DSM 6.x und darunter DSM 6.0 kein root zugriff mehr via Telnet/SSH

Alle DSM Version von DSM 6.x und älter

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
@Andy+
das Schlüsselpaar ist unabhängig von der Maschine, habe den selben public key auf allen 3 DS und den private key auf dem PC.

Gruß Götz
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
alles genau wie auf dem bild eingestelt , der eintrag admin ALL = NOPASSWD: ALL past auch zu 100% und trotzdem zugrif verweigert

mit der DS version stimmt , es ist 5.2 und keine 5.4 ( war tip fehler von mir ) , und nein , ich mus keine APP's neu instalieren , die DS startet ganz normal als 5.2 nach dem reboot , nachdem sie aktualiseirt wurde ( downgradet )
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Das ist aber seltsam. Wenn Du alle Anpassungen machen konntest, kann in WinSCP eigentlich nur noch Dein Passwort für den user root falsch sein, wenn Du in WinSCP sudo su - hinterlegt hast.

Alternativ kannst Du das Ganze auch über Keys einrichten, ich habs allerdings noch nicht probiert :

http://www.synology-forum.de/showthread.html?72654-DSM-6-0-kein-root-zugriff-mehr-via-Telnet-SSH/page5&p=611473&viewfull=1#post611473

Deine APP´s mußt Du nach einem Downgrade neu installieren, weil die alle gelöscht werden.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@cztok
WO genau hast du den admin NOPASSWD Eintrag gemacht? Vor oder nach dem Gruppeneintrag %administrators? Die Reihenfolge ist wichtig, weil die Einträge nach dem Motto "nur der letzte zählt" funzen d.h. wenn du den nopasswd Eintrag vorher machst und danach kommt noch ein passender Eintrag (z.B. für die Gruppe ohne nopasswd) dann gewinnt dieser letzte Eintrag und es wird ein Passwort verlangt
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
die APP's sind jetzt egal , die sind nicht das problem

wieso kann ich nicht über winscp drauf , wenn ich alles so mache wie ihr ??

den doppel reset hab ich auch schon probiert , bringt auch keine hilfe , das einziger was ohne problemme funktioniert ist die version wider auf 5.2 runter zu setzen

@ jahlives

hab mal so getestet


## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
root ALL=NOPASSWD: ALL
admin ALL=NOPASSWD: ALL

dann mal so

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
root ALL=NOPASSWD: ALL

und sogar schon so

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
admin ALL=NOPASSWD: ALL
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
probiers bitte erstmal ohne WinSCP. Melde dich via ssh als admin auf der DS an und setze ein Kommando mit sudo ab z.B.
Code:
sudo su -
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
über putty gehtst

login as: admin
admin@192.168.8.30's password:
Could not chdir to home directory /var/services/homes/admin: No such file or directory
admin@DiskStation:/$ sudo su -
root@DiskStation:~#
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Wenn Du das so geschrieben hast, ist das falsch. Setze ans Ende der sudoers den Eintrag genau so :

admin ALL = NOPASSWD: ALL

Alles andere funktioniert auch nicht.
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
gena so hab ich es drin stehen

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
admin ALL=NOPASSWD: ALL

moment mal , soll hinter ALL und = und Password ein leerzeichen sein ??
weil da sehe ich jetzt ein unterschid zu dem was du schreibst


edit , mit lerzeichen genau das gleiche "zugrif verweigert"
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Dann schau mal, wie der Eintrag in der passwd im Ordner /etc aussieht beim user root und admin. Wie sind die hinterlegt?
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
hab oben editiert

egal ob mit oder leerzeichen , genau das selbe ergebnis "zugrif verweigert"

ich weis echt nicht mehr weiter woran es liegen kann das ich nicht drauf komme
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Irgendwas anderes stimmt dann wohl nicht, mal sehen. Denn in erster Linie gehts darum, daß in der sudoers der Eintrag steht und in WinSCP die Hinterlegung passt, mehr ist das auch nicht. Nun erst mal die passwd, dann sehen wir weiter.
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
wenn ich die DS runter auf 5.2 downloade , gehts mit dem selbem passwd ohne problemme , also an dem Passwd liegt es 100% nicht
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Ich meinte die Einträge in der Datei "passwd" im Verzeichnis "etc". Wie lauten die? Da müßte sowas stehen, wie

admin:x:1024:100:System default user:/var/services/homes/admin:/bin/sh
root:x:0:0:root:/root:/bin/ash
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
im etc/passwd drine steht sowas

admin:x:1024:100:admin:/var/services/homes/admin:/bin/sh
anonymous:x:21:21::/nonexist:/usr/bin/nologin
avahi:x:84:84::/:/bin/false
bind:x:53:53::/:/usr/bin/nologin
daemon:x:2:2::/:/bin/sh
dbus:x:81:81::/:/usr/bin/nologin
dovecot:x:143:143::/dev/null:/usr/bin/nologin
DownloadStation:x:125560:125560::/var/packages/DownloadStation/target:/sbin/nologin
ftp:x:21:21::/nonexist:/usr/bin/nologin
guest:x:1025:100:Guest:/nonexist:/sbin/nologin
http:x:1023:1023::/var/services/web:/bin/false
HyperBackup:x:256822:256822::/var/packages/HyperBackup/target:/sbin/nologin
ldap:x:439:439::/var/lib/openldap:/usr/bin/nologin
lp:x:7:7::/var/spool/lpd:/bin/sh
lp_1461165926:x:7:7::/var/spool/lpd:/bin/sh
lp_1461559736:x:4:7:lp:/var/spool/lpd:/sbin/nologin
mysql:x:66:66::/var/services/mysql:/bin/false
nobody:x:99:99::/:/bin/false
ntp:x:87:87::/var/lib/ntp:/bin/false
PhotoStation:x:138862:138862::/var/packages/PhotoStation/target:/sbin/nologin
postfix:x:125:125::/dev/null:/usr/bin/nologin
postgres:x:55:55::/var/services/pgsql:/bin/sh
root:x:0:0::/root:/bin/ash
rpc:x:32:32::/dev/null:/bin/false
smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
spamfilter:x:783:99:Spamassassin User:/var/spool/postfix:/sbin/nologin
StorageAnalyzer:x:276949:276949::/var/packages/StorageAnalyzer/target:/sbin/nologin
system:x:1:1::/usr/syno/synoman:/usr/bin/nologin

beide sind vorhanden , vobei mein root ein wenig anders auschaut als dein , und bei meinem admin der System default user durch den admin getauscht ist
 
Zuletzt bearbeitet:

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Die Einträge von mir sind aus einer DSM 5.2, von daher kann das ohne weiteres anders sein. Auf jeden Fall sind die beiden Einträge da. Schau mal nach unter

Systemsteuerung > Sicherheit > Automatische Blockierung > Freigabe-/Blockierliste > Liste blockierter IPs

ob da Deine Rechner-IP steht. Wenn ja, löschen und nochmal das Ganze versuchen.
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
liste blokierter ips ist 100% leer

wo könte der fehler noch liegen ??

oder soll ich aufhören zu suchen und die geile 6.0 ins jensets abschisen und die alte funktionierende 5.2 wider drauf hauen ??
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Die Entscheidung zum Letzteren kann Dir keiner nehmen. Es kommt auch darauf an, was Du mit DSM 6 gegenüber der DSM 5.2 an Vorteilen hast, bzw. was für Dich die DSM 6 kann, was DSM 5.2 nicht kann, Du aber brauchst. Ich habe DSM 6 in noch keinem Produktivsystem, aber das hat andere Gründe und nicht diese hier. Daher mußt Du für Dich sehen, entweder oder.

Zum Problem nochmals: Welche Dateirechte hat Deine Datei "sudoers"? Wenn die zB. 777 oder rwxrwxrwx hätte, wär das nicht so gut. Sie sollte max. 640 bzw. rw-r----- haben.
 

czutok

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
rechte sind auf rw-r------- ( 640 )

bei der 5.2 gibts bei oscam haufen weise fehler , die bei 6.0 nicht mehr vorkommen

aber wenn ich keine root rechte bekomme , dann schit drauf auf die oscam fehler , es wird wider die 5.2 instaliert , hauptsache ich komme wider drauf
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Dann versuch nochmal, in WinSCP das Konto komplett neu zu machen.

File protocol : SCP
Host name : "syno-IP"
Port number : 22
User name : root
Password : Passwort für root/admin

Nach der Speicherung unter

Erweitert > SCP > Shell > DropDown > "sudo su -" wählen

Wieder speichern.

Vorher noch prüfen :

Systemsteuerung > Terminal&SNMP ==> Haken bei Telnet-Dienst und SSH-Dienst gesetzt.

Dann "*Daumendrück*" nochmal.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat