Secure Shell und Public/Private Key Authentifizierung

Status
Für weitere Antworten geschlossen.

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hallo zusammen,
für alle die es interessiert habe ich einen Wiki Beitrag zum Thema Anmeldung an SSH mit Schlüsseln geschrieben.
Hoffe man kann's brauchen

Gruss

tobi
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Sehr schöner Artikel!
Auch wenn ich mir gewünscht hätte wenn Synology an eine solche Möglichkeit direkt in der Firmware gedacht hätte... naja man kann halt nicht alles haben.

MfG Matthieu
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Super Beitrag!

Itari
 

Wessix

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
328
Punkte für Reaktionen
0
Punkte
22
Web zugriff nach ausführen von Wiki anleitung?

Hallo,
zuerst habe gesehen, das es hier noch eine andere Methode beschrieben wird, und werde diese mal ausprobieren.
Ich hatte vor kurzem folgendes Problem:
wollte meinen Zugriff mit Putty laut der Anleitung im Wiki:

http://www.synology-wiki.de/index.php/Putty_ohne_Passwort_einloggen

automatisieren, sodass ich nciht jedesmal benutzer und Kennwort eingeben muss.
Hat wunderbar funktioniert. blos konnte ich danach nichtmehr von außerhalb des lokalen Netzes auf meine DS zugreifen. Könnte das mit dieser Private/public Key geschichte und den Veränderungen an authorized_keys zu tun haben?
Ich frage etwas vorsichtig, weil ich auch ein apar andere dinge verändert hatte und gar nicht gleich gemerkt habe das der Zugriff von außen nicht mehr ging.

Das andere war ein Reconnect script für pyload, das ich aber jetzt wieder am laufen habe und an dem es scheinbar nicht liegt.

Oder kann sich auch einfach nur der Router "aufgehängt" haben, nach Rückgängigmachen meiner Änderungen funktionierte es dann erst nach einem Reboot des Routers.

Was mich auch in die Richtung Router denken lässt, ist dass mir DynDNS.org und acuh die DS selbst hartnäckig eine andere Externe Ip angezeigt haben als Wieistmeineip.de

Ich kann das ganze jetzt nochmal durchprobieren, aber vielleicht weiß ja jemand woran das liegt.

Grüße Wessix
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ich greife problemlos mit Cert von ausserhalb zu
 

wolewo

Benutzer
Mitglied seit
24. Mrz 2009
Beiträge
293
Punkte für Reaktionen
5
Punkte
24
Hallo zusammen,
ich versuche schon seit drei Tagen das Ftps mit Private Key Authentifizierung für meine Benutzer zum laufen zu bringen.
Ich bin nach dieser Anleitung hier vorgegangen. http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern
Beim Benutzer Admin funktioniert das wunderbar, aber bei den Benutzer bringe ich das nicht zum laufen.
Ich benutze eine DS1010+ mit der neusten Firmware.
Hat jemand noch eine Idee wo vielleicht der Hund begraben sein könnte.
Gruss
Daniel
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Beim Benutzer Admin funktioniert das wunderbar, aber bei den Benutzer bringe ich das nicht zum laufen.
"Normale" User haben per default keine gültige Loginshell und dürfen sich daher ned anmelden via telnet oder ssh. Öffne mal die Datei /etc/passwd und such deinen User. Dort steht dann hintendran wohl /sbin/nologin. Erstetz das mit /bin/sh
 

wolewo

Benutzer
Mitglied seit
24. Mrz 2009
Beiträge
293
Punkte für Reaktionen
5
Punkte
24
@jahlives
danke für die schnelle Antwort.
Also die Benutzer brauchen ja meine Station um ihre Daten zu sichern, da nehme ich jetzt einmal an das sie nicht versuchen mit telnet oder sonst wie meine Station abzuschiessen.
So wie ich das verstanden habe, ist das mit den Schlüsseln eine relativ sichere Sache um auf die Station zuzugreifen.
Gruss
Daniel
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
So wie ich das verstanden habe, ist das mit den Schlüsseln eine relativ sichere Sache um auf die Station zuzugreifen.
Das ist die sicherste Möglichkeit des Zugriffs, weil dabei keinerlei Bruteforce Attacken auf das Passwort mehr möglich sind. Und Schlüssel mit Längen jenseits von 1024bit kann auch die NSA ned so auf die Schnelle knacken ;)
 

wolewo

Benutzer
Mitglied seit
24. Mrz 2009
Beiträge
293
Punkte für Reaktionen
5
Punkte
24
ich habe jetzt mal ein test Benutzer gemacht, habe die /etc/passwd geändert und habe einen Schlüssel generiert und ihn bei diesem Benutzer eingetragen.
Die Anmeldung funktioniert wunderbar, aber leider sieht jetzt der Test Benutzer alle Verzeichnisse auf der Station :confused::confused::confused:
Was mache ich jetzt wieder falsch??
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Der User kann alles sehen/ändern/löschen wo er die entsprechenden Rechte hat. Diese Rechte sind Filesystemrechte, welche du nicht via DSM setzen kannst. Die muss man direkt auf der Konsole setzen.
Mach doch mal einen Test:
Melde dich als root an und erstelle ein Testverzeichnis
Code:
mkdir /volume1/test && chmod 0700 /volume1/test
Dann meldest du dich als der andere Nutzer an und versuchst dir den Inhalt des Verzeichnisses anzuzeigen:
Code:
ls /volume1/test
das muss dann einen Fehler geben
 

wolewo

Benutzer
Mitglied seit
24. Mrz 2009
Beiträge
293
Punkte für Reaktionen
5
Punkte
24
Habe ich gemacht und siehe da, in Filezilla (mit Key) sehe ich den test Ordner aber ich kann ihn nicht öffnen.
Jetzt wird es für mich als Anfänger aber schwierig. Wie setze ich jetzt die Rechte richtig, damit Benutzer A auch nur seine Verzeichnisse benutzen kann?
Kann ich das via WinSCP machen?
Gruss Daniel
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat