SSH "noramle" benutzer in DSM 6

[tokka]

Moin,


nachdem ich eine keybasierte Anmeldung für SSH-Verbindungen an DS nun hinbekommen habe, stellt sich mir die Tatsache in den Weg, dass der entsprechende Benutzer(-Konto) nicht dauerhaft in der Gruppe Admin verbleiben soll, aber standardmässig ja nur dies für SSH toleriert wird. Wie ich anderswo las, kann in der /etc/passwd der Eintrag beim entsprechenden Nutzer von nologin auf sh gesetzt werden und gut ist's (sei es - aber denkste). Wenn der Benutzer in der Admin-Gruppe ist, steht da auch der sh-Eintrag, sobald nicht mehr der nologin. Wenn ich mit anderem (berechtigtem Benutzer und sudo) die Einstellung selbst ändere passiert aber nichts bzw. kann mich trotzdem nicht einloggen ("Permission denied, please try again.").

Hier im Forum habe ich - und im Netz auch - nahezu nichts in der Richtung gefunden was über das einfach Ändern von nologin auf sh hinausgeht (hab hier gerade nur n Raspi laufen bei miserabler iNet-Anbindung, iPhone Volumen verbraten für den Monat ).

Hat jemand des Rätsels Lösung?

LG und n par schöne zwischen-den-Jahren-Tage
Tokka

DS1815+ mit DSM 6.Irgendwas und dem xxx.7er Update ausstehend (.6 aktiv)

 

[Nomad]

Sry, dass ich mich hier reinhänge aber wie hast du non-root User mit Key hinbekommen?

Nachdem ich ein non-root User in die Admin Gruppe reingepackt habe kann ich mich mit Passwort einloggen aber nicht mit Key. Obwohl alle Dateien am Platz sind ist nur für root ein passwortloses Login möglich. Für normale User werde ich immer noch nach Passwort gefragt.

 

[Fusion]

Habt ihr mal die Einstellungen hier durchgeschaut
https://forum.synology.com/enu/viewtopic.php?t=49585
oder eben per ipkg/opkg eine anderen openssh version installiert.

Und hier
https://andidittrich.de/2016/03/how...-on-synology-dsm-6-0-for-non-admin-users.html
Das von passwort auf cert sollte analog zum Vorgehen bei root funktionieren.

Troubleshooting
https://forum.synology.com/enu/viewtopic.php?f=90&t=116726&p=441504#p427355

 

[Nomad]

Oh, also ist es keine Trivialität wie ich dachte.

Sonst verdongelt man ja ein System gegen Root Logins egal ob mit Key oder Passwort. Es ist das erste mal, dass hier nur root reingelassen wird und alle anderen nur mit Mühe.

Wie vertrauenswürdig ist ipkg? MS, Debian, Ubuntu, Google, Samsung, Amazon kenne ich vom Namen her ebenso wie Synology und habe kein Problem von denen signierte Programme/Pakete einzuspielen aber ipkg kann ich gar nicht einordnen?

 

[Fusion]

Trivial ist relativ und Vertrauen ist subjektiv. Das kannst du dir nur selbst beantworten durch Meinungsbildung.
Wenn du aber bei den genannten Firmen kein Problem hast (bei zwar signierten aber eigentlich unbekannten / closed source Paketinhalten und Datenverarbeitung) .....

 

[PsychoHH]

Für normale User werde ich immer noch nach Passwort gefragt.

Sicher das der key im richtigen Verzeichnis ist und die Rechte korrekt sind?

-i bei ssh mal probiert?

 

[Nomad]

Mit trivial meinte ich "Häkchen hier" oder "vi /etc/xy".

Für die Lösung muss ein zusätzliches Paketmanagement, nicht vom Hersteller her, um einen anderen SSH Daemon zu installieren. Ist das noch relativ?

Ansonsten, ich wollte ich den fleissigen Menschen bei ipkg nicht auf die Füße treten in dem ich nach ipkg frage. Damt wollte ich nur ausdrücken, dass ich mich mit denen nicht auseinandergesetzt habe...

Geht das wirklich so schwer? Hat Synology extra einen modifizierten SSH Daemon gebaut um Non-root mit Key auszusperren? Wenn ja, warum?

 

[Fusion]

Nach der Definition gibt es eine triviale Lösung, weil es eben auch mit Häkchen und config files erledigt sein sollte.
Ist allerdings schon ein paar Monate her, dass ich zuletzt mal mit einem user-ssh-cert login getestet hatte, weil ich das im Normalfall nicht benötige.
Deshalb kann ich dafür eben meine Hand nicht ins Feuer legen, ob aktuell noch mir nicht bewusste Hindernisse entstanden sind.

 

[tokka]

Moin,

gestern habe ich es nicht mehr geschafft, darum nun erst.
Also wenn ich das in der Eile und mit durch Erkältungskrankheit etwas trägerem Geiste nun nicht falsch aufgegriffen habe:
Ein modifiziertes SSH habe ich nicht im Einsatz.
Ich bin eigentlich & hauptsächlich nur durch Tommes' Tutorial gelaufen:
http://www.synology-forum.de/showth...al-Raspberry-Pi-mittels-rsync-auf-DS-sichern!
Außerdem: https://help.ubuntu.com/community/SSH/OpenSSH/Keys
Nach ein paar Anläufen hat es dann auch alles hingehauen (nach Ausprobieren verschiedener ssh_config Einstellungen, Rechtemanagement).

Mein oben geschriebenes Problem hat sich zumindest für meinen jetzigen Stand erübrigt: rsync funktioniert, trotz der Tatsache dass der entsprechende Benutzer nicht mehr in der Admingruppe ist (hätte ich nicht gedacht, da ein Teil der Verbindung wohl über SSH geht - aber dafür kenne ich die Materie zu wenig wieso das eine geht aber das andere nicht).

Bestimmt aber ist die eigentliche Fragestellung für den einen oder anderen doch aber bestimmt noch interessant - falls also jemand weiß wie man SSH hinbekommt für Nutzer die NICHT der Admin-Gruppe angehören bitte einen sachdienlichen Hinweis hinterlassen

Schön' Aamd!