ssh-Anmeldung nur mit Admin-Rechten?

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
Ich will mit Back in Time v1.3.1 Backups auf meine neue DS420+ machen. Dafür habe ich den User Backup angelegt und für die Testphase zum Mitglied von admninistrators gemacht. ssh funktioniert:

Bash:
LOCAL_USER@LOCAL_RECHNER:~$ ssh Backup@?
Enter passphrase for key '/home/LOCAL_USER/.ssh/id_rsa':

Synology strongly advises you not to run commands as the root user, who has
the highest privileges on the system. Doing so may cause major damages
to the system. Please note that if you choose to proceed, all consequences are
at your own risk.

Backup@DS420:~$

Jetzt habe ich Backup aus aus der Gruppe administrators genommen und ich kann mich nicht mehr anmelden:

Bash:
LOCAL_USER@LOCAL_RECHNER:~$ ssh Backup@LOCAL_USER
Enter passphrase for key '/home/LOCAL_USER/.ssh/id_rsa':

Synology strongly advises you not to run commands as the root user, who has
the highest privileges on the system. Doing so may cause major damages
to the system. Please note that if you choose to proceed, all consequences are
at your own risk.

Permission denied, please try again.
Connection to LOCAL_USER closed.
LOCAL_USER@LOCAL_RECHNER:~$

Kann man sich wirklich nur mit Admin-Rechten via ssh anmelden? Dann würde es ja gar keinen Sinn machen für das Backup auf der DS extra einen user anzulegen...
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
967
Punkte für Reaktionen
102
Punkte
69
Soweit mir bekannt, ist das so.
Ich glaube frueher war es nicht so. Aber es macht aus meiner Sicht auch Sinn ssh auf Admins einzuschraenken denn ein normaler Benutzer hat auf einem Server per ssh nichts verloren.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154
Das ist ab DSM 6.2.2 geändert worden, wenn mich mein Gedächtnis nicht täuscht...
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Er hat DSM7 ... da wurde ja bei den Rechten auch nochmal alles komplett verbaut umgebaut und verschärft.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
@himitsu
Was den Zugriff auf SSH angeht, hat sich eigentlich nichts geändert. Das ist noch alles so wie unter DSM 6.x. Ich hab die letzten Tage viel Zeit auf der Konsole verbracht, daher bin ich mir da relativ sicher.
 

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
Aber es macht aus meiner Sicht auch Sinn ssh auf Admins einzuschraenken denn ein normaler Benutzer hat auf einem Server per ssh nichts verloren.

Ein eigener Benutzer für Backups mach keinen Sinn? :oops:
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Doch, aber es gibt ja auch andere Wege als Backups über ssh zu fahren.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Wenn du z.B. deinen Admin-Account nutzt, dann kennt/verwendet das Backupprogramm dessen Zugriffsdaten und hat somit auch volle Rechte auf der DS ... für Hacker/Würmer/usw. also das Beste, was man für sie vorbereiten kann. ;)

Das Selbe gilt auch für permanente Netzwerkfreigaben auf dem PC, für Synology-Apps auf Handy und Co. usw.
 

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
Doch, aber es gibt ja auch andere Wege als Backups über ssh zu fahren.

Ich bin für konstruktive Vorschläge dankbar. Nach längerer Diskussion musste ich leider feststellen, dass meine Backup-Spezifikationen von den Synology-Paketen nicht erfüllt werden, von Back in Time aber schon - und Back in Time nutzt ssh.

Wenn du z.B. deinen Admin-Account nutzt, dann kennt/verwendet das Backupprogramm dessen Zugriffsdaten und hat somit auch volle Rechte auf der DS ... für Hacker/Würmer/usw. also das Beste, was man für sie vorbereiten kann. ;)

...deshalb der Backup-Nutzer mit eingeschränkten Rechten! Dass das nicht geht, macht mich sehr ratlos...
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Ja, da geht das leider aktuell nicht viel anders.

Du könntest vielleicht noch den Weg über VirtualDSM oder eine andere Linux-VM oder Docker gehen, wo du dir über SMB aus DS als Verzeichnis einbindest und das als Backupziel nutzt.



Irgendwann soll für Mac das Synology-Backup nochmal überarbeitet werden, vor allem für Live-BareMetalBackups.

Die wollen dann auch sowas ähnlich wie das Changed Block Tracking (CBT) im Linux verwenden (weiß grad nicht wie es im Mac heißt), aber Apple hatte da mit den Lizenzen rumgemuckert, womit man das nun erstmal für Linux umsetzt, mit dem Hintergedanken es dann auch gleich für ein Vollbackup des eigenen Linux (DSM) nutzen zu können.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
@wired2051

Laut einem Zitat aus deinem anderen Thread
Eigentlich suche ich ja so etwas wie rsnapshot, eine automatisierbare inkrementelle Datensicherungen mit Hardlinks (platzsparend) nach dem Generationenprinzip.
… suchst du also sowas hier. Da ich den Thread nur quergelesen habe, noch die Frage, ob die Daten nur innerhalb deines NAS bzw. auf einer angeschlossenen USB-Festplatte nach dem Generationenprinzip angelegt werden sollen, oder willst du die Daten deines PC über SSH vom NAS abholen lassen (also ein Pull-Backup) oder eher die Daten von deinem PC aus auf das NAS bringen (Push-Backup)?
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
oder willst du die Daten deines PC über SSH vom NAS abholen lassen (also ein Pull-Backup)
Hier wäre es egal, ob das Anmelden beim SSH in der DS nicht geht, da hier ja der SSH-Server im PC genutzt wird. ;)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Genau deshalb frage ich. Ich habe auch die Erfahrung gemacht, das es von den Berechtigungen her einfacher ist, wenn man Daten von einem Remote Server auf die DS zu zieht (Pull), als Daten von einer DS auf einen Remote Server zu schieben (Push). Jedenfalls unter Verwendung von SSH…
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Bisher [ … ] nutze ich rsync als Daemon auf der DS, Aufruf durch cron. Das ist dann Push?
Wenn du so die Daten von deinem PC auf deine DS holst, dann ich das pull - du ziehst die Daten ja auf die DS. Würdest du die Daten von deinem PC aus auf die DS schieben, dann wäre das push. Nur damit wir die Begrifflichkeiten geklärt haben. Ich hatte dich anfänglich eher so verstanden, das du von deinem PC aus das Backup steuern möchtest, nicht von der DS aus.

Macht imho Sinn, denn warum sollte ein Backup angestossen werden, wenn die Quelle offline ist?
Naja… die Quelle ist ja dein PC, oder? Man kann solch ein Backup auch anstoßen, wenn man im Vorfeld ein WOL durchführt.

Wie dem auch sei. Wenn du noch ein wenig Geduld hast, dann könnte es vielleicht bald eine App geben, die deinen Anforderungen entsprechen könnte. Also eine über SSH ausgelöste, dateibasierte, unverschlüsselte rsync Datensicherung inkl. Versionierung; basierend auf Hardlinks und somit ohne spezielle Software lesbar. On Top würde noch eine WOL und Shutdown Funktion hinzu kommen. Was meinst du… wäre das was für dich?
 

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
Ich hatte dich anfänglich eher so verstanden, das du von deinem PC aus das Backup steuern möchtest, nicht von der DS aus.

Genau genommen dachte ich bisher, es geht nur push - von Quelle auf Ziel. Dass rsync mit Daemon auf der DS technisch pull ist, wusste ich nicht. Ich steuere das Backup durch regelmässigen Script-Aufruf von rsync durch cron vom PC aus. Wenn der PC aus ist, gibt es kein Backup - ich dachte, das ist push.

Aber grundsätzlich ist mir das egal. Mir ist wichtig: Zugriff auch ohne spezielle Software und nach Generationenprinzip / versioniert.

Wenn du noch ein wenig Geduld hast, dann könnte es vielleicht bald eine App geben, die deinen Anforderungen entsprechen könnte. Also eine über SSH ausgelöste, dateibasierte, unverschlüsselte rsync Datensicherung inkl. Versionierung; basierend auf Hardlinks und somit ohne spezielle Software lesbar. On Top würde noch eine WOL und Shutdown Funktion hinzu kommen. Was meinst du… wäre das was für dich?

Klingt nicht uninteressant. Aber App klingt für mich nach Telefon? Und wieso soll ich Geduld haben? Suchst Du Beta-Tester? Und wenn ssh nur mit Admin-Rechten geht, habe ich ein Sicherheitsproblem (s.o.).

Die DS ist bei mir immer an, keine Ruhezeit, da ich sie auch als Speicher für meinen Receiver (Dreambox, auch Linux) nutze. Wake on LAN benötige ich also nicht (ist das nicht auch wieder ein Sicherheitsrisiko?).

Ich würde ja auch, wie früher rsnapshot nutzen, nur bietet mir Back in Time eine komfortable Navigation durch den Verzeichnisbaum des Backups.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Wir kommen hier langsam durcheinander…

Ich steuere das Backup durch regelmässigen Script-Aufruf von rsync durch cron vom PC aus

Also doch vom PC aus und nicht von der DS aus. Das wäre dann in der Tat ein Push Backup.
Daher nochmal für‘s Protokoll. Deine Daten liegen auf deinem PC und du willst diese auf die DS bringen. Dazu baust du von deinem PC aus eine SSH Verbindung in Richtung DS auf, richtig? Dann lässt du von deinem PC aus mittels cron einen rsync ausführen, der die Daten von deinem PC (Quelle) in Richtung DS (Ziel) übertragen soll, richtig? Auf der DS selber sollen dann Versionen deiner regelmäßigen Sicherungen angelegt werden, richtig?

Kurze Pause...

Also gut. Damit der rsync von deinem PC auf der DS genug Rechte bekommt, muss dein SSH Benutzer über entsprechende Berechtigungen verfügen um auf die DS schreiben zu dürfen. Und da laut Synology neben root ja nur Benutzer aus der Gruppe der Administratoren Zugriff per SSH erhalten, wirst du immer das Problem haben, das dein Benutzer eben kein „einfacher„ Benutzer sein kann.

Nochmal kurze Pause…

Die App, von der ich sprach wird ein Paket, oder besser gesagt, eine 3rdParty Anwendung für den DSM sein, welche du über das Paketzentrum des DSM installieren kannst... wenn es denn soweit ist.

Mit dieser App kannst du dann den umgekehrten Weg gehen, indem du eben kein Push Backup, sondern ein Pull Backup durchführst. Das läuft dann genau umgekehrt ab. Von deiner DS aus wird eine SSH Verbindung in Richtung deines PCs aufgebaut. Anschließend kannst du entweder manuell, oder auch automatisiert über den DSM Aufgabenplaner (was ja nichts anderes als cron ist) ein rsync Script als root ausführen, der die Daten von deinem PC (Quelle) abholt und auf der DS (Ziel) ablegt. Der Große Vorteil ist hierbei, das du für die SSH Verbindung nichtzwangsläufig einen Benutzer mit Administrationsrechten benötigst, sondern nur einen, der befähigt ist, auf die Daten deines PCs zuzugreifen. Das kann dann durchaus auch ein „einfacher" Benutzer mit den nötigen Rechten sein.

Ich hoffe, ich konnte das jetzt richtig stellen und wir sind jetzt auf einer Linie.
 

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
Korrekt. Und kurze Pause... Korrekt. ;) Das Paket klingt interessant. Wann wird es wohl kommen, in Tagen, Wochen oder Monaten? Bis jetzt habe ich mich mit 3rdParty Paketen noch nicht beschäftigt: brauche ich eine spezielle Quelle? cphub.net? Gibt es schon einen Namen?

Mit dieser App kannst du dann den umgekehrten Weg gehen, indem du eben kein Push Backup, sondern ein Pull Backup durchführst. Das läuft dann genau umgekehrt ab. Von deiner DS aus wird eine SSH Verbindung in Richtung deines PCs aufgebaut. Anschließend kannst du entweder manuell, oder auch automatisiert über den DSM Aufgabenplaner (was ja nichts anderes als cron ist) ein rsync Script als root ausführen, der die Daten von deinem PC (Quelle) abholt und auf der DS (Ziel) ablegt.

Und wenn der PC / die Quelle ausgeschaltet ist, gibt es bei einem Pull-Backup nur eine Fehlermeldung ins Log auf der DS und gut?

Gibt es eine GUI mit dem ich z. B. eine Datei oder ein Verzeichnis in mehreren Sicherungen angezeigt bekomme ohne mich durch die Ebenen der Verzeichnisse klicken zu müssen? Das ist aus meiner Sicht einer der Vorteile von Back in Time gegenüber rsnapshot.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Du mußt in der DS erst das Log aktivieren, sonst gibt es zumindestens im Aufgabenplaner kein Log / Info zu den letzten Ausführungen.
(ausgenommen die Aufgaben selber speichern ihr Log selber irgendwo hin ... das oben betrifft nur das, was die Aufgaben auf stdout/errout schreiben)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Ich rede mich hier wieder um Kopf und Kragen, aber gut…

Ja, die App hat bereits einen Namen (wird aber noch nicht verraten), verfügt über eine GUI über die man Aufträge anlegen kann, kann lokale Backups auf interne Volumes oder extern angeschlossene USB-Datenträger, kann push- und pull Backups über SSH (passwortlose RSA Authentifizierung), kann WOL; also Remote Server wecken, rsync ausführen, und danach den Remote Server wieder schlafen legen, kann Versionen auf Basis von Hardlinks anlegen, Sicherungsprotokolle und Systemprotokolle schreiben und anzeigen, und und und… ABER … und jetzt musst du stark sein… es wird keine Eierlegen Wollmilchsau werden, sondern sich auf das wesentliche beschränken. So Dinge wie das Anzeigen von Dateien aus mehreren Versionierten Verzeichnissen wird es nicht geben. Dafür musst du dann z.B. die FileStation bemühen. Ebenso fehlen eine ganze Reihe weiterer Annehmlichkeiten, was aber DSM 7 geschuldet ist. Es wird so eine Mischung aus 50% klickibunti und 50% Handarbeit. Wird nicht jedem gefallen, aber damit müssen die Leute dann leben. Auch will ich das Rad nicht neu erfinden, sondern nur eine Alternative anbieten.

Wann es kommt? Anvisiert habe ich irgendann in den nächsten 2 Wochen. Bis dahin möchte ich eine erste Beta rausbringen. Wie gesagt… eine BETA Version. Vermutlich wird das auch über CPHub laufen. Ob es am Ende dann dafür reicht, das aus der Beta eine Final wird, hängt einerseits vom Feedback der Benutzer ab, anderseits von KungFu meiner Programmierkünste.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat