SSH: Root ausgesperrt, kein Zugang über andere User

Status
Für weitere Antworten geschlossen.

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Ich habe eben per SSH eingestellt, dass der Root sich nicht über SSH einloggen darf und habe dafür eingestellt, dass mein Adminaccount (Stefan) das darf. Leider habe ich vergessen, diesem Adminaccount dann auch entsprechende Rechte zu geben und nun komme ich zwar als Stefan per SSH rein, kann dort aber nichts machen, da ich keine Rechte habe.

Hilft hier nur ein Werksreset oder komme ich auch irgendwie über das Webinterface in das Dateisystem des NAS um die Rechte nachträglich zu geben?
 
Zuletzt bearbeitet:

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Sollte es keine andere Möglichkeit geben, so könntest du zumindest über den Aufgabenplaner ein Skript als root ausführen und so die Rechte vergeben.
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Habe leider keine Ahnung von Scripting. Das Script muss die /etc/passwd öffnen und dem root wieder /bin/sh geben
 
Zuletzt bearbeitet:

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Ein Shell-Skript beinhaltet nichts anderes, als die Befehle, die du auch per SSH nutzt. Du könntest z.B. einfach ein Skript anlegen, was die passwd Datei in dein Home-Verzeichnis kopiert. Anschließend bearbeitest du sie und lässt sie dann zurückkopieren.

#!/bin/sh
cp /etc/passwd /volume1/homes/Stefan/
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Das hat funktioniert! /volume1/homes/Stefan/ hat zwar nicht existiert aber ich habe stattdessen einfach meinen Musikordner als Kopierziel angegeben. Datei dann mit Notepad editiert und wieder zurückkopieren lassen, hat 1a funktioniert!

Besten Dank :)
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Nur mal interresse halber, warum sperrt man absichtlich den einzigen Rettungsanker aus? Und wie hast du das überhaupt gemacht.
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Wenn man über das Internet per SSH auf sein NAS zugreifen möchte, bietet es sich laut diversen Quellen an, dem Root den SSH-Zugang zu verweigern, um Bruteforce-Attacken mit dem User "root" zu verhindern, daher wollte ich das machen.

Im File /etc/passwd kann man dem Root den Login verweigern, in dem man beim Root /bin/sh entfernt und /sbin/nologin anfügt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Warum willst du den SSH nach aussen freigeben, wenn es dann doch nur einen kastrierten Zugang gibt mit dem man im Grunde nix machen kann?

Wenn schon, dann besser über ein VPN realisieren, dann kann man auch den root bestehen lassen und muss Port 22 nicht nach aussen hin öffnen.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Erstmal Danke für die Info
Ich weiß auch der Sicherheits Berater der DS will den SSH Zugriff und vor allem den Port umbiegen und macht echt kruse Dinge damit. Wenn du dich aber ein bisschen hier durchs Forum liest dann wirst du feststellen, dass schon eine kleine Stromschwankung ausreicht um das DSM zu zuzerschießen und da wirklich nur root Zugriff auf Systemdaten hat über ssh (admin kann lesen aber nicht schreiben) würde ich lieber mir einen anderen Weg suchen (VPN, anderer Externen Port im Router, etc) als den root so zu kastrieren. Klappt das einbinden einer externen Platte nicht richtig; Ist der Jdownloader falsch konfiguriert und die Daten landen in der Systempartition (und nicht im Volumen) ist ein Anmelden am DSM nicht mehr möglich und dann ist (eventuell) root der einzige der dann wieder platz schaffen kann damit man sich wieder anmelden kann.
 

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Den SSH-Port zu ändern ist auf jedenfall eine gute Idee, wenn man Zugriff auf SSH von außen zulassen möchte. ;) Damit hällt man sich direkt einiges vom Hals.
 

dtv1899

Benutzer
Mitglied seit
09. Aug 2013
Beiträge
104
Punkte für Reaktionen
2
Punkte
18
Ich bin nach dieser Anleitung vorgegangen, wollte dem Root den SSH Zugang verbieten und stattdessen das Konto "Stefan" zum Superuser machen. Hintergrund: Hacker wissen, dass man idR "root" als Login verwendet und nutzen diesen Benutzernamen dann für Bruteforce Attacken, weshalb man einen anderen User nehmen soll, wenn das SSH nach außen offen ist.

Eurer Meinung nach also eine dämliche Idee? Den SSH Port habe ich selbstverständlich geändert.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.703
Punkte für Reaktionen
2.113
Punkte
829
Wenn möglich, würde ich ssh nur im LAN zulassen und root ein vernünftiges PW geben. Wenn nicht, dann ist root nicht über ssh nutzen zu können und dafür mit sudo oder su zu arbeiten ein Weg, den man gehen kann. Alternative: VPN.
 
Zuletzt bearbeitet:

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Also ich hätte extreme Bauchschmerzen das so zu machen wie es da steht, denn wenn ich es richtig verstanden habe werden alle Benutzer die auch dann in der DSM Oberfläche zu sehen sind Superuser. Und dann hätten die auch in der Filestation Zugriff auf die Systemordner (sofern da nicht noch andere Mechanismen in der Programmierung greifen) Root kann sich ja nicht am DSM anmelden oder wenigstens so weitreichende Rechte dass die komplette Benutzersteuerung außer Kraft ist. Dann lieber die automatische Blockierung aktivieren, die greift auch bei ssh, und so gegen eine Brute Force Attacke wehren. Den Port auf einen anderen externen legen, damit die ganzen Bots nichts auf Port 22 finden. Und mir nochmal überlegen ob ich das Progamm wirklich brauche was einen direkten SSH Zugriff auf meine DS braucht und kein VPN verwenden kann.
 

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Siehe Hilfe:
SSH/Telnet unterstützt nur die Anmeldung im System mit root- oder admin-Konten.
Wer nicht im DSM ohnehin schon Admin-Rechte hat kann sich also auch nicht per SSH verbinden und auf die FileStation hat das demnach auch keine Auswirkung.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
@heavygale hast du den Verlinkten Artikel gelesen? Denn dort wird jeder User auf der DS zum root gemacht.
 

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Sucht in dieser nun nach eurem Benutzernamen (wenn ihr bisher nur den Standardadminzugang verwendet habt: erstellt im DSM einen neuen Benutzer mit Administratorrechten; der Benutzername sollte natürlich nicht zu erraten sein)
Jeder Benutzer, der sich nicht einloggen darf, erhält das Kommando bzw. die Shell /sbin/nologin
Folglich bekommt admin (und alle anderen, die sich nicht einloggen sollen) /sbin/nologin, und euer Benutzername entsprechend /bin/sh
Soweit ich das sehe soll man also nur seinen Admin-Account (der nicht "admin" heißt) berechtigen - was aber ja ohnehin der Fall ist, sodass man den Abschnitt "Benutzern den SSH-Zugang erlauben bzw. sperren" eigentlich auslassen können sollte. Das Tutorial ist aber ja auch von 2013, da war das evtl. ja auch noch etwas anders im DSM?
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Egal wie alt er ist. Ich habe ihn auch noch nicht nachgespielt. Dieser Satz (auch wenn man es vielleicht wieder abfangen kann) macht mir Bauchweh wenn man das ganze unter dem Aspekt der Sicherheit macht
Loggt euch daher noch ein letztes Mal als root ein und führt folgenden Befehl aus, damit alle Benutzer Superuser-Rechte erlangen dürfen
 

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Nunja, man hat dann letztendlich ein SSH-Benutzernamen, der nicht admin oder root heißt, der Login ist mit Zertifikaten statt nur Passwörtern geschützt, es wird nicht der Standardport verwendet und über die automatische Blockierung werden IPs gesperrt die es dennoch versuchen. Ich wäre schon sehr überrascht, wenn das dann doch noch schief geht. Sicherer ist es da nur den SSH-Dienst nur im Heimnetz erreichbar zu haben (und somit auch über VPN).
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
automatisch wird niemand root. Einzig wenn der Benutzer auf der Konsole su root absetzt erlangt er root Rechte und diese gelten nur für diese Session. Die Weboberfläche ist davon nicht betroffen. Es werden auch nicht alle User root fähig, nur die die eine Loginshell erhalten.

Gruß Götz
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat