DSM 6.x und darunter DSM 6.0 kein root zugriff mehr via Telnet/SSH

Alle DSM Version von DSM 6.x und älter

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Ja oder direkt so :)
 

ChristianH

Benutzer
Mitglied seit
21. Feb 2009
Beiträge
130
Punkte für Reaktionen
7
Punkte
18
So, ich muss das spannende Thema wieder hochbringen.

Ein Jahr hat alles wunderbar funktioniert. Nun erhalte ich eine Fehlermeldung bei dem Versuch mich einzuloggen.

Fehlermeldung root-Anmeldung.jpg.

Kann es sein, dass die selbst erstellten Keys (oder zumindest einer davon) nur eine Gültigkeit von einem Jahr haben? Zumindest hatte ich meinen Key am 26.04.2016 erstellt.

Muss ich somit den ganzen Anlageprozess jährlich wiederholen oder gibt es eine einfachere Möglichkeit?

Ich beziehe mich mit meiner Frage übrigens auf die Anleitung von Andy+ auf Seite 15 dieses Threads (http://www.synology-forum.de/showthread.html?72654-DSM-6-0-kein-root-zugriff-mehr-via-Telnet-SSH/page15&p=622796&viewfull=1#post622796)

Danke vorab!

Gruß
Christian
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Da gibt es meines Wissens keine Begrenzung, meine Schluessel sind aelter. Es sieht eher so aus, als ob der PPK-file korrupt waere.
 

ChristianH

Benutzer
Mitglied seit
21. Feb 2009
Beiträge
130
Punkte für Reaktionen
7
Punkte
18
Danke Dir. Dann werde ich das Prozedere ein weiteres Mal durchlaufen.
Ich hatte noch überlegt, ob es mit dem neuen DSM-Update zu tun haben könnte. Aber das hast Du ja auch bereits installiert.
Also dann...
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Hast du es mit dem neuesten winSCP versucht?
Aktuell ist derzeit winSCP 5.9.5 - habe es eben getestet, geht bei mir nach wie vor einwandfrei.
 

ChristianH

Benutzer
Mitglied seit
21. Feb 2009
Beiträge
130
Punkte für Reaktionen
7
Punkte
18
Ist auch noch eine Idee.
Ich habe noch 5.9.4.
Danke.
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Wie läuft das ganze den über Mac OS X Terminal?
Gestehe auch das ich gerade nicht viel Lust habe die 31 Seiten durch zu gehen :rolleyes:*sooory*

Auf der NAS ist die DSM 6.1.1-15101 Update 2

Erstellt habe ich den Key ja schon ma soweit im Terminal über den admin login und dem wechsel nach root mit sudo -i:

Rich (BBCode):
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is: *********

Der Key is auch mit nem Passwort von mir versehen.
Nur komm ich nu nich weiter da ich ja auch kein WinSCP oder so nutze, um falls auch beim Mac nötig,
daraus nen Private Key zu machen :(

Wäre schön wenn jemand Helfen könnte.
Ansonsten muss ich nachher Google in Knie zwingen :(
Bis ich ne Lösung finde.


VG und Danke schon mal an alle
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Mac Terminal ist praktisch wie auf der DS.

MAC
id_rsa ist der private Schlüssel der auf den Mac muss.
Dort in deinem Benutzerverzeichnis in das versteckte .ssh Verzeichnis, also /Users/deinNutzerName/.ssh/id_rsa
Zugriffsrechte sollten 600 sein für die Datei und 700 für das .ssh Verzeichnis

Um den Verbindungsaufbau komfortabler zu machen kannst du noch Einträge in /etc/ssh/ssh_config vornehmen, alles inklusive <> ersetzen.
Der Verbindungsaufbau ist dann später einfach "ssh root@<beliebigesKürzel>"
Host <beliebigesKürzel>
Hostname <DS-LAN-IP>
IdentityFile ~/.ssh/id_rsa
Port <224>

DS
Auf der DS (als admin angemeldet und per sudo -i zu root gewechselt) muss die id_rsa.pub noch in die Datei /root/.ssh/authorized_keys mit
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
Dateirechte ebenfalls 600, beim .ssh Verzeichnis geht hier auch 755.

Die id_rsa und id_rsa.pub können von der DS komplett verschwinden und woanders sicher verwahrt werden.
Der öffentliche Teil liegt in authorized_keys und der private auf dem Mac.

Soviel zu "per ssh mit RSA key als root an der DS anmelden im Terminal unter Mac OS X".
 

ChristianH

Benutzer
Mitglied seit
21. Feb 2009
Beiträge
130
Punkte für Reaktionen
7
Punkte
18
Im Nachgang wärs dann wohl so :

Vorbereitung der Synology

Anpassung der Synology

1. Einwahl mit PuTTY oder WinSCP
2. PublicKey aus der Kopfzeile des PuttyKeyGenerator kopieren und in die /root/.ssh/authorized_keys einfügen (Copy/Paste).
3. Reload SSH : "synoservicectl --reload sshd", oder besser
4. Neustart der Synology[/URL]

Leider komme ich erst heute Abend dazu, das Thema weiter zu verfolgen.

Ich komme mir zwar echt blöd vor, so gar keine Ahnung zu haben, aber dennoch: wie füge ich den PublicKey bitte in die /root/.ssh/authorized_keys ein? Also das Kopieren kriege ich ja noch hin, aber wo paste ich den rein? Ich bewege mich ja noch in Putty und dort weiß ich nicht weiter...

Danke für Eure Hilfe!
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Ich komme mir zwar echt blöd vor, so gar keine Ahnung zu haben, aber dennoch: wie füge ich den PublicKey bitte in die /root/.ssh/authorized_keys ein? Also das Kopieren kriege ich ja noch hin, aber wo paste ich den rein? Ich bewege mich ja noch in Putty und dort weiß ich nicht weiter...

Danke für Eure Hilfe!

Ging mir genauso...
Also kein Kopf machen ;)

Bin mir zwar nich mehr 100% sicher (seit ich mir nen Mac Book geholt habe nutze ich kaum noch Putty und Co.)
aber ich würd WinSCP nutzen, da müsstest in den Einstellungen auswählen können das dir versteckte Datein und Ordner angezeigt werden sollen.
Dann solltest auch auf /.ssh/ zugreifen können um den Key einzufügen.

Aber vielleicht weiss das hier ja noch jemand ganz genau.
 

ChristianH

Benutzer
Mitglied seit
21. Feb 2009
Beiträge
130
Punkte für Reaktionen
7
Punkte
18
Über Youtube habe ich einen Workaround gefunden: In der Datei sudoers auf /etc wird ein Eintrag hinzugefügt:
admin ALL = NOPASSWD: ALL

Allerdings fürchte ich, dass damit jedem Tür und Tor geöffnet sind, was ich natürlich auch nicht will. Zumindest konnte ich so aber 2 Dateien wieder anpassen, so dass die VPN-Verbindung wieder steht.
 

ChristianH

Benutzer
Mitglied seit
21. Feb 2009
Beiträge
130
Punkte für Reaktionen
7
Punkte
18
So, durch die erweiterten Rechte mittels admin ALL = NOPASSWD: ALL konnte ich die erforderlchen Einträge bequem in WinSCP vornehmen. Nun läuft es endlich wieder wie gewünscht.
Das admin ALL = NOPASSWD: ALL in sudoers habe ich auskommentiert. Man weiß ja nie...

Danke an alle, die hier wieder unterstützt haben!
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Tachen,

muss das Thema mal wieder aufgreifen.
Wollte/Musste mich heute nach längerer Zeit mal wieder per Mac Terminal als root auf meine DS916+ anmelden.
Und dann leider Feststellen das dies nicht mehr geht :( Angeblich wäre das Passwort falsch.

Also direkt mal auf meiner Windoof Tonne getestet und siehe da, dort geht der Login per Putty noch.

Trotz allem habe ich dann die Schritte wiederholt und eine neue Keyfile erstellt, Rechte usw. vergeben.
Die Datei noch Fix auf meinen Macbook kopiert aber es ging immer noch nicht.
Es sieht für mich fast so aus, als wenn es den Mac gar nicht interessiert das es nen Keyfile gibt?!

Unter /etc/ssh/ habe ich dann nochmals alle Kontrolliert
(obwohl es ja vor einiger Zeit noch problemlos ging, nur nutze ich SSH als Root nicht so oft).

Rich (BBCode):
/etc/ssh/ssh_config


Host nas
Hostname ****ip zur nas
IdentityFile ~/.ssh/id_rsa_ds916plus
Port 22

Logge ich mich im Terminal per ssh root@nas ein erhalte ich allerdings folgendes:

Rich (BBCode):
The authenticity of host 'IP (IP)' can't be established.
ECDSA key fingerprint is *********.
Are you sure you want to continue connecting (yes/no)?

Ich befürchte das es an nem MacOS Update liegt denn sonst hat sich eigentlich nichts geändert.

MacOS Sierra
10.12.6 (16G29)

Syno
DSM 6.1.3-15152 Update 1



Jemand ne Idee was da los ist?
Oder jemand der mir weiterhelfen kann?
Wie gesagt Putty oder WinSCP gehen ohne Probleme, lediglich das Macbook kann sich
per Terminal nicht mehr als root einloggen.


DANKE schon mal





VG
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Hast du einfach mal gemacht was da steht? Also mit "yes" geantwortet?
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Klar habe ich das ;)

dann fragt er nach dem Passwort was aber nicht funktioniert.
Da das Keyfile allerdings auch mit nem Passwort geschützt ist war so zu der Zeit als es noch lief immer so,
das ich diesbezüglich ne Meldung bekam und dann diese PW eingeben musste, was nun halt nicht mehr
passiert.

Daher ja die Vermutung dass das IdentityFile - id_rsa_ds916plus - gar nicht abgefragt wird.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.673
Punkte für Reaktionen
1.574
Punkte
314
Da das Keyfile allerdings auch mit nem Passwort geschützt ist ...

Hm, ich vergebe beim Erstellen eines Key-Files jedenfalls kein Passwort. Das solltest du auch nicht, wenn du dich automatisch per Key mit der DS verbinden willst. Das beim erstmaligen Verbinden ein Handshake erfolgt, welchen du mit "yes" bestätigen musst, ist hingegen normal.
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Mag ja sein nur geht vom Mac Terminal aus nichts mehr, da das PW angeblich falsch ist,
während WinSCP funzt.

Und selbst nach neuem durchführen der Schritte aus dem Thread hier ist ein Login nicht möglich per Macbook.
Komisch finde ich das schon irgendwie ....
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
greift hier vielleicht schon ein IP-Blocking??
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat