SSH-Schlüssel von DS entfernen

[PeterPanther]

Hallo.

Ich habe einen SSH-Schlüssel mittels Raspberry Pi erstellt und auf der DS gespeichert (siehe hier: https://www.synology-forum.de/threa...ausschalten-statt-standby.124531/post-1048412 )

Nun möchte ich den wieder entfernen. Kann mir jemand sagen, wie das geht?

Weitere Verständnisfrage: Wenn ich SSH mittels der DS-Oberfläche deaktiviere, müsste doch eigentlich ein Zugriff so oder so unmöglich sein? Ist der SSH-Schlüssel unbrauchbar, sobald ich den dazugehörigen Benutzer lösche?

 

[Tommes]

Hi!
Ohne mir jetzt das verlinkte Video in deinem o.a. Link angeschaut zu haben und ich somit nicht jedes Detail mitgeschnitten habe, sollte es i.d.R. reichen, den SSH Dienst auf der DS einfach zu deaktivieren. Sollte der Pi als einziger Zugriff auf deine DS per SSH haben, könntest du auch einfach den SSH-Ordner ~/.ssh komplett löschen, dann wäre alles auf Anfang. Oder aber du löschst nur den Puplic Key des Pi's aus der ~/.ssh/authorized_keys deiner DS. Ganz, wie du magst.

Solltest du jedoch noch weitere Dinge verändert haben, wie z.B. einen Eintrag in der sshd_config erstellt haben, der die Passwortabfrage unterbindet, musst du dies natürlich im Vorfeld rückgängig machen. Sonst kommst du am Ende überhaupt nicht mehr auf die Konsole oder nur durch einen Reset am Gehäuse.

Tommes

 

[PeterPanther]

Ja, die config habe ich auch manipuliert. Die drei Einträge hatte ich eh vor, zurückzuändern.

Also wäre die richtige Reihenfolge, erst die config wiederherzustellen?

 

[Rotbart]

Kannst du alles mit einmal machen, anmelden, sshd_config ändern, ~/.ssh löschen, anschliessend ssh dienst oder Station neu starten.
Sollte was schief gehen hast du immer noch die möglichkeit dich über Telnet mit der Konsole zu verbinden.

 

[PeterPanther]

Hm. Also, wenn ich in das (versteckte) Verzeichnis ~/.ssh gehe, dann ist das leer.

In /etc/ssh befinden sich diverse ssh-Dateien, u.a. auch "*.key".

Muss ich da was ändern?

Ansonsten habe ich die Sache "zurückabgewickelt". Also die config hatte ich eh umbenannt noch vorliegen und habe das einfach zurückgedreht und den NOPASSWD-Eintrag aus der sudoers entfernt.

Fehlt nur noch das sauebere Entfernen des Schlüssels.

 

[Tommes]

In /etc/ssh befinden sich diverse ssh-Dateien, u.a. auch "*.key".

Muss ich da was ändern?

Bis auf das du deine Änderungen in der sshd_config rückgängig machst, brauchst du hier nichts zu ändern.

Man kann hier zwar die Server-Schlüssel (ssh host keys) ändern bzw. neu konfigurieren, halte dies in deiner Situation aber nicht für notwendig. Falls dich das Thema dennoch interessieren sollte, hab ich auf die Schnelle mal diesen Link für dich gefunden

Und solltest du dich im richtigen Benutzerverzeichnis befinden und der Ordner .ssh keine Daten mehr enthält, sollte alles Chic sein

Tommes

 

[PeterPanther]

Naja gut, aber ich kann mich ja immer noch passwortfrei vom Pi auf die Syno drauflogen per ssh. Der Schlüssel ist also ja irgendwo vorhanden?
Was durch die "Rückabwicklung" jetzt schon nicht mehr geht ist das Ausführen des Kommandos "shutdown", dafür muss ich jetzt wieder das (root-) Passwort eingeben.



Nachtrag:
Im Verzeichnis /etc/ssh befindet sich eine Datei "ssh_host_zzzz_key". Wenn ich die umbenenne, kann ich mich nicht mehr per ssh verbinden. Vermutlich ist das dann wohl der Schlüssel, richtig?

 

[Rotbart]

Hm. Also, wenn ich in das (versteckte) Verzeichnis ~/.ssh gehe, dann ist das leer.

Dann bist du im falschen Homeverzeichnis, du musst in das von dem PI-Benutzer und da sollte eine "authorized_keys" datei sein, die muss weg.
Nach deinen Änderungen musst du den SSH-Dienst neu starten.

 

[Tommes]

Meine Güte… ich weiß echt nicht, wie man sowas immer schafft. Tu dir selbst einen Gefallen und lies dich in das Thema ein und orientiere dich, wo welche Dateien liegen und welche Aufgaben bzw. Funktion diese haben. Hier einfach lustig drauf los zu löschen und zu ändern bringt überhaupt nichts.

Wie @Rotbart schon sagt… du befindest dich sicherlich im falschen Benutzer-Home-Ordner, denn sonst wäre eine Verbindung von deinem Pi nicht mehr möglich.

Tommes

 

[PeterPanther]

Dann bist du im falschen Homeverzeichnis, du musst in das von dem PI-Benutzer und da sollte eine "authorized_keys" datei sein, die muss weg.
Nach deinen Änderungen musst du den SSH-Dienst neu starten.

Du meinst auf dem Pi, nicht auf der Syno?

Meine Güte… ich weiß echt nicht, wie man sowas immer schafft. Tu dir selbst einen Gefallen und lies dich in das Thema ein und orientiere dich, wo welche Dateien liegen und welche Aufgaben bzw. Funktion diese haben. Hier einfach lustig drauf los zu löschen und zu ändern bringt überhaupt nichts.

Wie @Rotbart schon sagt… du befindest dich sicherlich im falschen Benutzer-Home-Ordner, denn sonst wäre eine Verbindung von deinem Pi nicht mehr möglich.

Tommes

Sowohl auf dem Pi als auch auf der Syno scheinen die Daten im Verzeichnis /etc/ssh zu liegen. In den Verzeichnissen liegen jeweils gleichnamige Dateien "*.key" und "*.key.pub".
Mein Laienverständnis ist jetzt, dass das die Schlüsselpaare sind. Ich versuche ja gerade, das ganze zu verstehen. Mea culpa.

 

[alexhell]

Du müsstest auf der Synology unter /home/userMitDemDuDichAnmeldest/.ssh gucken.

 

[Rotbart]

auf der Syno
auf dem Pi ist ..."id_rsa.pub" dein Schlüssel
auf der Syno ist ... "authorized_keys" das Schloß
wenn das Schloß nicht mehr da ist (gelöscht) kannst du mit dem Schlüssel nix mehr anfangen (sinnbildlich)

 

[PeterPanther]

Du müsstest auf der Synology unter /home/userMitDemDuDichAnmeldest/.ssh gucken.

Das habe ich jetzt gefunden /volume1/homes/.ssh.

Nach umbenennen der Datei (die lösche ich dann jetzt endgültig), geht es nicht mehr ohne Passwort. Soweit, so gut.

auf der Syno
auf dem Pi ist ..."id_rsa.pub" dein Schlüssel
auf der Syno ist ... "authorized_keys" das Schloß
wenn das Schloß nicht mehr da ist (gelöscht) kannst du mit dem Schlüssel nix mehr anfangen (sinnbildlich)

OK. Soweit verstanden. Zum Verständnis / aus Neugier: Was hat es mit den gleichlautenden Dateien in den jeweiligen Verzeichnissen /etc/ssh auf sich (siehe oben)? Sind das einfach Standarddateien oder wurden die auch im Rahmen der Schlüsselerzeugung "hergestellt"?

 

[alexhell]

Das habe ich jetzt gefunden /volume1/homes/.ssh.

Das dürfte aber nicht stimmen..... Es musst unter /home/username/ sein. Das gehört immer zu einem Benutzer.

 

[Tommes]

@alexhell
Wobei man erwähnen sollte, das es den Ordner /home bzw. homes/[Benutzer] auf einer DS nicht wirklich gibt, sondern nur in der FileStation so abgebildet bzw.. verlinkt wird. Die Benutzer-Home-Ordner liegen tatsächlich unter /var/services/homes/[BENUTZER]. Der Benutzer-Home-Ordner von root liegt hingegen im Ordner /root

@PeterPanther
Unter /etc/ssh liegt der eigentliche SSH-Server. Ohne diesen wäre der Aufbau einer SSH-Verbindung überhaupt nicht möglich. Bis auf die sshd_config - und selbst diese ist Vorsicht zu genießen - sollte man schön die Finger von diesem Ordner lassen, außer man möchte den SSH-Server rekonfigurieren. Den Link dazu hatte ich dir ja bereits mitgegeben.

Jeder Benutzer inkl. root konfigurieren im jeweils eigenen Benutzer-Home-Ordner eigene SSH Schlüssel sowie diverse Konfigurationsdateien um sich entweder mit anderen Clients zu verbinden, oder aber damit entfernte Clients Zugriff auf die lokale Maschine erhalten. Die Frage wäre jetzt … da du einen Shutdown auf der DS auslösen wolltest … ob du nicht besser man unter /root/.ssh schauen solltest. Denn für einen Shutdown benötigt man meines Wissens root Rechte. Und das ist genau das was ich vorhin meinte… mach dich schlau, wo genau du was eingerichtet hast und lösch es dort, wo du es konfiguriert hast. Lass dabei aber den Ordner /etc/ssh aus dem Spiel… bis auf die sshd_config. Denn wenn du nicht weißt, was du da gemacht hast, wer soll das dann wissen? Wir bestimmt nicht.

Tommes

 

[AndiHeitzer]

Die Benutzer-Home-Ordner liegen tatsächlich unter /var/services/homes/[BENUTZER].

Nö, das stimmt so nicht ...

Das echte 'homes' liegt bei mir unter /volume3/homes
Darin dann die eigentlichen User-Verzeichnisse
Unter /var/services gibt es 'nur' einen Link auf das echte Verzeichnis 'homes'

 

[Benares]

Ihr müsst von der Angabe in der /etc/passwd aus starten. Da ist das Home-Verzeichnis jedes Benutzers hinterlegt.
Meist zeigt das bei "normalen" Benutzern auf /var/services/homes/<Benutzername>, wobei /var/services/homes wiederum ein Link auf /volumeX/homes ist, wie @AndiHeitzer schon zeigte. Beispielsweise "root" ist aber unter /root "zu Hause".

 

[Tommes]

Hä? Jetzt bin ich raus @Benares
Liegt das Ur-Verzeichnis jetzt unter /var/services/homes/ oder unter /volumeX/homes ?

 

[Benares]

Hab ich doch geschrieben. Schau in die /etc/passwd rein, Beispiel:

admin:x:1024:100:System default user:/var/services/homes/admin:/bin/sh

Der vorletzte Parameter (zwischen den : ) ist das Home-Verzeichnis.

Dann hangel dich den Pfad herunter. Ab /var/services/homes wird mittels Link auf /volumeX/homes abgebogen. Aber nicht jeder User ist dort "zu Hause".

 

[Tommes]

Hab ich doch geschrieben

… hab’s aber scheinbar nicht richtig verstanden, da mein Hirn scheinbar zu dem Zeitpunkt einen Neustart durchgeführt hat oder ist grade in den sleep Modus gewechselt. Irgend sowas muss es gewesen sein.

Schau in die /etc/passwd rein

Habe ich bereits getan… nicht nur heute. Und jetzt bin ich auch wieder bei dir.

Tommes