Anmeldung mit Passwort ausschalten klappt nicht.

Status
Für weitere Antworten geschlossen.

Sisko_

Benutzer
Mitglied seit
14. Feb 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hi Leute ,

Ich braeuchte Mal Hilfe. Ich kriege es iwie nicht hin die Anmeldung mit Passwort auszuschalten.

Ich habe wie im Wiki beschrieben die Zeile in der sshd_config so:

Rich (BBCode):
PasswordAuthentication no

veraendert.

Anschliessend habe ich einmal

Rich (BBCode):
 synoservicectl --reload sshd

ausprobiert und das

Rich (BBCode):
 synoservicectl --restart sshd

ausprobiert. Außerdem auch im UI mit dem Haken bei ssh (rein/raus) .

Leider hat alles nichts gebracht und ich kann mich immer noch optionalerweise mit einem Usernamen und Passwort anmelden.

Woran kann das liegen ?

Vielleicht kann mir jemand helfen .
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Von welcher Anmeldung schreiben wir hier? DSM-Anmeldung? SMB-Anmeldung?
 

Sisko_

Benutzer
Mitglied seit
14. Feb 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Von welcher Anmeldung schreiben wir hier? DSM-Anmeldung? SMB-Anmeldung?

Oh sorry ich dachte das wäre klar weil ich in dem Forum Bereich für ssh/telnet/terminal geschrieben habe und mein Post vom restart des ssh deamon die Rede war.

Es geht natürlich um den ssh Zugang.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
moinsen,
muss leider auch noch mal fragen: du willst dich mit dem pubkey verfahren anmelden, richtig? das schlüsselpaar hast du richtig erstellt? hast du in der sshd_config pubkey aktiviert? wie sieht die sshd_config denn aus? Ist der benutzer, mit dem du dich anmelden willst dafür authorisiert?
gerne mehr infos...
grüßle
the other
 

Sisko_

Benutzer
Mitglied seit
14. Feb 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Moin,

Das pubkey verfahren funzt. Geht um die PasswordAuthentication wie oben beschrieben.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
moinsen,
na, das ist ja schon mal gut, dass es generell funktioniert.
könntest du ggf. mal deine sshd_conifg hier abbilden?
so auf Anhieb fällt mir nichts ein ,vielleicht hilft ein blick auf die konfigurationsdatei....
die ds mal komplett runter gefahren und neu gestartet? welches dsm ist am laufen?
grüßle
the other
 

Sisko_

Benutzer
Mitglied seit
14. Feb 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Moin ,

hatte viel zu tun. Doch jetzt erst melde ich mich mal wieder zurück. Hier die sshd config


Rich (BBCode):
 #	$OpenBSD: sshd_config,v 1.94 2015/02/02 01:57:44 deraadt Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Ciphers and keying
#RekeyLimit default none

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

RSAAuthentication yes
PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile	.ssh/authorized_keys

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
AllowTcpForwarding no
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation sandbox		# Default for new installations.
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# override default of no subsystems
#Subsystem	sftp	/usr/libexec/sftp-server
Subsystem       sftp    internal-sftp -f DAEMON -u 000

# the following are HPN related configuration options
# tcp receive buffer polling. disable in non autotuning kernels
#TcpRcvBufPoll yes

# disable hpn performance boosts
#HPNDisabled no

# buffer size for hpn to non-hpn connections
#HPNBufferSize 2048


# allow the use of the none cipher
#NoneEnabled no

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server
Match User root
	AllowTcpForwarding yes
Match User admin
	AllowTcpForwarding yes
Match User anonymous
	AllowTcpForwarding no
	GatewayPorts no

Ausgeschaltet hab ich die Syono schon ein paar Mal.

DSM verison ist in Moment die 6.2 drauf .

??
 

Tuxnet

Benutzer
Mitglied seit
02. Jan 2019
Beiträge
579
Punkte für Reaktionen
66
Punkte
48
Ich hänge mich mal hier dran.

Könnte evt jemand seine funktionierend conf hier posten,
Inkl. root Zugang ?


Das wäre sehr nett
Neuste DSM Verdion 6.2
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
@ Sisko: kein Problem, wir haben ja alle auch noch was anderes zu tun im Leben (hoffe ich mal). Ich habe beim Vergleichen deiner geposteten und meiner sshd_config eigentlich nix gefunden, warum es bei dir alternativ mit username und PW geht, bei mir aber nicht. Ich bin nun kein Profi was das angeht, aber noch meiner kleinen Erfahrung, sind die wenigen Unterschiede zwischen deiner und meiner sshd_config nicht die Erklärung.
Ich habe zb die Zeile
Code:
RSAAuthentication yes
gar nicht.
Dagegen war bei mir die Zeile
Code:
PubkeyAuthentication yes
auskommentiert.
Außerdem ist bei mir die Zeile
Code:
ChallengeResponseAuthentication yes
mit no versehen...
Kann dir also an dieser Stelle nicht mehr richtig weiterhelfen, sorry.
Nochmal zum Verständnis: du bist auf dem Terminal und willst dich via ssh auf dein NAS schalten? Oder nutzt du eine andere Methode? Wie meinst du das mit "und ich kann mich immer noch optionalerweise mit einem Usernamen und Passwort anmelden"? Anders gefragt, wie gehst du denn mit ssh auf deine station?
grüßle
the other
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
moinsen,
@tuxnet: habe bei mir (wie auch von Synology vorgesehen) keinen ssh-Zugang für root. Kann dir daher leider auch nicht weiterhelfen...scheint nicht mein Tag zu sein :cool::confused:
 

Sisko_

Benutzer
Mitglied seit
14. Feb 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Moin,

Also ich Versuch mich mit dem Terminal über SSH zu verbinden.Wenn ich jetzt keinen Pubkey nutze
Kann ich mich trotzdem anmelden mit Usernamen und Passwort und das möchte ich nicht ich möchte nur das ich mich mit nem Pubkey anmelden kann.

??
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
okay. Mir fallen nur noch zwei Sachen ein, wie immer ohne Gewähr.
1. Du könntest als Versuch mal den Eintrag in der sshd_config ändern in der Zeile welche mit Use PAM beginnt von yes auf no. Hab mal zu gehört, dass auf manchen Systemen die PAM die anderen Einstellungen in der sshd_config beeinflusst. Nur als Versuch, vorher unbedingt die original sshd_config als Backup sichern.

2. Der längere Weg der mir als workaround Versuch einfällt: wenn du dich nur mit einem oder wenigen Benutzern per ssh aufschalten willst, dann versuch doch mal am Ende der sshd_config die entsprechenden Match Regeln anzulegen bzw anzupassen . Erklärt nicht, warum es so nicht geht, aber schadet auch nicht. Auch hier vorher ein Backup der sshd_config anlegen.

Hast du die rechte der jeweiligen Ordner und Dateien für die pubkey Anmeldung mal kontrolliert? Angeblich kann auch das dafür sorgen, dass Systeme mal die Passwort Anmeldung trotzdem ermöglichen, also laut eines Foren Eintrages, mal gelesen aber nicht mehr als link im Speicher. Wäre komisch, denn meine synology lässt mich per pubkey gar nicht per ssh zugreifen, wenn die rechte hier zu lax sind, da wird eine strikte 700 erwartet... Aber lieber nochmal ausprobieren.

Sonst fällt mir wie gesagt auch nix mehr ein, ausser natürlich alles auf Null zurück und nochmal neu ansetzen... (haben sie das Gerät mal neu...), sorry und sag bescheid wie es weitergeht... Viel Erfolg
Grüssle
the other
 
Zuletzt bearbeitet:

Sisko_

Benutzer
Mitglied seit
14. Feb 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hi,

Es funktioniert jetzt. Ich hab mich nochmal dran gesetzt heute und die Keys neu generiert und in der config hab ich nur PubkeyAuth zugelassen und PasswordAuth ausgeschaltet und es hat geklappt. Was jetzt der Fehler war ist mir nicht klar aber die Hauptsache ist das es jetzt klappt. Trotzdem vielen dank für die Tipps.

Liebe Grüße
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat