DSM 6.x und darunter DSM 6.0 kein root zugriff mehr via Telnet/SSH

[goetz]

Hallo,
in WinSCP Session markieren, Bearbeiten - Erweitert - Azthentifizierung - Datei mit privatem Schlüssel

Gruß Götz

 

[czutok]

das mit dem key kann sein , mus aber nicht umbedingt , und wenn synology extra so ne soft baut wo die besitzer blokiert werden , dann gute nacht synology

ich lese mir das mit dem key durch , hab aber erstmal die 5.2 am laufen , und irgend wie die lust auf die 6.0 veloren

 

[laserdesign]

dann gute nacht synology

mach dich mal schlau über das Sicherheitskonzept von einem Linux, was ja auch bei deinem NAS der Unterbau ist.

 

[Andy+]

............wenn synology extra so ne soft baut wo die besitzer blokiert werden , dann gute nacht synology...............

Das macht schon Sinn, so ist das nicht. Wenn ich mir solche Handstände in Windows angucke, was sich da zwischen Windows NT3.51/NT4, über 2000/XP bis zu Windows Vista/7/8/10 verändert hat und was für eine Plage die Umstände damit teils sind, dann sollten da die Lichter schon lange aus sein.

 

[Andy+]

Die Einrichtung mit Key´s sieht etwas kompliziert aus, ist aber einfach :

Vorbereitung der Synology

1. auf der DS unter "root" ein "ssh localhost" starten.
2. nachfolgende Frage nach dem Key mit yes beantworten, dann einfach abbrechen.
3. Auf der Synology /root/.ssh/authorized_keys erstellen:
............... $ chmod 0700 /root/.ssh
............... $ touch /root/.ssh/authorized_keys
............... $ chown -R root /root/.ssh
............... $ chmod 0600 /root/.ssh/authorized_keys

Erstellung der Keys

1. Putty Key Generator puttygen.exe starten.
2. SSH-2 auswählen und Public/Private key generieren.
3. Public Key speichern, Privat Key als *.ppk speichern.

Anpassung der Synology

1. Einwahl mit PuTTY oder WinSCP
2. PublicKey aus der Kopfzeile des PuttyKeyGenerator kopieren und in die /root/.ssh/authorized_keys einfügen (Copy/Paste).
3. die /etc/ssh/sshd_config anpassen:
............... Port 22
............... RSAAuthentication yes
............... PubkeyAuthentication yes
............... AuthorizedKeysFile /root/.ssh/authorized_keys
4. Reload SSH : "synoservicectl --reload sshd", oder besser
5. Neustart der Synology

Konfiguration von WinSCP

1. PrivateKey speichern in einen für dauerhaft definierten Ordner
2. File protocol : SCP
3. Host name : "syno-IP"
4. Port number : 22
5. User name : root
6. Password : Passwort für root/admin
7. dann : Erweitert > Authentifizierung > PrivateKey mit komplettem Pfad hinterlegen.


Und funktioniert! Ich kann mich nun zusätzlich über Keys über WinSCP in DSM 6 einloggen. ..........

 

[goetz]

Hallo,
der Punkt
Anpassung der Synology
3. die /etc/ssh/sshd_config anpassen:

ist nicht nötig, die Standardeinstellungen passen.
Gruß Götz

 

[Andy+]

Wie passt das, wenn die entsprechenden Zeilen mit # beginnen und damit inaktiv sind?

 

[dil88]

Auskommentierte Konfigzeilen entsprechen m.W. üblicherweise den Standardeinstellungen. Nur wenn man sie ändert, muss man die aus der Kommentierung nehmen.

 

[Andy+]

Meines Wissens stehen diese nur in der /etc/ssh/sshd_config :

#Port 22
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile /root/.ssh/authorized_keys

Und wo steht dann der Standard, der aktiv ist?

 

[jahlives]

Und wo steht dann der Standard, der aktiv ist?

der default ist das was auskommentiert ist.

 

[ChristianH]

Die Einrichtung mit Key´s sieht etwas kompliziert aus, ist aber einfach :

Vorbereitung der Synology

1. auf der DS unter "root" ein "ssh localhost" starten.

Hallo Andy,

kannst Du mir bitte kurz erklären, wie ich das als "root" mache? Ich gebe zu, ich habe wenig Linux-Kenntnisse... Danke.

Ich hatte mich bereits via Putty als admin angemeldet und wollte dann über sudo -i auf root wechseln. Ich scheitere dann aber an der Eingabe des Passwortes. Bisher war das ja identisch zum Admin-PW - nun nicht mehr?



Beim nächsten Versuch sah es dann so aus:



Danke vorab!

Wofür das Ganze:
Ich hatte mal - auch mit Hilfe des Forums - eine VPN-Verbindung zu einer eintfernt stehenden DS eingerichtet, auf die ich täglich Backups spiele. Nach DSM-Updates waren manchmal die vorgenommenen Einstellungen verschwunden und mussten manuell wieder hergestellt werden, wofür ja meines Wissens der root-User benötigt wird. Ich hatte das bisher über WinSCP gemacht.
Betroffene Verzeichnisse:
/var/packages/VPNCenter/etc/openvpn/ccd
/var/packages/VPNCenter/etc/openvpn
/var/packages/VPNCenter/target/etc/openvpn

Gruß
Christian

 

[Andy+]

Ich verstehe das programmiertechnisch nicht.

Für mich ist auskommentiert=nicht aktiv, weil es "nicht gelesen" werden kann. Wenn dann also diese Zeilen auskommentriert sind, dann müssen die doch woanders stehen. Und die werden dann ggf. überschrieben, wenn in der obigen Datei die Auskommentierungen (#) gelöscht werden.

Oder sehe ich da was falsch? Wen nun das so ist, wo ist der default hinterlegt?

 

[dil88]

Defaultwerte sind beispielsweise in die Applikation 'reinkompiliert.

 

[Andy+]

...........Ich scheitere dann aber an der Eingabe des Passwortes............

Über sudo -i bist Du dann "root", das siehst Du ja auch links in der Konsolenzeile.

Ansonsten ist das Verhalten normal. Einfach abbrechen. Du kannst versuchen, SSH mit "synoservicectl --reload sshd" neu zu laden, aber das klappt auch nicht immer. Dann ist ein Neustart zunächst am besten. Danach dann feststellen, ob im /root/.ssh die Veränderungen vorhanden sind und entsprechend weitermachen.

 

[Andy+]

Defaultwerte sind beispielsweise in die Applikation 'reinkompiliert.

Okay, dann müßte ich so gesehen nur "AuthorizedKeysFile" auskommentieren und auf "AuthorizedKeysFile /root/.ssh/authorized_keys" anpassen, denn der default sieht anders aus.

 

[ChristianH]

Danach dann feststellen, ob im /root/.ssh die Veränderungen vorhanden sind und entsprechend weitermachen.

Ich fürchte, dass nicht... Oder schaue ich falsch?

 

[goetz]

Hallo,
@Andy+
auch AuthorizedKeysFile mußt Du nicht anpassen, der Pfad ist relativ zum jeweiligen User Home Verzeichnis bezogen. Absolute Pfade könnten dann ja nur für einen User bzw. für alle User gelten.

@ChristianH
jetzt bist Du im richtigen Verzeichnis, mit Vorbereitung der Synology Punkt 3 weiter machen. /etc/ssh/sshd_config muß nicht bearbeitet werden.

Gruß Götz

 

[Andy+]

Doch steht da, "known_hosts". Wo ist das Verzeichnis .ssh? Ist das /root/.ssh oder nur /.ssh?

Ansonsten entsprechend machst Du mit den Schritten

$ chmod 0700 /root/.ssh
$ touch /root/.ssh/authorized_keys
$ chown -R root /root/.ssh
$ chmod 0600 /root/.ssh/authorized_keys

weiter.

 

[dil88]

/root/.ssh für den User root. Es ist immer ~/.ssh, wobei die Tilde für das Homeverzeichnis des Users steht.

 

[ChristianH]

@Andy+: Das + hinter Deinem Namen kannst Du ganz groß schreiben - es hat funktioniert!

Vielen Dank!