DSM 6.0 - Fehlender "Root-Zugriff" - Lösung für WinSCP gesucht

[BUGEE]

Danke für den Link, werde es mal probieren.

Plex hatte ich mir auch mal angeschaut, war eigentlich nicht schlecht, bis auf ein paar Dinge die mich gestört hatten - Aber wollte da jetzt kein Abo oder sowas machen, da ich mir dachte, die DS stellt ja dafür die VS zur Verfügung.

Ich habe auch, wie du, alle meine Daten mit MediaElch etc. so bearbeitet, dass ich die VS dazu eigentlich gar nicht brauche. Mal sehen, was die Zukunft noch so bringt und wo ich am Ende landen werde.

 

[Flessi]

... oder hier:

Rootberechtigung für den admin (WinSCP) in Synology 6.2 nachpflegen

 

[BUGEE]

@Flessi
Danke. Aber klappt leider nicht, obwohl ich es genauso gemacht habe.

Bekomme da die Fehlermeldung "Fehler beim Überspringen der Startnachricht. Ihre Befehlszeile (Shell) ist möglicherweise nicht mit dieser Anwendung kompatibel (BASH wird empfohlen)."

@Fusion
Über den Link von dir habe ich es jetzt hinbekommen. Wobei es mit "sudo su" nicht geklappt hat, sondern mit "sudo -i". Das einzige ist, dass die Datei "authorized_keys" direkt unter /root/ ist, obwohl dieser doch unter /root/.ssh/ sein müsste. Soll ich nun ein Verzeichnis ".ssh" erstellen und die Datei dahin verschieben oder so lassen?

 

[Fusion]

J, sudo -i hatte ich ja geschrieben. Das passt in der Anleitung nicht. Hatte es vorher nicht mehr gegen gelesen.
Solange die Dateizugriffsrechte passen ist es denke egal wo die Datei mit den Public keys liegt.
Kannst also machen wie du willst. Persönlich würde ich es vermutlich der 'Ordnung' halber korrigieren.

 

[Ulfhednir]

@BUGEE :
Zugriff mittels Zertifikat funktioniert. Habe ich am Wochenende erst eingerichtet. Wichtig: In jedem Fall Passwort für das Zertifikat hinterlegen.
https://gander.in/dsm-6-und-login-a...saN8voO69tpjevF0FGikmC4GQyGVXI_2qzX9o0t6HEFto
Anmeldung dann über "root" als Benutzer

 

[BUGEE]

@Ulfhednir :
Danke für den Link.

Habe es aber bereits dank dem Link von @Fusion hinbekommen.

Ich habe mir aber die Anleitung unter deinem Link auch mal angeschaut - Hier ist die Vorgehensweise ja wieder anders. Aber solange es auf verschiedene Wege funktioniert, ist ja alles gut. Ich speichere mir die aufjedenfall auch mal für die Zukunft ab.

Was genau meinst du mit Passwort für das Zertifikat hinterlegen?

 

[the other]

Moinsen,
man kann eine Passphrase angeben, damit der Key nicht von jedermann genutzt werden kann. Bei Nutzung von Pubkey bei automatisierten Prozessen wird darauf meist verzichtet. Gibst du für deinen Pubkey-Anmeldeverfahren dem Key beim Erstellen eine Passphrase mit, dann must du diese bei jeder Anmeldung eingeben, doppelte Sicherheit imho (nutze ich hier ebenfalls)...

 

[BUGEE]

Achso, Ja, die Zeile mit dem Passphrase hatte ich bei PuttyGen gesehen und auch erst überlegt, ob ich da was eingeben soll - Habe es dann aber gelassen.

Ich kann das ja jederzeit nachtragen bzw. einfach nen neuen Key erstellen und dabei einen Passphrase mit angeben, doer?

 

[the other]

Moinsen,
klar, kurz gesagt: einfach neuen Key, fertig...
Nachträglich geht dagegen afaik nicht.

 

[Koala11]

Guten Abend, zuerst einmal ein großes Dankeschön für die guten Hilfestellungen die man hier nachlesen kann. Ich bin Laie was Linux betrifft und deshalb finde ich hier immer gute Lösungsansätze. Ich habe noch eine Frage zur dem Key und den root-Rechten. Da ich root-Rechte für den Austausch von Configs einer Anwendung auf der DS benötige habe ich die hier beschrieben Lösung über den Key für WinSCP benutzt. Zugriff über Puttty als Admin-User und dann:

sudo -i
mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public

Danach über Puttygen den Key erstellt. Dies hat auch auch alles geklappt und ich komme über WinSCP auf die gewünschten Config-Dateien im @appstore-Ordner. Nun meine Fragen: Während der Eingabe auf der Konsole wurde angeboten, ein PW für den Key zu erstellen. Die habe ich nicht gemacht, da ich es hier erst einmal nicht gelesen hatte und keine Ahnung habe. Ist dieses PW das gleiche, wie wenn ich später beim umwandeln in Puttygen ein PW setze? Wofür überhaupt, denn der Key liegt ja nur noch auf meinem Rechner, den Key auf dem public-Ordner habe ich gelöscht. Weiterhin kann ich mich nicht mit dem Usernamen "root" bei WinSCP anmelden. Ich nehme einfach einen beliebigen Admin der DS und den von mir erstellten Key, dann geht die Anmeldung über WinSCP mit root-Rechten auf der DS. Bedeutet dies, wer den Key hat, hat als DS-Admin dann die root-Rechte oder haben jetzt alle Admins die root-Rechte? Dachte eigentlich, durch das Key-erstellen bekommt die Rechte nur der root-User? Sorry, will es einfach nur besser verstehen. Danke!

 

[Kurt-oe1kyw]

Willkommen im Forum.
Du kannst, aber du musst nicht ein zusätzliches PW für den Key setzen. Dieses PW ist ein weiterer zusätzlicher Schutz und dieses PW ist unabhängig vom anderen PW. Du könntest zwar das gleiche Eintragen, würde aber dann den Sinn vom zusätzlichen PW aufheben.
Wenn du also das Feld leer gelassen hast, dann ist für den key kein eigenes PW gesetzt und notwendig.

Warum kannst du dich nicht mit dem Usernamen "root" in WinSCP Anmelden?
Kommt eine Fehlermeldung?

Ansonsten in winSCP bei Benutzername root Eintragen und das Kennwort vom Admin.
Oben bei Übertragungsprotokoll nicht vergessen umschalten auf SCP!
Bei Erweitert > neues Fenster > links SSH > Authentifizierung > da muss der Pfad eingetragen sein wo sich deine Datei id_rsa.ppk befindet.
Also unterhalb von "Datei mit privatem Schlüssel".
Mit OK bestätigen.

Bei der Anmeldung siehst du dann die Schritte wie sich der PC mit der Diskstation verbindet, WENN du ein PW für den key gesetzt hast (in deinem Fall nicht) dann bleibt diese Anmeldung kurz stehen und es öffnet sich ein Fenster wo du das PW für den key eintippen musst.
In deinem Fall läuft aber die Anmeldung gleich durch, da du kein zusätzliches PW für den key angelegt hast.
Sonst würde wie erwähnt der Eintrag aufscheinen "Passphrase für Schlüssel ........" und in der Zeile müsstest du das PW für den Key eintragen und mit OK bestätigen, dann läuft die Anmeldung weiter.

Zur Erinnerung:
im DSM MUSS der User admin aktiviert und aktiv sein und der SSH Dienst unter Terminal muss aktiviert worden sein.
Sonst funktioniert die Anmeldung in winSCP nicht und die DS lehnt die Verbindung ab.

 

[Koala11]

Vielen Dank für die Antwort. Habe es gerade noch einmal ausprobiert. root als User geht nicht, die anderen Admins können aber mit dem Key zugreifen. Bei der Anmeldung in WinSCP als admin sehe ich erst die Meldung Schlüssel abgelehnt, da ich dann erst das PW angeben kann, dann startet die Verbindung, so ist es doch richtig, oder? Bei root wird die Anmeldung nach der PW-Eingabe abgebrochen.

Aber noch zu der anderen Frage, es ist normal dass jetzt die andern Admin-User über WinSCP mit dem Key zusammen praktisch Root-Rechte haben? Oder sind es keine root-Rechte? Normalerweise sieht doch der Admin-User bei der DS nicht die z.B. @appstore-Dateien/Ordner, oder?

 

[Fusion]

Nein, das ist nicht korrekt.
Der Schlüssel liegt im Home Verzeichnis des Root Benutzers (/root) und ist für andere nicht lesbar (0700).
Darauf haben auch andere Admins kein Zugriff.

Ich denke der login per key schlägt fehl (weil selbst für 'admin' kein key hinterlegt ist) und du meldest dich dann mit admin / Passwort an.
Dann kannst du auch diverse Daten sehen. Nur mit dem Bearbeiten wird es oft nicht klappen.

Wenn winSCP auch PEM codierte Schlüssel verarbeiten kann, dann könnte man ihm auch direkt den privaten Schlüssel id_rsa den du bei der Generierung auf /volume1/public geschoben hast unterschieben.
Die Wandlung ins ppk Format nur, wenn er das immer noch nicht kann. Du hast doch NUR den PEM id_rsa privaten Schlüssel nach ppk gewandelt, oder hast du noch was anderes gemacht? (dein 'key erstellt' ist hier nicht eindeutig, nicht dass du einen weiteren Schlüssel erstellt hast der dann natürlich nicht zum öffentlichen Teil passt der auf der Syno hinterlegt ist).

 

[the other]

Moinsen,
hier noch einmal eine Anleitung, damit du die Schritte nachvollziehen kannst...
https://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern

 

[Benares]

Ich denke auch, dass bei @Koala11 einfach noch die letzten Schritte fehlen. Mal sehen, ob ich das noch zusammenbekomme, ist schon einige Jahre her:

1. zuerst den Key erstellen, wie schon in #130 beschrieben. Die id_rsa irgendwohin auf den PC kopieren
2. mit PuTTYgen (bei putty dabei) die id_rsa laden und als id_rsa.ppk speichern
3. Erstmal putty mit Key konfigurieren, damit klappt dann schonmal der root-Zugriff per putty ohne Passwort:
   
   
   
   
4. Wenn das klappt, ähnliches Spiel bei WinSCP
   
   
   

 

[Koala11]

Vielen Dank, ich werde dies so nächsten Tage mal neu probieren und mich melden.

 

[Koala11]

Klappt leider noch nicht, ich werde dann einfach noch mal einen komplett neuen Schlüssel erstellen. der jetzige wird, wie Ihr ja vermutet habt einfach abgelehnt. Muss ich den alten Schlüssel aus Sicherheitsgründen über das Terminal erst löschen, oder wie in #130 geschrieben, einfach einen neuen Schlüssel erstellen? Wo finde ich eigentlich die Schlüssel? Danke.

 

[the other]

Moinsen,
bei normaler ssh Konfiguration findets du den einen Teil idR unter USER/.ssh (lokal) bzw. den anderen (public) in der ~/.ssh/authorized_keys. Zumindest hier so (linux system)...

 

[Benares]

Beim Schritt

cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys

musst du etwas aufpassen, dass du dir nicht einige Leichen einfängst.

 

[Koala11]

Wie meinst Du dies? Auf was soll ich den achten?