DSM 6.x und darunter DSM 6.0 kein root zugriff mehr via Telnet/SSH

[goetz]

Hallo,
@Andy+
das Schlüsselpaar ist unabhängig von der Maschine, habe den selben public key auf allen 3 DS und den private key auf dem PC.

Gruß Götz

 

[czutok]

alles genau wie auf dem bild eingestelt , der eintrag admin ALL = NOPASSWD: ALL past auch zu 100% und trotzdem zugrif verweigert

mit der DS version stimmt , es ist 5.2 und keine 5.4 ( war tip fehler von mir ) , und nein , ich mus keine APP's neu instalieren , die DS startet ganz normal als 5.2 nach dem reboot , nachdem sie aktualiseirt wurde ( downgradet )

 

[Andy+]

Das ist aber seltsam. Wenn Du alle Anpassungen machen konntest, kann in WinSCP eigentlich nur noch Dein Passwort für den user root falsch sein, wenn Du in WinSCP sudo su - hinterlegt hast.

Alternativ kannst Du das Ganze auch über Keys einrichten, ich habs allerdings noch nicht probiert :

http://www.synology-forum.de/showthread.html?72654-DSM-6-0-kein-root-zugriff-mehr-via-Telnet-SSH/page5&p=611473&viewfull=1#post611473

Deine APP´s mußt Du nach einem Downgrade neu installieren, weil die alle gelöscht werden.

 

[jahlives]

@cztok
WO genau hast du den admin NOPASSWD Eintrag gemacht? Vor oder nach dem Gruppeneintrag %administrators? Die Reihenfolge ist wichtig, weil die Einträge nach dem Motto "nur der letzte zählt" funzen d.h. wenn du den nopasswd Eintrag vorher machst und danach kommt noch ein passender Eintrag (z.B. für die Gruppe ohne nopasswd) dann gewinnt dieser letzte Eintrag und es wird ein Passwort verlangt

 

[czutok]

die APP's sind jetzt egal , die sind nicht das problem

wieso kann ich nicht über winscp drauf , wenn ich alles so mache wie ihr ??

den doppel reset hab ich auch schon probiert , bringt auch keine hilfe , das einziger was ohne problemme funktioniert ist die version wider auf 5.2 runter zu setzen

@ jahlives

hab mal so getestet

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
root ALL=NOPASSWD: ALL
admin ALL=NOPASSWD: ALL

dann mal so

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
root ALL=NOPASSWD: ALL

und sogar schon so

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
admin ALL=NOPASSWD: ALL

 

[jahlives]

probiers bitte erstmal ohne WinSCP. Melde dich via ssh als admin auf der DS an und setze ein Kommando mit sudo ab z.B.

sudo su -

 

[czutok]

über putty gehtst

login as: admin
admin@192.168.8.30's password:
Could not chdir to home directory /var/services/homes/admin: No such file or directory
admin@DiskStation:/$ sudo su -
root@DiskStation:~#

 

[Andy+]

Wenn Du das so geschrieben hast, ist das falsch. Setze ans Ende der sudoers den Eintrag genau so :

admin ALL = NOPASSWD: ALL

Alles andere funktioniert auch nicht.

 

[czutok]

gena so hab ich es drin stehen

## sudoers file.

# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv

# Allow root to execute any command
root ALL=(ALL) ALL

# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
admin ALL=NOPASSWD: ALL

moment mal , soll hinter ALL und = und Password ein leerzeichen sein ??
weil da sehe ich jetzt ein unterschid zu dem was du schreibst

edit , mit lerzeichen genau das gleiche "zugrif verweigert"

 

[Andy+]

Dann schau mal, wie der Eintrag in der passwd im Ordner /etc aussieht beim user root und admin. Wie sind die hinterlegt?

 

[czutok]

hab oben editiert

egal ob mit oder leerzeichen , genau das selbe ergebnis "zugrif verweigert"

ich weis echt nicht mehr weiter woran es liegen kann das ich nicht drauf komme

 

[Andy+]

Irgendwas anderes stimmt dann wohl nicht, mal sehen. Denn in erster Linie gehts darum, daß in der sudoers der Eintrag steht und in WinSCP die Hinterlegung passt, mehr ist das auch nicht. Nun erst mal die passwd, dann sehen wir weiter.

 

[czutok]

wenn ich die DS runter auf 5.2 downloade , gehts mit dem selbem passwd ohne problemme , also an dem Passwd liegt es 100% nicht

 

[Andy+]

Ich meinte die Einträge in der Datei "passwd" im Verzeichnis "etc". Wie lauten die? Da müßte sowas stehen, wie

admin:x:1024:100:System default user:/var/services/homes/admin:/bin/sh
root:x:0:0:root:/root:/bin/ash

 

[czutok]

im etc/passwd drine steht sowas

admin:x:1024:100:admin:/var/services/homes/admin:/bin/sh
anonymous:x:21:21::/nonexist:/usr/bin/nologin
avahi:x:84:84::/:/bin/false
bind:x:53:53::/:/usr/bin/nologin
daemon:x:2:2::/:/bin/sh
dbus:x:81:81::/:/usr/bin/nologin
dovecot:x:143:143::/dev/null:/usr/bin/nologin
DownloadStation:x:125560:125560::/var/packages/DownloadStation/target:/sbin/nologin
ftp:x:21:21::/nonexist:/usr/bin/nologin
guest:x:1025:100:Guest:/nonexist:/sbin/nologin
http:x:1023:1023::/var/services/web:/bin/false
HyperBackup:x:256822:256822::/var/packages/HyperBackup/target:/sbin/nologin
ldap:x:439:439::/var/lib/openldap:/usr/bin/nologin
lp:x:7:7::/var/spool/lpd:/bin/sh
lp_1461165926:x:7:7::/var/spool/lpd:/bin/sh
lp_1461559736:x:4:7:lp:/var/spool/lpd:/sbin/nologin
mysql:x:66:66::/var/services/mysql:/bin/false
nobody:x:99:99::/:/bin/false
ntp:x:87:87::/var/lib/ntp:/bin/false
PhotoStation:x:138862:138862::/var/packages/PhotoStation/target:/sbin/nologin
postfix:x:125:125::/dev/null:/usr/bin/nologin
postgres:x:55:55::/var/services/pgsql:/bin/sh
root:x:0:0::/root:/bin/ash
rpc:x:32:32::/dev/null:/bin/false
smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
spamfilter:x:783:99:Spamassassin User:/var/spool/postfix:/sbin/nologin
StorageAnalyzer:x:276949:276949::/var/packages/StorageAnalyzer/target:/sbin/nologin
system:x:1:1::/usr/syno/synoman:/usr/bin/nologin

beide sind vorhanden , vobei mein root ein wenig anders auschaut als dein , und bei meinem admin der System default user durch den admin getauscht ist

 

[Andy+]

Die Einträge von mir sind aus einer DSM 5.2, von daher kann das ohne weiteres anders sein. Auf jeden Fall sind die beiden Einträge da. Schau mal nach unter

Systemsteuerung > Sicherheit > Automatische Blockierung > Freigabe-/Blockierliste > Liste blockierter IPs

ob da Deine Rechner-IP steht. Wenn ja, löschen und nochmal das Ganze versuchen.

 

[czutok]

liste blokierter ips ist 100% leer

wo könte der fehler noch liegen ??

oder soll ich aufhören zu suchen und die geile 6.0 ins jensets abschisen und die alte funktionierende 5.2 wider drauf hauen ??

 

[Andy+]

Die Entscheidung zum Letzteren kann Dir keiner nehmen. Es kommt auch darauf an, was Du mit DSM 6 gegenüber der DSM 5.2 an Vorteilen hast, bzw. was für Dich die DSM 6 kann, was DSM 5.2 nicht kann, Du aber brauchst. Ich habe DSM 6 in noch keinem Produktivsystem, aber das hat andere Gründe und nicht diese hier. Daher mußt Du für Dich sehen, entweder oder.

Zum Problem nochmals: Welche Dateirechte hat Deine Datei "sudoers"? Wenn die zB. 777 oder rwxrwxrwx hätte, wär das nicht so gut. Sie sollte max. 640 bzw. rw-r----- haben.

 

[czutok]

rechte sind auf rw-r------- ( 640 )

bei der 5.2 gibts bei oscam haufen weise fehler , die bei 6.0 nicht mehr vorkommen

aber wenn ich keine root rechte bekomme , dann schit drauf auf die oscam fehler , es wird wider die 5.2 instaliert , hauptsache ich komme wider drauf

 

[Andy+]

Dann versuch nochmal, in WinSCP das Konto komplett neu zu machen.

File protocol : SCP
Host name : "syno-IP"
Port number : 22
User name : root
Password : Passwort für root/admin

Nach der Speicherung unter

Erweitert > SCP > Shell > DropDown > "sudo su -" wählen

Wieder speichern.

Vorher noch prüfen :

Systemsteuerung > Terminal&SNMP ==> Haken bei Telnet-Dienst und SSH-Dienst gesetzt.

Dann "*Daumendrück*" nochmal.