kommt nicht per SSH drauf

[Xiaot]

Hallo, ihr hattet solche Threads schon öfter, aber die haben mir bisher nur teilweise weitergeholfen.
Habe eine DS 107+

Es geht mir darum, dass ich über putty nicht auf die diskstation connecten kann.
Folgendes habe ich gemacht:
- Neustes DSM aufgespielt über WEb-Panel
- Terminaldienste SSH und telnet aktiviert
- mir puttygen.exe runtergeladen. Einen Key erstellt, während Keyerstellung bisschen mit der Maus rumgewedelt
- Passphrase eingegeben - Save Private Key File -> disksstation.ppk + Save Public Key -> diskstationpublik: habe also zwie Dateien, eine enthält den privaten, die andere den öffentlichen Schlüssel
- öffentlichen Schlüssel "diskstationpublik" per FTP in den Ordner /volume1/web/ geschoben.
- über telnet von einem Windows-PC aus auf die diskstation connected und als root angemeldet. Folgende Befehle ausgeführt:
cd /root/

mkdir .ssh
mv /volume1/web/diskstationpublik /root/.ssh/authorized_keys
chmod 700 /root/.ssh/
chmod 600 /root/.ssh/authorized_keys
vi /etc/ssh/sshd_config
Die Raute weggemacht vor diesen drei Zeilen:
RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys
:wq
/usr/syno/etc/rc.d/S95sshd.sh restart

- Jetzt ins putty gegangen und folgende Einstellungen gemacht:
SSH -> Auth -> Browse.. -> diskstation.ppk
Connection -> data -> autologin username -> root
Session -> IP von der Diskstation; Port 22; Connection type SSH;

Ich klicke auf Open:
-Network error: Permission denied

Was habe ich falsch gemacht?

 

[jahlives]

geht es denn mit dem PW also ohne Key noch?

 

[joku]

Hallo, was sagt den Telnet dazu ? Gruß Jo

 

[Xiaot]

ohne pw ging es auch noch nie, ich hatte mal irgendwo gelesen, dass das normal ist und man nur per SSH auf den Server kommt, wenn man zuvor so einen Schlüssel anlegt, weil man bie der diskstation keinen login prompt kriegt, wenn man sich anmeldet ?!

Sprich: Bevor ich das ganze versucht habe, bin ich auch nicht drauf gekommen. Einfach SSH Dienst aktiviert, putty gestartetn, als auto login name root oder admin eingegeben und dann bei Session IP, Port 22 und SSH eingestellt - selber Fehler.

Telnet geht.

 

[joku]

Telnet geht.

Das ist doch alles möglich um nachzusehen was schief ging.
Gruß Jo

 

[jahlives]

ohne pw ging es auch noch nie, ich hatte mal irgendwo gelesen, dass das normal ist und man nur per SSH auf den Server kommt, wenn man zuvor so einen Schlüssel anlegt, weil man bie der diskstation keinen login prompt kriegt, wenn man sich anmeldet ?!

natürlich geht es auch mit PW Kann es sein, dass dein root resp admin ein leeres PW haben?

 

[Xiaot]

mein PRoblem ist halt, dass ich nicht weiß, was schief gegangen ist. Hab alles genau so abgearbeitet, wies im post oben beschrieben steht. Die Config Datei sieht immer noch so aus wie ich sie gelassen habe. Bei cat auf die authorized_keys schaut es aus wie ein ganz normales Key File:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20120318"
blablabla
---- END SSH2 PUBLIC KEY ----

edit: @jahlives sowohl root als auch admin haben das selbe pw ^^

software firewall ist aus

bei winscp bekomme ich den selben Fehler

 

[jahlives]

Bei cat auf die authorized_keys schaut es aus wie ein ganz normales Key File:

das ist aber nicht gut! authorized_keys sollte nicht den Inhalt des KeyFiles haben

ssh-rsa AAAAB3NzaC1....== imported-openssh-key

sondern sollte so ausschauen. Genau der String den Puttygen beim Erstellen des PublicKeys ausgegeben hat

 

[Xiaot]

hm, jetzt bin ich verwirrt .

dieses tutorial http://www.synology-wiki.de/index.php/SSH_mit_Putty_ohne_Passwort_einloggen spricht ja daovn, dass man den inhalt des öffentlichen schlüssels in die datei authorized_keys kopieren soll. Ich habe das einfach so gelöst, indem ich den öffentlichen schlüssel als datei "diskstationpublik" abgespeichert habe, per ftp in den ordner web geschoben habe und dann per mv als datei authorized_keys gespeichert habe. Ich dachte, so müsste es richtig sein. Ist das falsch?

 

[joku]

Melde Dich als root an und lösche das Verzeichniss .ssh
anschließend via PuTTY anmelden und Du erhälst den Key von dem Server.

Gruß Jo

 

[jahlives]

@Xiaot
nur der Hashwert des Keys kommt in authorized_keys nicht aber der Inhalt des Keyfiles.
Den Hashwert bekommst du wenn du den privateKey in PuttyGen öffnest. Dann wird dir oben der copy&paste-fertige String für authorized_keys ausgegeben
btw: der http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern hat das Ganze sogar mit Bildern ;-)

 

[Xiaot]

ok, also den Fehler hätten wir schonmal ausgemerzt. Ich habe jetzt folgendes gemacht:
- Neuen Key erstellt
- privaten Key gespeichert
- public key for pasting into OpenSSH authorized_keys file kopiert und auf dem winodws rechner in eine neue datei ohne dateiendung mit dem Namen authorized_keys kopiert, gespeichert
- datei authorized_keys per ftp in den ordner weg geschoben
- mv /volume1/web/authorized_keys /root/.ssh/authorized_keys
- chmod 700 /root/.ssh/
- chmod 600 /root/.ssh/authorized_keys
- config datei so gelassen mit den drei entfernten rauten
- /usr/syno/etc/rc.d/S95sshd.sh restart
- putty wieder gestartet, privaten key diskstation.ppk ausgewählt, auto login user name root eingegeben und bei session wieder die verbindungsdaten (ip, port und connection type). Aber ich kriege immer noch Permission denied.

Dann habe ich den tipp von joku befolgt und den ordner .ssh gelöscht, /usr/syno/etc/rc.d/S95sshd.sh restart, putty gestartet, _KEIN_ publik key file ausgewählt, als auto login name root eingegeben, bei session die verbindungsdaten eingegeben, klicke auf open -> selber fehler.

Danke erstmal für eure Geduld

 

[jahlives]

public key for pasting into OpenSSH authorized_keys file kopiert und auf dem winodws rechner in eine neue datei ohne dateiendung mit dem Namen authorized_keys kopiert, gespeichert

mach das besser ned Windows und Linux haben andere Zeilenendzeichen und wenn der Windowseditor nicht erkennt, dass er eigentlich Linux/Unix Zeilenenden verwenden soll, dann knallt es wenn du das File auf der DS hast. Zudem musst du beim copy&paste via Editor UNBEDINGT darauf achten, dass der ganze String auf einer einzigen Zeile steht.
Welchen Editor hast du denn in Windows verwendet? Wenn du denjenigen von Windows verwendet hast, dann wett ich was, dass es an falschen Zeilenenden liegt. Kennst du notepad++ für windows? Dort kannst du beim Speichern einstellen, dass Unix-Zeilenenden verwendet werden sollen

 

[joku]

Dann habe ich den tipp von joku befolgt und den ordner .ssh gelöscht, /usr/syno/etc/rc.d/S95sshd.sh restart, putty gestartet, _KEIN_ publik key file ausgewählt, als auto login name root eingegeben,

Erst mal nur mit login root, damit Du sicher bist das es geht und dann weiter mit dem autologin. Gruß Jo

 

[Xiaot]

ok, also ich versuche jetzt erstmal wie von joku beschrieben, mich ohne pki anzumelden, weil wenn das nicht geht, wirds wohl mit pki erst recht nicht gehen.

Erst mal nur mit login root, damit Du sicher bist das es geht und dann weiter mit dem autologin. Gruß Jo

ich komme ja gar nicht dazu, einen login einzugeben. Hier ist meine Maske von putty, der .ssh ordner ist gelöscht:

und da skommt dann raus, wenn ich auf open klicke.

Ich komme also gar nicht bis zu dem Fenster, wo er mich nach einem Login fragt. Es ist egal, ob ich den hostname oder die ip eingebe, kommt immer das selbe. Kann die ds aber definitiv sowohl über hostname als auch über IP pingen. Software-Firewall ist aus.

Über telnet dagegen kann ich ganz normal arbeiten über den von windows integriertne telnet client:

SSH ist aber definitiv an:

 

[joku]

ich komme ja gar nicht dazu, einen login einzugeben. Hier ist meine Maske von putty, der .ssh ordner ist gelöscht

Was sagt due Firewall bei Ausnahmen dazu ? Wird puTTY geblockt ? ich dachte das Telnet via puTTY geht

 

[janus]

Moin,
erst mal würde ich alle Änderungen in der sshd_config wieder rückgängig machen. Für einen Login mittels Public Key braucht es das nicht! Erst wenn du am Schluss dafür sorgen willst, dass nur noch per Public Key Login eingeloggt werden kann, solltest du dir die sshd_config weiter ansehen.

Das Verzeichnis .ssh muss man auch nicht selber anlegen, dass macht ssh viel besser, zuverlässiger und so wie es sein soll. Einfach auf der DS anmelden und "ssh localhost" eingeben. Key akzeptieren und dann einloggen oder abbrechen. Danach hat ssh im Home Verzeichnis das ".ssh" mit der "known_hosts" erzeugt.

Jetzt nimmt man den Public Key von Putty im Format "ssh-rsa..." oder noch besser "ssh-dss AAA..." und kopiert den Inhalt mittels eines Unix Editors (notepad+ kann das auch auf Windows) in die Datei "authorized_keys" auf die DS in das ~/.ssh/ Verzeichnis. Dann den Key in Putty einbinden und einen Login versuchen. Wenn DANN alles klappt, kannst du an den Parametern der sshd_config Datei drehen.

IMHO war einer deiner Fehler, dass du an zu vielen Parametern gleichzeitig gedreht hast und damit den Überblick verloren hast. Erster Versuch nach den Änderungen an der sshd_config hätte sein sollen: Kann ich mich noch per ssh einloggen. Danach wäre der nächste Schritt mit den Zertifikaten gekommen und dann kann man das System dicht machen.

Gruß

Janus
@jahlives: Ich war so frei und habe in den von dir erwähnten Wiki Artikel den "Trick" mit dem ssh localhost eingepflegt. Ansonsten sind wie gesagt die meisten Änderungen an sshd_config nicht notwendig, aber ein "auf nummer Sicher" gehen.