PuTTY: Access denied

[Datensammler]

Hallo zusammen,

ich möchte gerne via putty auf meine DS212j zugreifen. Es wird auch eine Verbindung aufgebaut, jedoch erhalte ich die Meldung Access denied.

wie ich gelesen habe, muss ich als Benutzernamen root eingeben. Das Problem dürfte aber darin liegen, dass ich einen neuen Benutzer erstellt habe, der in der Admin-Gruppe ist und den Standard admin[/I ]Account deaktiviert habe. Wo kann ich dem neu erstellten Benutzer die SSH-Berechtigung erteilen?

 

[Frogman]

Auch wenn Du den admin deaktiviert hast - Anmeldung erfolgt in der Konsole mit root und dem Passwort von 'admin'. Nur root hat dort alle Rechte.

 

[Datensammler]

Auch wenn Du den admin deaktiviert hast - Anmeldung erfolgt in der Konsole mit root und dem Passwort von 'admin'. Nur root hat dort alle Rechte.

ich kann mich mit einem deaktivierten User anmelden? Was ist denn das für ein Sicherheitsloch!
Aber danke für den Tipp es hat funktioniert.

 

[Thorndike]

Du hast dich nicht mit einem deaktivierten User angemeldet. Admin und root sind zwei verschiedene User. Admin hat im DSM Rechte um Einstellungen vorzunehmen, root ist der Linux Benutzer der unten drunter alles darf.

 

[Datensammler]

In der Systemsteuerung ist admin deaktivert. Trotzdem funktionierte der Login (mit dem damals gültigen Passwort).

Das darf meiner Meinung nach nicht sein.

 

[Frogman]

Meine Güte, informiere Dich doch bitte, Thorndike hat's doch schon sehr deutlich geschrieben!
Der admin kann sich nicht mehr anmelden, weil er deaktiviert ist. root kann nicht deaktiviert werden, er ist der superuser in einem Linux. Im DSM kannst Du damit nichts anfangen...

 

[Datensammler]

Linux ist kein Fremdwort für mich, soweit kenne ich mich aus. Aber unter einem richtigem Linux habe ich einen User root und kann von diesem das Passwort ändern. Hier bei der DS gibt es die Konstruktion, dass zwei Konten (admin und root) mit einander verknüpft werden (Passwort), obwohl sie nichts mit einander zu tun haben (wie man bei der Deaktivierung von admin sehen kann). Ich finde dieses Konstrukt sehr unglücklich gewählt, weil es den Benutzer in die Irre führt. (Jedenfalls mich. Und ich glaube, ich bin nicht der Einzige, der in diese Falle getappt ist).

Des Weiteren dachte ich, es sei Best-Practice auf jedem Linux-System dem Benutzer root die Rechte für den ssh-Zugang zu entziehen und eine root-Konsole erste über den Umweg eines Logins mit einem normalen User und via su - den root-Zugriff zu gestatten.

Das wir uns nicht falsch verstehen, ich finde die Möglichkeit via ssh mit der DiskStation zu kommunizieren grossartig. Und ich danke Dir auch für Deine Antworten und Support. Aber die Ausführung wie Synology dieses umgesetzt hat finde ich doch etwas abenteuerlich.

 

[Tommes]

Ich persönlich halte von der Deaktivierung des "Standard-Admin-Kontos" garnichts.

Erstmal bekommt man spätestens beim Einbinden von manch einem 3rd_Party Paket Probleme, da oftmals der Benutzer "admin" zugegen sein muß und zum andern aus schon genannten Gründen. Würde Synology in ihrem Tutorial wenigstens hingehen und ausdrücklich darauf hinweisen, das trotz deaktiviertem "admin" Konto dennoch dessen Passwort für "root" verwendet wird und man daher immer noch ein starkes wählen sollte, wäre ja alles gut. Stattdessen schreiben Sie...

Auszug aus: https://www.synology.com/de-de/knowledgebase/tutorials/615
Standardmäßig ist das Administratorkonto des Synology NAS Admin und das Passwort ist leer. Aufgrund dieser Standardeinstellung können die Login-Daten für dieses Konto durch böswillige Dritte einfach erraten werden, die versuchen, Ihren Synology NAS zu hacken.

Daher sollten Sie zum Schutz Ihres Synology NAS ein neues Administratorkonto als Systemadministrator erstellen und anschließend das standardmäßige Admin -Konto des Systems deaktivieren.

Und ich möchte nicht wissen wie viele Leute dem Admin entweder gar kein, oder ein einfaches Standardpasswort à la 123456 verpassen, diesen deaktivieren und obendrein noch SSH angehakt haben und den Port 22 im Router verankert haben.

Hier ist wirklich mehr Aufklährung seitens Synology gefordert,

Tommes

 

[Thorndike]

Mal abgesehen davon das man auch auf der Syno dem root das remote login entziehen kann (Ist ja irgendwie immer noch Linux), was erwartest du in der Beschreibung eines SoHo Gerätes das auf möglichst einfache Benutzung ausgelegt ist? Immerhin sagen sie überhaupt etwas zu dem Thema, das ist bei anderen Firmen nicht so.

 

[Tommes]

...was erwartest du in der Beschreibung eines SoHo Gerätes das auf möglichst einfache Benutzung ausgelegt ist?

Dem unbedarften Benutzer ein Tutorial an die Hand zu geben, welches die Sicherheit meines Systemes verbessern soll, aber keine Information darüber zu geben, das es da noch einen "root" gibt, halte ich für nicht zu Ende gedacht.

Und eben weil es auf einfache Benutzung ausgelegt ist, wird auch die breite Masse an Personen eben keine Kenntnisse über Linux haben um diesen Punkt bewerten zu können. Und wenn ich mir dann noch anschaue, wie manch einer hier im Forum per UPnP den Router konfigurieren lässt, dazu noch Quickconnect freie Bahn beim öffnen irgendwelcher Ports lässt, oder gar selber im Router bei der Portweiterleitung den Exposed Host oder DMZ zumammenklickt... da sträuben sich mir die Haare. Und das ist nur das, was wir hier tagtäglich lesen, der Großteil liegt aber noch weit unter der Oberfläche.

Tommes

 

[Frogman]

Des Weiteren dachte ich, es sei Best-Practice auf jedem Linux-System dem Benutzer root die Rechte für den ssh-Zugang zu entziehen und eine root-Konsole erste über den Umweg eines Logins mit einem normalen User und via su - den root-Zugriff zu gestatten.

In jedem nicht unbedingt - wenn man denn ssh extern nicht verfügbar macht, dann hält sich der Nutzen einer solchen Maßnahme in Grenzen. Abgesehen davon sehe ich schon das Dilemma mit admin/root im DSM - doch grundsätzlich ändert das nichts daran, dass man mit einem neuen Admin-Account, den man selbst einrichtet, arbeiten kann und daneben den admin-Account mit einem starken Passwort (was dann eben auch für root gilt) versehen laufen lassen kann.

 

[magick]

Ich habe auf meiner DS einen user für ssh freigeschaltet (in /etc/passwd /sbin/nologin in /bin/sh ändern, damit du ne shell kriegst).
Danach kannst Du (erst testen root Zugang für ssh in der sshd_conf abschalten.
Dann noch ipkg aufsetzen und sudo installieren.

Sind root und admin eigentlich immer gelinkt? Ich hatte mal das Passwort für admin geändert, aber das root passwort blieb das alte?

 

[goetz]

Hallo,

Sind root und admin eigentlich immer gelinkt?

jein, die Verknüpfung kennen nur Synology eigene Programme (sshd, telnet usw.) , fremde per ipkg installierte Programme kennen diese Verknüpfung nicht.

Gruß Götz