Ssh mit Zertifikaten absichern

[Freddy3108]

Hallo Zusammen,
ich habe unter DSM 4.x ssh über ein Zertifikat abgesichert, leider funktioniert dies so nicht mehr ;-(
Die Anleitung unter http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern verstehe ich nicht ganz.
Warum muss man nun ein die ssh Verzeichnisse im Homeverzeichnis anlegen?
Hatte ich vorher nicht!
Und dann welches Homeverzeichnis?
Nehmen wir mal an für den admin möchte man Ssh mit Zertifikaten absichern.
Muss man dann im Homes-Verzeichnis das folgende ausführen?
$ mkdir /.ssh
$ chmod 0700 /.ssh
$ touch /.ssh/authorized_keys
$ chown -R admin /.ssh
$ chmod 0600 /.ssh/authorized_keys

Wenn man sich nun als root anmelden möchte wird dann das Zertifikat des admin verwendet, denn für root gibt es kein Homes-Verzeichnis!

Fragen über Fragen?
Irgendwie hab ich den überblick verloren!

Gruß
Freddy

 

[Tommes]

(Bitte korrigiert mich wenn ich jetzt etwas falsches sage, aber ich bin hier auch noch nicht sehr sattelfest)

Ich habe hier http://www.synology-forum.de/showth...al-Raspberry-Pi-mittels-rsync-auf-DS-sichern! u.a. mal beschrieben, wie ich für den Benutzer "root" ein SSH bzw. RSA-Zertifikat erstellt habe. Es geht also durchaus. Du kannst aber auch jeden anderen Benutzer dafür hernehmen (außer "guest") um ihm dieses Fähigkeiten zu verleihen. root darf halt alles, ist aber aus diesem Grunde auch nicht ganz ungefährlich. Daher würde man, um bei meinem verlinkten Tutorial zu bleiben, lieber einen Benutzer mit weniger Handlungsfreiheiten dafür heranziehen. Aber das darf man als Admin (bzw. root) seiner eigenen DS auch schön selbst entscheiden, daher arbeite ich lieber mit root.

Hilft dir das?

Tommes

 

[goetz]

Hallo,

Wenn man sich nun als root anmelden möchte wird dann das Zertifikat des admin verwendet, denn für root gibt es kein Homes-Verzeichnis!

nein,root hat sein eigenes home Verzeichnis allerdings an einer ganz anderen Stelle, /root. Dementsprechend muß man alle Schritte auch für root machen.

Gruß Götz

 

[Freddy3108]

Hallo Goetz,
ich habe genau wie mit der DSM4.x jetzt bei der DSM5.x folgende Schritte probiert!
1.) Download Putty Key Generator puttygen.exe von der webseite:

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html


2.) Putty Key Generator puttygen.exe starten.


3.) SSH-2 auswählen und Public/Private key generieren.


4.) Privat Key als *.ppk abspeichern.


5.) Auf der Synology box /root/.ssh/authorized_keys erstellen.


6.) chmod 600 /root/.ssh/authorized_keys


7.) Public key von Putty Key Generator kopieren und in /root/.ssh/authorized_keys von synology box einfügen.


8.) /etc/ssh/sshd_config von der Synology box anpassen:

Port xxxxx

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile ~/.ssh/authorized_keys

Danach restart:
synoservicectl --reload sshd

Leider funkt das irgendwie nicht ;-(
Hab ich mal wieder irgendwas übersehen???
Manchmal ist das einfache doch so nah!


Danke vorab
Freddy

 

[goetz]

Hallo,
sieht soweit OK aus. Bekommst Du eine Fehlermeldung, was passiert?

Gruß Götz

 

[Freddy3108]

Hi,
"der entfernte Rechner lehnte unseren Schlüssel ab"
danach kann ich mit dem Passwort einwählen.
Sieht alles so aus als würde die schlüsselaktion nicht gestartet.

Gruß
Freddy

 

[goetz]

Hallo,
womit hast Du den PublicKey in /root/.ssh/authorized_keys eingefügt? Welches ssh Programm benutzt Du? Dort den richtigen Privatekey angegeben?

Gruß Götz

 

[Freddy3108]

Hi,
Ich arbeite einmal mit putty und WINSPC!
Ich habe den public key mit dem Texteditor von WINSPC eingefügt!
Jip ich habe den Privatekey richtig angegeben, sogar nochmal alles neu erstellt und kopiert und eingestellt!
Es ist wie verhext, man alles hat so schön geklappt und dann das!

Ich hab so das gefühl als würde die DSM gar nicht nach einem Schlüssel fragen, putty bzw WINSPC aber einen anbieten!

Das sollte doch in irgendeiner log stehen oder?


Gruß
Freddy


yip habe das noch gefunden

var/log/upstart/ssh.log

Wed Aug 19 15:00:08 CEST 2015
Could not load host key: /etc/ssh/ssh_host_ed25519_key

ja dieses File gibt es nicht, aber ich habe auch nirgendwo erwähnt das dies geladen werden soll

 

[Frogman]

Schau mal in Deine /etc/ssh/sshd_config , was dort für den 'Hostkey' aktiviert ist. Wenn HostKey /etc/ssh/ssh_host_ed25519_key aktiviert ist, dann wurde vielleicht nur der Schlüssel nicht erzeugt, was Du mit

ssh-keygen -A

nachholen kannst.

 

[Freddy3108]

Ich denke mal nichts?


Port xxxxx
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Ciphers and keying
#RekeyLimit default none

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

RSAAuthentication yes
PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile /root/.ssh/authorized_keys

#AuthorizedPrincipalsFile none

 

[goetz]

Hallo,
den Fehler habe ich auch bei jedem boot im Log.

"der entfernte Rechner lehnte unseren Schlüssel ab"

kommt wenn Public und Private Key nicht zueinander passen. In der authorized_keys steht der Schlüssel in einer Zeile? Die Zeile beginnt mit ssh-rsa und endet mit rsa-key-<DATUM>?

Gruß Götz

 

[Freddy3108]

Hi Götz,
also ich habe mit putty folgende zwei Beispiele generiert, mit denen probiere ich hier rum:

private.pkk

PuTTY-User-Key-File-2: ssh-rsa
Encryption: aes256-cbc
Comment: rsa-key-20150819
Public-Lines: 4
AAAAB3NzaC1yc2EAAAABJQAAAIEAg3EGTfnC3x8vNkphtphDA8j2q6YlKYjy4nGi
LI1UPPu7UyEjsXsa3QrwScsl9h+wEDBMDSFmZiMZLGo1a3Cw5SC3UoPnqfHXihCW
jXwzrgAYTl9d6DcEmv6j/ry62WkwesJxJqH7SmBgnUpLuyqcAEkXifs8e/tYDljD
jHeCcoc=
Private-Lines: 8
vl1lp1bWA2YjV6wcPSSv3kVwxMSWFgLKfE4gtUDBo8gsEAbbiUfpEU9e7PA4Z8ph
AP3UNXabrrNucDeGfQsIpVcdPU8uo4IhQtVqHzJR2JRsokE9CZVytb8Fq8UpNdRo
WapDFRdJbOz+maZMSGrxughEKLz7EixcZN0e2iNIb7GXPnGcA8lWXkDhCAMfQ0VM
VMG1I715GAxq/ZSWqMjGQHaTcAT2+++YG4j8VDYzl22cmb/4UeYWlR8JdvI5ZHES
zU4XZ04ptNv7Vhqt/OyWCEzaJFrfyy7Rjc9+eh//kSDzE+ogRiTwv2GT5ytDEfAI
ea651H46D80GtN1u/LFmordMoFhrD9fE4QnsdOKqAH6TLTtWKdV4Y+gTjGQnUpgE
6fmjmP4skaz9wHUKv1VmNRmBQTzmInQsah7KXmXl7S6l0d/QL64CxjrXCeSQImlY
dje6E4W6El5JHt4rh3Pmzg==
Private-MAC: 1c58c00e0f520fa2255e87a323d4ac64c9c26664


und ein public-Key
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20150819"
AAAAB3NzaC1yc2EAAAABJQAAAIEAg3EGTfnC3x8vNkphtphDA8j2q6YlKYjy4nGi
LI1UPPu7UyEjsXsa3QrwScsl9h+wEDBMDSFmZiMZLGo1a3Cw5SC3UoPnqfHXihCW
jXwzrgAYTl9d6DcEmv6j/ry62WkwesJxJqH7SmBgnUpLuyqcAEkXifs8e/tYDljD
jHeCcoc=
---- END SSH2 PUBLIC KEY ----

Aus dem public-Key hab ich folgendes in die authorized_keys einetragen

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAg3EGTfnC3x8vNkphtphDA8j2q6YlKYjy4nGiLI1UPPu7UyEjsXsa3QrwScsl9h+wEDBMDSFmZiMZLGo1a3Cw5SC3UoPnqfHXihCWjXwzrgAYTl9d6DcEmv6j/ry62WkwesJxJqH7SmBgnUpLuyqcAEkXifs8e/tYDljDjHeCcoc= rsa-key-20150819

steht alles in einer Zeile!

in der DSM Menu hab ich noch aes256-cbc eingeschaltet!

Mehr weiß ich nun nicht!

Freddy

 

[goetz]

Hallo,
da hab ich jetzt auch keine Idee mehr. Ich hab auch 2 neue Schlüsselpaare generiert, eingetragen und kann mit 3 privaten Schlüsseln problemlos verbinden (3 Public-Keys auf der DS hinterlegt).
G
ruß Götz

 

[flugwaps]

Hallo Freddy,
konntest Du Dein Problem lösen ?
Mir geht es seit 24h genauso, obwohl es vorher Monate lang lief