irgendwas scheint da nicht zu stimmen... Wo könnte der Hund begraben liegen?

Schlüssel wurde anscheinend erfolgreich erstellt. Habe den "id_rsa"-Datei heruntergeladen auch im putty konvertiert und als privaten Schlüssel abgespeichert.
Diese ppk-Datei habe ich dann auch angeben (siehe Bilder). Habe ich einen Schritt vergessen?
2016-04-06_13h57_24.png
2016-04-06_13h57_34.png
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
welche Rechte hat .ssh und authorized_keys? Schau Dir auch noch mal den Inhalt von authorized_keys an, jeder key in einer Zeile, key beginnt mit ssh-rsa und endet mit root@<DEIN_NAS_NAME>.
Der private key sollte etwa so aussehen
PuTTY-User-Key-File-2: ssh-rsa
Encryption: none
Comment: imported-openssh-key
Public-Lines: 12
.
.
.
Private-Lines: 28
.
.
.
Private-MAC: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Gruß Götz
 

evil_shinobi

Benutzer
Mitglied seit
26. Nov 2013
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Danke für die Hilfe. Ich hab mal den Inhalt von "id_rsa.pub" angesehen. Der sieht so aus:

ssh-rsa AAAAB.......3DlIexwTWw== root@Zoe_NAS

scheint zu stimmen...

Und das ist der .pkk-File:

PuTTY-User-Key-File-2: ssh-rsa
Encryption: aes256-cbc
Comment: imported-openssh-key
Public-Lines: 12
AAAAB....
3DlIexwTWw==
Private-Lines: 28
seX40u.....
+mA==
Private-MAC: b1....


sieht auch nicht schlecht aus.
Ist eventuell eine Einstellung im NAS selbst nicht in Ordnung? Was könnte man hier überprüfen?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
und wie sehen die Rechte aus (wie goetz schon gefragt hat) ?
Wichtig wären die Rechte auf /root/.ssh und dem File /root/.ssh/authorized_keys
Zusätzlich noch die Rechte auf /root selber prüfen, hier wäre wichtig dass nur der Eigentümer (root) und die Gruppe (root) Schreibrechte hat
 

evil_shinobi

Benutzer
Mitglied seit
26. Nov 2013
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Puh, tut mir leid. Linux ist leider neuland für mich. Das müsste aber CHMOD 700 sein, oder?

Die berechtigung sieht dann so aus:
2016-04-07_12h08_41.png

Seh ich das richtig, dass authorized_keys kein Ordner ist sondern eine Datei? Den habe ich wie beschrieben so erzeugt:
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.660
Punkte für Reaktionen
2.067
Punkte
829
700 (Verzeichnis) bzw. 600 (Datei) sind volle Rechte für den Eigentümer, 770 bzw 660 wären volle Rechte für Eigentümer und Gruppe. Bei 755 beispielsweise hat der Eigentümer volle Rechte, Gruppe und anderen fehlen die Schreibrechte (siehe z.B. Wikipedia).
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Mein private.pkk sieht so ähnlich aus:
PuTTY-User-Key-File-2: ssh-rsa
Encryption: none
Comment: rsa-key-20160330
Public-Lines: 6

Hab vorschnell auf Antworten gedrückt.

Ich habe momentan keinen klaren Anhaltspunkt, warum es nicht geht, bzw. wie ich hier Abhilfe schaffen kann.
Evt. weiß goetz noch Rat für uns.

Gruß Rednag
 

evil_shinobi

Benutzer
Mitglied seit
26. Nov 2013
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
700 (Verzeichnis) bzw. 600 (Datei) sind volle Rechte für den Eigentümer, 770 bzw 660 wären volle Rechte für Eigentümer und Gruppe. Bei 755 beispielsweise hat der Eigentümer volle Rechte, Gruppe und anderen fehlen die Schreibrechte (siehe z.B. Wikipedia).

Ah jetzt verstehe ich wie die Berechtigungen aufgebaut sind. Besten Dank hierfür. Habs jetzt so eingestellt, dass ich mit meinem admin in das root/.ssh verzeichnis zugriff habe.
Leider wird der Schlüssel immer noch abgelehnt. Vlt. hilft das visuelle Bild weiter?

2016-04-08_08h11_55.png
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Es sollte niemand ausser der Eigentümer (root) Zugriff auf das ssh Verzeichnis haben, auch admin nicht! Was ich zudem komisch finde ist dass die id_rsa.pub 1KB gross sein soll, die authorized_keys hingegen 4KB gross ist. Die müssten gleich gross sein wenn du wirklich nur deinen PubKey in auth_keys eingetragen hast
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Könnte sich mir wer annehmen? Ich habe das mit den Keys probiert. Kein Erfolg. Leider auch kein Erfolg die /etc/sudoers zu ändern.
Jetzt hab ich irgendwie massiv den Überblick verloren und Bedenken was kaputt zu machen und mich auszusperren.

Gruß Rednag
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
an welchem Punkt stehst Du denn jetzt? Was hast Du schon geändert? Wo hapert es denn genau?

Gruß Götz
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Hallo Goetz,

danke für Deine Antwort.
Nun, das ist eine gute Frage :).
Ich weiß es nicht so genau. Ich wollte es ursprünglich mit einem Key machen, das hat aber nicht geklappt. Bin nach einer Anleitung hier im Forum nachgegangen.
Dann wollte ich die /etc/sudoers editieren. Dabei meldet mir vi "read-only". Ich kann die Datei nicht verändern.
Leider finde ich die Anleitung nicht mehr mit den Keys. Weiß nun nicht mehr wo die Zertifikate liegen, und welche Rechte die haben. Jedenfalls hat das auch nicht funktioniert. Nun habe ich Angst mich auszusperren, wenn ih ohne Plan weitermache.

Gruß Rednag
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
da das mit den sudoers nicht geklappt hast kannst Du Dich eigentlich nicht aussperren. Wichtig ist bei allen Aktionen anmelden als admin und danach sudo -i um root zu werden. Und nur mit root Zugriff kannst Du alle nötigen Anpassungen machen. Key authentication siehe Wiki Punkte 1 und 2.

Gruß Götz
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Hallo goetz,

mein Admin ist deaktiviert. Kann ich einen anderen User, der Mitglied der Administratoren ist nehmen?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
keine Ahnung ob es mit Pseudo-Admin geht, ich halte nichts davon. Aktiviere den original admin, gib ihm ein anständig sicheres Passwort und arbeite das Wiki ab.

Gruß Götz
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Hallo goetz,

danke für die Links. Dann werde ich mal mein Glück weiter versuchen.

Gruß Rednag
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public

Diese Schritte habe ich jetzt durch. Den id_rsa habe ich mit PuttyGen umgewandelt. Nun habe ich 3 Dateien. Public, Private und die id_rsa. In WinSCP habe ich den Speicherort zu der Private angegeben. Ergebnis war, "Der enfternte Server lehnte unseren Schlüssel ab". Langsam habe ich echt die .... voll mit dem Mist. Habe mich jetzt stunden, tagelang damit gespielt. Was mich irritiert, ist auch die Tatsache, daß ich mich an der NAS nicht mit root sondern admin anmelden muss. root geht nicht, bzw immer Passwort falsch. Habe mich dann als admin angemeldet, dann sudo -i und dann die oben genannten Schritte. Was kann ich noch versuchen?

Gruß Rednag
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat