SSH: Root ausgesperrt, kein Zugang über andere User

[dtv1899]

Ich habe eben per SSH eingestellt, dass der Root sich nicht über SSH einloggen darf und habe dafür eingestellt, dass mein Adminaccount (Stefan) das darf. Leider habe ich vergessen, diesem Adminaccount dann auch entsprechende Rechte zu geben und nun komme ich zwar als Stefan per SSH rein, kann dort aber nichts machen, da ich keine Rechte habe.

Hilft hier nur ein Werksreset oder komme ich auch irgendwie über das Webinterface in das Dateisystem des NAS um die Rechte nachträglich zu geben?

 

[heavygale]

Sollte es keine andere Möglichkeit geben, so könntest du zumindest über den Aufgabenplaner ein Skript als root ausführen und so die Rechte vergeben.

 

[dtv1899]

Habe leider keine Ahnung von Scripting. Das Script muss die /etc/passwd öffnen und dem root wieder /bin/sh geben

 

[heavygale]

Ein Shell-Skript beinhaltet nichts anderes, als die Befehle, die du auch per SSH nutzt. Du könntest z.B. einfach ein Skript anlegen, was die passwd Datei in dein Home-Verzeichnis kopiert. Anschließend bearbeitest du sie und lässt sie dann zurückkopieren.

#!/bin/sh
cp /etc/passwd /volume1/homes/Stefan/

 

[dtv1899]

Das hat funktioniert! /volume1/homes/Stefan/ hat zwar nicht existiert aber ich habe stattdessen einfach meinen Musikordner als Kopierziel angegeben. Datei dann mit Notepad editiert und wieder zurückkopieren lassen, hat 1a funktioniert!

Besten Dank

 

[heavy]

Nur mal interresse halber, warum sperrt man absichtlich den einzigen Rettungsanker aus? Und wie hast du das überhaupt gemacht.

 

[dtv1899]

Wenn man über das Internet per SSH auf sein NAS zugreifen möchte, bietet es sich laut diversen Quellen an, dem Root den SSH-Zugang zu verweigern, um Bruteforce-Attacken mit dem User "root" zu verhindern, daher wollte ich das machen.

Im File /etc/passwd kann man dem Root den Login verweigern, in dem man beim Root /bin/sh entfernt und /sbin/nologin anfügt.

 

[Puppetmaster]

Warum willst du den SSH nach aussen freigeben, wenn es dann doch nur einen kastrierten Zugang gibt mit dem man im Grunde nix machen kann?

Wenn schon, dann besser über ein VPN realisieren, dann kann man auch den root bestehen lassen und muss Port 22 nicht nach aussen hin öffnen.

 

[heavy]

Erstmal Danke für die Info
Ich weiß auch der Sicherheits Berater der DS will den SSH Zugriff und vor allem den Port umbiegen und macht echt kruse Dinge damit. Wenn du dich aber ein bisschen hier durchs Forum liest dann wirst du feststellen, dass schon eine kleine Stromschwankung ausreicht um das DSM zu zuzerschießen und da wirklich nur root Zugriff auf Systemdaten hat über ssh (admin kann lesen aber nicht schreiben) würde ich lieber mir einen anderen Weg suchen (VPN, anderer Externen Port im Router, etc) als den root so zu kastrieren. Klappt das einbinden einer externen Platte nicht richtig; Ist der Jdownloader falsch konfiguriert und die Daten landen in der Systempartition (und nicht im Volumen) ist ein Anmelden am DSM nicht mehr möglich und dann ist (eventuell) root der einzige der dann wieder platz schaffen kann damit man sich wieder anmelden kann.

 

[heavygale]

Den SSH-Port zu ändern ist auf jedenfall eine gute Idee, wenn man Zugriff auf SSH von außen zulassen möchte. Damit hällt man sich direkt einiges vom Hals.

 

[dtv1899]

Ich bin nach dieser Anleitung vorgegangen, wollte dem Root den SSH Zugang verbieten und stattdessen das Konto "Stefan" zum Superuser machen. Hintergrund: Hacker wissen, dass man idR "root" als Login verwendet und nutzen diesen Benutzernamen dann für Bruteforce Attacken, weshalb man einen anderen User nehmen soll, wenn das SSH nach außen offen ist.

Eurer Meinung nach also eine dämliche Idee? Den SSH Port habe ich selbstverständlich geändert.

 

[dil88]

Wenn möglich, würde ich ssh nur im LAN zulassen und root ein vernünftiges PW geben. Wenn nicht, dann ist root nicht über ssh nutzen zu können und dafür mit sudo oder su zu arbeiten ein Weg, den man gehen kann. Alternative: VPN.

 

[heavy]

Also ich hätte extreme Bauchschmerzen das so zu machen wie es da steht, denn wenn ich es richtig verstanden habe werden alle Benutzer die auch dann in der DSM Oberfläche zu sehen sind Superuser. Und dann hätten die auch in der Filestation Zugriff auf die Systemordner (sofern da nicht noch andere Mechanismen in der Programmierung greifen) Root kann sich ja nicht am DSM anmelden oder wenigstens so weitreichende Rechte dass die komplette Benutzersteuerung außer Kraft ist. Dann lieber die automatische Blockierung aktivieren, die greift auch bei ssh, und so gegen eine Brute Force Attacke wehren. Den Port auf einen anderen externen legen, damit die ganzen Bots nichts auf Port 22 finden. Und mir nochmal überlegen ob ich das Progamm wirklich brauche was einen direkten SSH Zugriff auf meine DS braucht und kein VPN verwenden kann.

 

[heavygale]

Siehe Hilfe:

SSH/Telnet unterstützt nur die Anmeldung im System mit root- oder admin-Konten.

Wer nicht im DSM ohnehin schon Admin-Rechte hat kann sich also auch nicht per SSH verbinden und auf die FileStation hat das demnach auch keine Auswirkung.

 

[heavy]

@heavygale hast du den Verlinkten Artikel gelesen? Denn dort wird jeder User auf der DS zum root gemacht.

 

[heavygale]

Sucht in dieser nun nach eurem Benutzernamen (wenn ihr bisher nur den Standardadminzugang verwendet habt: erstellt im DSM einen neuen Benutzer mit Administratorrechten; der Benutzername sollte natürlich nicht zu erraten sein)

Jeder Benutzer, der sich nicht einloggen darf, erhält das Kommando bzw. die Shell /sbin/nologin

Folglich bekommt admin (und alle anderen, die sich nicht einloggen sollen) /sbin/nologin, und euer Benutzername entsprechend /bin/sh

Soweit ich das sehe soll man also nur seinen Admin-Account (der nicht "admin" heißt) berechtigen - was aber ja ohnehin der Fall ist, sodass man den Abschnitt "Benutzern den SSH-Zugang erlauben bzw. sperren" eigentlich auslassen können sollte. Das Tutorial ist aber ja auch von 2013, da war das evtl. ja auch noch etwas anders im DSM?

 

[heavy]

Egal wie alt er ist. Ich habe ihn auch noch nicht nachgespielt. Dieser Satz (auch wenn man es vielleicht wieder abfangen kann) macht mir Bauchweh wenn man das ganze unter dem Aspekt der Sicherheit macht

Loggt euch daher noch ein letztes Mal als root ein und führt folgenden Befehl aus, damit alle Benutzer Superuser-Rechte erlangen dürfen

 

[heavygale]

Nunja, man hat dann letztendlich ein SSH-Benutzernamen, der nicht admin oder root heißt, der Login ist mit Zertifikaten statt nur Passwörtern geschützt, es wird nicht der Standardport verwendet und über die automatische Blockierung werden IPs gesperrt die es dennoch versuchen. Ich wäre schon sehr überrascht, wenn das dann doch noch schief geht. Sicherer ist es da nur den SSH-Dienst nur im Heimnetz erreichbar zu haben (und somit auch über VPN).

 

[goetz]

Hallo,
automatisch wird niemand root. Einzig wenn der Benutzer auf der Konsole su root absetzt erlangt er root Rechte und diese gelten nur für diese Session. Die Weboberfläche ist davon nicht betroffen. Es werden auch nicht alle User root fähig, nur die die eine Loginshell erhalten.

Gruß Götz