SFTP aktivieren

[caimy]

in der Wiki steht man könne SFTP ganz einfach aktivieren indem man die eine # wegmacht - nur wie mach ich diese Raute weg?

Wikieintrag:

SFTP aktivieren

Ab DSM 3.1 hat man die Möglichkeit SFTP zu aktivieren, indem man eine auskommentierte Zeile in der /etc/ssh/sshd_config wieder aktiviert:

in der Datei /etc/ssh/sshd_config wird das # am Anfang der Zeile entfernt

# override default of no subsystems
#Subsystem sftp /usr/libexec/sftp-server
Subsystem sftp internal-sftp

Quelle: http://www.synology-wiki.de/index.php/Nicht_unterst%C3%BCtzte_Konfigurations%C3%A4nderungen

 

[raymond]

SSH/Telnet auf die NAS:

1) cd /etc/ssh/
2) vi sshd_config
3) Pfeiltasten runter gehen (bis zu der Zeile, dass der Cursor am Anfang der Zeile stehen bleibt)
4) einmal 'x' drücken (danach sollte das '#' gelöscht sein)
5) ':wq' + Enter drücken

 

[Trolli]

Zum Beispiel über den Editor vi:
-> http://www.synology-wiki.de/index.php/Der_Editor_vi

(ok, der raymond war schneller und ausführlicher...)

 

[caimy]

danke für die schnelle und einfach Erklärung
leider geht das SFTP immer noch nicht, obwohl die # jetzt weg ist
muss ich die Diskstation neustarten damit diese änderung aktiv wird?

 

[raymond]

danke für die schnelle und einfach Erklärung
leider geht das SFTP immer noch nicht, obwohl die # jetzt weg ist
muss ich die Diskstation neustarten damit diese änderung aktiv wird?

Glaub auch, dass ein Neustart fällig wird.

 

[caimy]

funktioniert nach Neustart
vielen Dank!

 

[luki83]

hiii,

ich habe da mal eine frage..... muß ich alle # entfernen ???

danke

gruß luki

 

[raymond]

hiii,

ich habe da mal eine frage..... muß ich alle # entfernen ???

danke

gruß luki

Wie es geschriebe steht, von:

#Subsystem sftp internal-sftp

nach:

Subsystem sftp internal-sftp

Also nur die eine Zeile.

 

[luki83]

Hii nochmal,

dummerweise habe ich die ganzen # weggemacht -.-. Kannst du mir sagen, wie ich alles wieder normal hinbekomme (sshd_config)?

danke

gruß luki

 

[raymond]

SSH/Telnet auf die NAS:

1) cd /etc/ssh/
2) vi sshd_config
3) Pfeiltasten runter gehen (bis zu der Zeile, dass der Cursor am Anfang der Zeile stehen bleibt)
4) 'i' drücken (ist der Insert Modus; man sieht keine Änderung)
5) '#' eingeben
6) ESC drücken (um in den allgemeinen Modus aka. Zeilen-Kommando-Modus zurückzukehren)
7) ':wq' + Enter drücken

Ich habe nun mal Synology den Vorschlag unterbreitet, dass die es direkt in DSM aufnehmen.

 

[luki83]

hi danke für die schnelle antwort.
habe noch eine frage. Ich check die nummer 3 nicht so ganz .....
ich würde alle # zeichen auch so wieder eintackern (kommt überall eine # davor oder muss ich bei einpaar eintragungen die # weglassen)?
Ausser natürlich die die ich brauche ;-)

danke

gruß luki

 

[raymond]

Es ist doch eigentlich "idiotensicher" oder nicht (sorry, wenn das eventuell hart formuliert ist)?

Vielleicht brauchst du doch keinen SFTP Server, solltest dich in Linux/vi erstmal einarbeiten oder warten bis Synology das in die DSM integiert hat.

 

[goetz]

Hallo,
hier das Original der Beta 4.0

#       $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#UsePAM no

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
ChrootDirectory none
#ChrootDirectory /var/services/homes/%u
#DenyUsers admin

# no default banner path
#Banner none

# override default of no subsystems
#Subsystem      sftp    /usr/libexec/sftp-server
#Subsystem       sftp    internal-sftp -f DAEMON -l VERBOSE
#Subsystem       sftp    /usr/syno/sbin/sftp-server -l DEBUG3

# the following are HPN related configuration options
# tcp receive buffer polling. disable in non autotuning kernels
#TcpRcvBufPoll yes

# allow the use of the none cipher
#NoneEnabled no

# disable hpn performance boosts.
#HPNDisabled no

# buffer size for hpn to non-hpn connections
#HPNBufferSize 2048


# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server

Gruß Götz

 

[caimy]

@luki83

ich hab die # vom mittleren der drei Einträge weggemacht, also diesem "#Subsystem sftp internal-sftp -f DAEMON -l VERBOSE"

 

[naofireblade]

Ich habe den FTP Server über diese Methode aktiviert, komme nun aber mit jedem User auf das Root Verzeichnis des ganzen Systems, statt auf die für den User definierten Orte. Hat jemand eine Idee, wie die normalen Nutzerrichtlinien übernommen werden können?

 

[raymond]

Ich habe den FTP Server über diese Methode aktiviert, komme nun aber mit jedem User auf das Root Verzeichnis des ganzen Systems, statt auf die für den User definierten Orte. Hat jemand eine Idee, wie die normalen Nutzerrichtlinien übernommen werden können?

Probiere das mal: http://www.debian-administration.org/articles/590

Homes liegen unter /volume1/homes (wenn in der Volume1) also in /etc/ssh/sshd_config:

Match group sftponly
ChrootDirectory /volume1/homes/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

oder wenn diese alle Freigaben sehen sollen eben nur "ChrootDirectory /volume1/"

Wenn es funktioniert kannst du es ja gleich unter http://www.synology-wiki.de/index.php/Nicht_unterstützte_Konfigurationsänderungen#SFTP_aktivieren eintragen.

 

[Spooky_]

Ja, wollte gerade posten, dass man hier vorsichtig sein muss, da jeder User über SSH prinzipiell Zugriff auf alles hat. Das root dir für sftp zu verändern ist zwar schön und gut, aber auch hier hat dann jeder User Zugriff auf alle Ordner in /volume1/ bspw.. Und über SSH hat jeder User dann immer noch Zugriff auf alles.

 

[naofireblade]

Ok jetzt sind ein paar neue Probleme/Fragen aufgetaucht

- ChrootDirectory funktioniert nur, wenn Benutzer-Home-Dienst aktiviert ist?!
- ChrootDirectory ändert nur das Startverzeichnis vom FTP!?! Wenn ich in FileZilla weiter nach oben navigiere, hab ich doch wieder Zugriff auf root Ebene
- ChrootDirectory funktioniert seltsamer Weise nur mit dem admin Account, mit den anderen Accounts nicht, obwohl die Ordner für die User im volume1/homes/ Verzeichnis liegen, hier navigiert Filezilla eben direkt auf root Ebene.
- SSH Login geht nur mit root und admin, bei anderen Usern schließt Putty sich einfach o0 ?

 

[goetz]

Hallo,

- SSH Login geht nur mit root und admin, bei anderen Usern schließt Putty sich einfach o0 ?

alle anderen Nutzer haben keine login-shell in /etc/password, somit kein Zugriff.

Gruß Götz

 

[Spooky_]

Hallo,

alle anderen Nutzer haben keine login-shell in /etc/password, somit kein Zugriff.

Gruß Götz

Für jeden Nutzer legt DSM aber auch einen Eintrag in /etc/passwd an, normalerweise sollten daher alle Nutzer Shell-Zugriff haben und daher auch leider Vollzugriff auf das gesamte System.