root Login mit ssh schläg immer fehl

[jahlives]

Irgendwie zickt heute der ssh rum. Wenn ich mich als root anmelden will, kommt access denied. In den Logs sieht man eine Meldung das PW für root sei nicht korrekt. Wenn ich es aber als admin versuche dann klappt es

Jan  5 16:21:05 mail sshd[20820]: Failed password for root from 192.168.1.12 port 1562 ssh2
Jan  5 16:21:51 mail sshd[20831]: Accepted password for admin from 192.168.1.12 port 1563 ssh2

PermitRootLogin in der sshd_config habe ich gesetzt und den ssh restartet. Aber immer noch das gleiche. Ich verwende den ipkg ssh

 

[thedude]

Bist Du denn sicher, dass beide PW noch gleich sind? Kannst Du z.B. als admin mir su erfolgreich root werden?

 

[jahlives]

Bist Du denn sicher, dass beide PW noch gleich sind? Kannst Du z.B. als admin mir su erfolgreich root werden?

Nicht probiert, aber da ich als root mit demselben PW bei telnet keine Probs habe kann das eigentlich nicht sein (sorry hätte ich im Eingangspost erwähnen müssen, ziemlich wichtige Info)

Gruss

tobi

 

[goetz]

Hallo,
hast Du openssh komplett per ipkg installiert? Probier mal als Passwort synopass . Link

Gruß Götz

 

[jahlives]

götz mein Held Das war's

Danke und Gruss

tobi

 

[Tagger]

Hallo,

mein "Problem" ist ähnlicher Natur, nur habe ich Open SSH nicht separat installiert, sondern offenbar ist es eine Abhängigkeit von "rsnapshot". Wenn ich dieser Lösung von goetz folge, kann ich mich zwar wieder korrekt als root auf der Console anmelden, aber nach dem nächsten Neustart der DS (DS409Slim) ist wieder alles beim alten (das root-passwort ist wieder "synopass"). Den gleichen Effekt erreiche ich übrigends auch, wenn ich über die Weboberfläche den SSH ausschalte, mich abmelde und ihn wieder einschalte.

Was mich auch wundert ist, daß ich bevor das Passwort abgewiesen wird, eine Meldung bekomme, daß sich das Zertifikat geändert hätte und nach Bestätigung oder Ablehnung geht nix mehr (Zugriff verweigert), aber Telnet geht.

Irgendwo muss doch dieses Passwort (synopass) gespeichert sein und wer setzt es (vermutlich) beim shutdown/reboot zurück?

 

[goetz]

Hallo,
schau mal hier am Ende.

Gruß Götz

 

[jahlives]

Hallo,
schau mal hier am Ende.

Gruß Götz

Aber ist das normal, dass das bei jedem Reboot wieder auftritt? Nachdem ich einmal das root-PW wieder gesetzt hatte, klappt es bei mir auch nach reboots noch

 

[Tagger]

Hallo Götz, Danke für die schnelle Reaktion. Den Beitrag hatte ich leider nicht gefunden.

Die meinst wahrscheinlich den Teil hier:

2) in /etc.defaults/ssh/sshd_conf wieder den richtigen Pfad für den von syno gelieferten sshd/sftp setzen:
<Subsystem sftp /usr/libexec/sftp-server>
statt <Subsystem sftp /opt/usr/libexec/sftp-server>

Da scheint aber auch noch der Wurm drin zu sein.
"/usr/libexec/" existiert nicht!
"/opt/usr/libexec/" existiert ebenfalls nicht!
"/opt/libexec/" existiert allerdings!

Aber leider funzt das mit "Subsystem sftp /opt/libexec/sftp-server" ebenfalls nicht.

 

[goetz]

Hallo,
@jahlives
mir selbst ist es nicht passiert, kann nur wiedergeben was ich hier so gelesen habe.

das Verzeichnis /usr/libexec existiert bei mir auch nicht, steht aber so in der sshd_config drin.

Gruß Götz

 

[Tagger]

Mhmm, richtig, das stand bei mir vorher auch so drin, hatte es jetzt aber geändert.

@jahlives, also direkt das admin passwort neu gesetzt hatte ich jetzt nicht (wie geht das eigentlich?), nur den von Götz beschriebenen Weg versucht.

Edit: würde hier "passwd benutzername" irgendwas nützen?

 

[jahlives]

Mhmm, richtig, das stand bei mir vorher auch so drin, hatte es jetzt aber geändert.

@jahlives, also direkt das admin passwort neu gesetzt hatte ich jetzt nicht (wie geht das eigentlich?), nur den von Götz beschriebenen Weg versucht.

Mit telnet auf die Shell und dann

passwd root

und zweimal das "alte" Root Passwort angeben

 

[Tagger]

Ah OK, danke, das probier ich gleichmal. Nur was ich nicht verstehe, wieso kann ich mich mit Telnet und dem root passwort einloggen, nur ssh will ja nicht.

 

[jahlives]

Ah OK, danke, das probier ich gleichmal. Nur was ich nicht verstehe, wieso kann ich mich mit Telnet und dem root passwort einloggen, nur ssh will ja nicht.

Ganz ehrlich habe ich das bis heute auch nicht kapiert, da ja eigentlich die gleichen Files zur Authentifizierung verwendet werden

 

[Tagger]

Ganz ehrlich habe ich das bis heute auch nicht kapiert, da ja eigentlich die gleichen Files zur Authentifizierung verwendet werden

LOL - sowas von einem Linux user zu hören ist schon lustig.

Öhm, ja, also verstehen tue ich das jetzt nicht so wirklich, aber, juhu jetzt läufts auch nach dem Neustart. Vielen Dank euch beiden! Scheint beides wichtig zu sein (Pfadänderung UND Passwort neu setzen. Kann es sein, daß durch das Neusetzen des PW auch der Key erneuert wird und beides für das Login verwendet wird, obwohl die Einstellung auf "nur Passwort" bei ssh steht?

 

[jahlives]

LOL - sowas von einem Linux user zu hören ist schon lustig.

Öhm, ja, also verstehen tue ich das jetzt nicht so wirklich, aber, juhu jetzt läufts auch nach dem Neustart. Vielen Dank euch beiden! Scheint beides wichtig zu sein (Pfadänderung UND Passwort neu setzen. Kann es sein, daß durch das Neusetzen des PW auch der Key erneuert wird und beides für das Login verwendet wird, obwohl die Einstellung auf "nur Passwort" bei ssh steht?

Bei mir hat passwd root ohne jegliche weitere Änderung gereicht. Nur wenn du explizit den Zertifikatslogin im sshd aktivierst, sollte der Key verwendet werden. Der Key wird mittels passwd sicherlich nicht verändert

Tja ich bin eben ehemaliger Windows-User und darum kapier ich in der Nix-Welt nicht immer alles
goetz wäre der Fachmann wenn es um Pinguin-Innereien geht

 

[Tagger]

Ich bin irgendwie auch nie richtig warm geworden mit dem Pinguin.

Trotz aller Schwächen, war mir WinBlöd immer lieber (vielleicht bin ich auch nur zu faul).

Dann werde ich mich mal an die nächste "Verbiege"-Operation ranmachen, die freigegebenen FTP-Shares an die user-home-Verzeichnisse zu koppeln.

 

[goetz]

Hallo,
Syno hat sich da was sehr eigenes ausgedacht. Das Original Passwort für root ist synopass (auch wenn man per DSM das Passwort für admin ändert). telnetd und sshd müssen so geändert worden sein, daß bei root login auf admin gemappt wird (deswegen hats ja mit telnet immernoch mit dem admin Passwort geklappt). Wenn jetzt ein anderer sshd gestartet wird kennt der das Mapping nicht und erwartet das Passwort welches in shadow (synopass) hinterlegt ist. Mit dem alternativen sshd muß per passwd root das Passwort jedesmal nachgeführt werden damit die beiden wieder gleich sind.

root:$1$dynUWOPL$AXWnKXiqLtaKczU43akK21:10933:0:99999:7:::

DS-106> openssl passwd -1 -salt dynUWOPL synopass
$1$dynUWOPL$AXWnKXiqLtaKczU43akK21

Gruß Götz

 

[Tagger]

Aha, das ist ja interessant. Habe gerade mal nachgesehen, was jetzt in der "etc/shadows" steht, ist Gott sei Dank das neue PW. Allerdings gibt es da jetzt noch eine Datei "shadows-" (Kann ich die einfach löschen?). Bedeutet das jetzt etwa, daß es da jetzt eine Hintertür gibt und beide Passwörter funzen (nee grad getestet - geht nicht!)?

Komischerweise ändert sich jetzt offenbar auch nicht mehr der Key, wird zumindest nicht beanstandet.

 

[botharg]

Hallo,

Ich hab zwar von dem ganzen SSL Zeuch nicht soo viel Plan, allerdings hatte ich ein ähnliches Problem bei mir.
Ich konnte mich über die Weboberfläche anmelden (als admin mit dem adminpass), aber sobald ich ssh (sowohl über putty als auch direk zB. Ubuntu) benutzen wollte, ging es nicht, weil die DS mein Passwort verweigerte. Selbst im Notepad notieren, kopieren und einfügen (damit auch ja alles richtig übertragen wird) hat so nicht funktioniert.
Nach einiger Zeit bin ich draufgekommen woran es lag: Ich hatte in meinem Passwort diverse "Sonderzeichen" (@Ü!ö#;!) die offenbar nicht richtig übertragen wurden, egal ob eingetippt oder kopiert. Es half auch nix, dem SSH Client UTF-X oder irgendeinen anderen Zeichensatz beizubringen.
Passwort auf "normale" Zeichen geändert, ging dann alles.
Momentan habe ich solange das Einrichten dauert, ein Passwort aus "normalen" Zeichen, sehr lang halt...
Werde es abschließend wieder "sicher" machen, wenn soweit alles läuft.