DSM 6.0 - Fehlender "Root-Zugriff" - Lösung für WinSCP gesucht

[jahlives]

mir wäre nicht bekannt, dass puttyGen Einschränkungen bezüglich der Zeichen in einem Passwort hätte. Mein SSH Key Passwort hat deutlich mehr als 20 Zeichen und Sonderzeichen en Masse
Hast du zum Laden des Keys auch das Tool Pageant probiert (wird als Teil des Putty Pakets geliefert)?

 

[Berndi]

Na klar! ;-)

Ist aber auch egal jetzt, habe ein anderes Passwort genommen.
Es gibt ja schließlich genügend davon.

Hauptsache es funktioniert jetzt wieder der Zugriff als ROOT mit WinSCP.

Danke für alles, Jungs (und Mädels) ;-)

 

[rednag]

Die Anmeldung als Benutzer, der Mitglied der Administratorengruppe ist, ist soweit schon richtig. Dann fehlt aber noch ein sudo -i

 

[Windwusel]

Könnte hier jemand ein vollständiges Tutorial schreiben? Ich bin bisher mit folgenden Befehlen durch

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public

und habe eine Datei "id_rsa" ohne Endung auf meinem Rechner. Der Inhalt ist ein privater Key. Nun scheitert es bei mir an Putty das es nicht für macOS gibt und auch Homebrew Lösungen funktionieren nicht so wie es anscheinend nötig ist. Außerdem muss die SSH-Config laut meinen Recherchen wohl noch geändert werden. Ich bin durch viele Tutorials geirrt aber keines bringt mich zum Ziel.

 

[Fusion]

Dir fehlt nur noch der Teil auf deinem eigenen Rechner. telnet und ssh sind schon Bestandteil von OSX, einfach mal ein Terminal öffnen.
Der id_rsa private key muß auf deinem Rechner ebenfalls in den .ssh Unterordner deines Benutzers wandern.
Danach solltest du dich auch schon mit "ssh root@deineDS" einloggen können.

Nur falls du noch Anpassungen vornehmen willst (z.B: anderen Port ohne explizite Angabe) kannst du noch die config am Client bearbeiten
http://macs-moritz.com/ssh-verbindung-via-terminal-unter-mac-os-x
Die config am server mußt du ebenfalls nur bearbeiten, wenn z.B. passwort logins komplett unterbunden werden sollen.

Die meisten Tutorials arbeiten im Vergleich zur hier im Forum beschriebenen Methode anders herum. Die keys werden auf dem lokalen Rechner erstellt, bei uns werden sie halt auf dem Server / der Syno erstellt.
In den Anleitungen ist für dich also nur noch der Teil der Beschreibung zum lokalen System interessant, der sich auf den private key bezieht, was so gut wie nichts ist wie eingangs schon erwähnt
https://www.linode.com/docs/security/use-public-key-authentication-with-ssh

Edit:
von Putty gibt es eine kompilierte Version auch für den (Intel)-Mac, siehe Google.
Mit welcher Software willst du denn auf deine Syno zugreifen, oder reicht dir Mac OS X Terminal?

 

[Windwusel]

Hallo Fusion, überall wird gesagt der Key müsse erst mit Putty konvertiert werden und das kann ich eben nicht. Ansonsten brauche ich Putty nicht da ich natürlich das Terminal verwende. Ich brauche die Keyfile überhaupt nur um auf bestimmte Ordner via FTP zugreifen zu können was sonst nicht funktioniert. Jedenfalls klappt das so nicht wie du sagst. Cyberduck sagt der Key passt nicht. Irgendwas muss da noch fehlen. Wenn du dich aber auskennst hast du vielleicht Lust mir das via Teamviewer zu machen? Dann wüsste ich in Zukunft auch endlich wie das richtig funktioniert. Bin schon seit Tagen am kämpfen aber es klappt einfach nicht.

Die Mac Version von Putty funktioniert übrigens nicht bei mir. Vermutlich nicht mehr kompatibel mit aktuellem System.

 

[Fusion]

Den key muss man nur umwandeln, wenn man ihn mit Putty selbst verwenden will. Alle sonstigen Unix(oiden)/Linux Systeme können direkt mit dem id_rsa umgehen.
Auch Cyberduck sollte die openssh private keys im PEM Format (nichts anderes ist der id_rsa) unterstützen.
https://trac.cyberduck.io/wiki/help/de/howto/sftp

Was ist denn die konkrete Fehlermeldung? Gibt es da screenshots dazu?

 

[Windwusel]

Ich habe inzwischen schon alles was SSH betrifft zurückgesetzt weil ich es mit einem sauberen Tutorial noch einmal machen wollte. Ich bin mir inzwischen auch nicht sicher ob die Config wieder stimmt da ich dort nach mehreren Tutorials mehrere Werte ändern musste. Ich weiß jetzt nicht mehr welcher Wert da Standard ist. Ich müsste noch einmal beginnen.

Durch die von mir genannten Befehle sage ich dem Server jedenfalls noch nicht er solle den Key auch verwenden. Ich denke da liegt auch das Problem. Daher würde ich es wie gesagt begrüßen ein vollständiges Tutorial zu bekommen damit es auch klappt. Egal wo ich suchte war alles irgendwie unvollständig. Ansonsten wäre ich auch für TeamViewer offen damit es letztlich auf jeden Fall klappt.

 

[dan45]

Kann mir jemand helfen wie ich eine batch datei schreibe, mit der ich die DS herunterfahre?
ich müsste ja irgendwie den "sudo - i" Befehl noch einbauen aber weiss nicht so recht wie ich das anstelle.

 

[rednag]

Hallo @dan45,

hierzu bitte ein neues Thema erstellen, da es mit dem ursprünglichen Thema nichts mehr zu tun hat.

 

[erikpaula]

Hallo,

auf Grund der Infos und der Beschreibung von jahlives hier in diesem Thread will ich meinen Rootzugriff auch auf die Variante mit der Schlüsseldatei umgestellen. Schlüsseldatei habe ich über die Konsole erzeugt, und zwar wie folgt:

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public

mit putty funktioniert das bei mit einwandfrei nur mit WinSCP erhalte ich keinen zugriff. ich bekomme die info das kein SFTP Server läuft, was aber nicht sein kann da ich einen SFTP Zugriff mittels Benutzername und Passwort
bekomme. Nur eben kein root mit Schlüsseldatei.

Vielen lieben Dank für eure Hilfe vorab.

 

[Fusion]

Was hast du denn mit dem privaten Schlüssel id_rsa gemacht? Wie in WinSCP eingebunden?

 

[goetz]

Hallo,
stell in WinSCP das Übertragungsprotokoll auf SCP dann klappt das auch.

Gruß Götz

 

[erikpaula]

Hallo Götz,

genau das wars.
Gibt es eventuell auch eine Zugriffslösung für SFTP, da mein SpeedCommander kein SCP kann.

Vielen Dank und ein schönes Wochenende

 

[Freddy3108]

Hallo,
auch ich habe alles so gemacht wie es hier beschrieben worden ist.
Leider ereilte auch mich immer die Meldung: Der entfernte Rechner lehnte unseren Schlüssel ab

Ich habe alles wie folgt abgearbeitet


putty als admin

dann sudo -i

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public


Dann per puttygen Conversions - Key importieren und dann Save private key

Und hier lag bis Dato der Hund begraben:


Das angelegte SSH File ist mit 4096 Bit verschlüsselt, in puttygen ist aber 2048 eingestellt:

number of bits in a generated key : 2048

Beim abspeichern stimmen die Verschlüsselungen nicht mehr überein und deshalb wird der Schlüssel auch abgelehnt!

Vor dem Speichern sollte man dort die 4096 eintragen, dann funktioniert auch putty und WinSCP mit Key authentifizierung.

Vielleicht das als Hinweis.

Ich bin auch Stunden an der Fehlermeldung : "Der entfernte Rechner lehnte unseren Schlüssel ab" verzweifelt!

Freddy

 

[Fusion]

Daran darf es eigentlich nicht liegen. Ich denke das war Zufall.
Der Eintrag bezieht sich nur auf in puttygen generierte Schlüssel.

Ich habe es bei mir gerade nochmal getestet. Ich habe einen 2048 Bit rsa key und habe vor dem Import in Puttygen den Eintrag auf 4096 und auf 1024 geändert und den private key ohne Passwort gespeichert.
Mit dem erzeugten .ppk konnte ich mich in allen Fällen immer noch einloggen.
Zur Sicherheit habe ich auch nochmal einen komplett neuen Durchgang inklusive key-Generierung auf der DS durchgespielt mit 4096 und den Parameter in puttygen auf 2048 belassen. Es hat weiterhin funktioniert mit dem erzeugten .ppk mich mit putty einzuloggen.

 

[Freddy3108]

Merkwürdig, ich habe es genau so probiert!
Schlüssel mit 2048 generieren lassen und siehe da klappt nicht,
Schlüssel mit 4096 generieren lassen und siehe da klappt!

Welche DSM Version verwendest du?

bei der 5er Version hat das bei mir merkwürdigerweise auch gefunkt!

Erst beim Update auf die aktuelle Version kam der Ärger!

 

[Wurzelseppi]

Hallo zusammen,

@Bravestarr: Ist wahrscheinlich schon erledigt, aber du musst ein sudo -i machen, um wirklich root Rechte zu bekommen.

Bei mir funktioniert das leider nicht. WinSCP hat den Schlüssel konvertiert (wollte es so ) und nutzt ihn auch. Putty sagt "Server refused our key"
WinSCP hat aber auch keine root rechte .... also irgendwie schein das mit den authorized_keys nicht hinzuhauen.

Jemand einen Tipp ?

 

[Freddy3108]

Hallo Bravestarr,
ich habe mir mal alles Zusammengeschrieben,
nach der Vorlage hab ich auch zugänge zu meinenm Raspberry erreicht
sudo -i

Nun ist man wieder root

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public



Dann per puttygen Conversions - Key importieren und dann Save private key

Und hier lag bis Dato der Hund begraben:


Das angelegte SSH File ist mit 4096 Bit verschlüsselt, in puttygen ist aber 2048 eingestellt:

number of bits in a generated key : 2048

Beim abspeichern stimmen die verschlüsselungen nicht mehr überein und deshalb wird der Schlüssel auch abgelehnt!

Vor dem Speichern sollte man dort die 4096 eintragen, dann funktioniert auch putty und WinSCP mit Key authentifizierung.

Dann habe ich noch ein wenig die ssh config verändert!


Port XXXXX hier musst denn Port eintragen welchen du freigegeen hast
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Ciphers and keying
#RekeyLimit default none

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

RSAAuthentication yes
PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile /root/.ssh/authorized_keys


Freddy

 

[Fusion]

Ja, nochmal einen Schritt zurück machen und alle Schritte durchgehen (und eventuell hier im Detail auflisten), bei irgendeinem Schritt muss ein Fehler passiert sein.

@Freddy - den Port muss man nicht eintragen. Er nimmt immer den in der GUI eingestellten.
Alle Angaben in der Datei sind die Standard-Werte die greifen, sie stehen nur zur Hilfe des Nutzers dort nochmal als Kommentar aufgeführt. D.h. alle Änderungen die du in rot eingetragen hast sind gar keine Änderungen, weil die Einträge immer noch dieselben sind. Das gilt auch für das authorized_keys file. Es wird immer bei dem Nutzer der versucht sich einzuloggen im Unterverzeichnis .ssh/ nachgesehen, das ist bei root automatisch /root/.ssh/
Das funktioniert also mit deinen Eintragungen immer noch, aber nicht deswegen.