SSH Zugang für nicht Admin User

[micho2]

Hallo,

wie kann man "normalen" nicht Admin Benutzern SSH Zugang auf Ihr Homeverzeichnis geben?

Danke Micho

 

[luddi]

Seit DSM 6.x überhaupt nicht mehr. Vorher konnte man die /etc/passwd patchen um "normalen" usern Zugang zur shell (/bin/sh) gewähren. Dieser Workaraound ist aktuell aber nicht mehr möglich und somit ist der Zugang zur Shell (SSH login) nur Admin Usersn vorbehalten.

Möchtest du nur einen Zugang per SSH zum jeweiligen User Home oder wird tatsächlich eine shell benötigt?

--luddi

 

[framp]

Ich koennte mir vorstellen dass man das durch geschickte Änderung von /etc/pam.d/sshd hinbekommt. Allerdings hat eigentlich ein normaler Benutzer nichts auf der Commandlineebene zu suchen. Warum glaubst Du dass Du diesen Zugang brauchst?

 

[luddi]

Allerdings hat eigentlich ein normaler Benutzer nichts auf der Commandlineebene zu suchen.

Warum eigentlich nicht? Auf jedem anderen Unix kann auch jeder User der nicht Admin ist per default die Shell verwenden... Und in der Tat gibt es Anwendungsfälle die in Frage kommen würden, z.B. für automatisierte Anwendungen aus Scripten heraus.

--luddi

 

[Tommes]

Warum eigentlich nicht?

Ich vermute mal, weil der DSM ein in sich geschlossenes System darstellt welches primär nur über die GUI administriert werden soll. Auch bietet Synology, im Gegensatz zu allen halbwegs vollwertigen GNU/Linux Betriebssystemen, keinen eigenständigen Terminal an. Letzteres wäre ja durchaus möglich und sicherlich auch für viele von uns wünschenswert. Die Philosophie von Synology scheint hier wohl eigene Wege zu gehen um die Sicherheit des DSM zu gewährleisten.

Tommes

 

[luddi]

Ich vermute mal, weil der DSM ein in sich geschlossenes System darstellt welches primär nur über die GUI administriert werden soll.

Deiner Vermutung stimme ich vollkommen zu. Dagegen ist nichts einzuwenden. Aber es heißt nicht im allgemeinen, dass ein normaler Benutzer nichts auf der Kommandozeile zu suchen hat.

--luddi

 

[Tommes]

Da gebe ich dir vollkommen recht. Innerhalb eines „normalen“ GNU/Linux Betriebssystem haben auch „normale“ Benutzer Zugang zum Terminal, was auch gut, sinnvoll und richtig ist... um nicht zu sagen... ein ganz normaler Vorgang unter Linux ist. Aber der DSM ist halt kein „normales“ Betriebssystem sondern eine GUI zur Verwaltung des NAS. Und genau deshalb halte ich diese Beschränkung aus Gründen der Sicherheit, in diesem Fall auch für gerechtfertigt.

 

[luddi]

@Tommes:
Da bin ich absolut bei dir. Dem ist nichts zu widersprechen. Danke für deine ausführliche Erläuterung.

Zurück zum ursprünglichen Problem einem "normalen" Benutzer Zugang zum eigenen home Verzeichnis zu gewähren.
Wenn in der Tat nur der Zugang auf Dateiebene gewünscht ist dann empfehle ich SFTP. Der Zugriff per SFTP kann auch "normalen" Benutzern gewährt werden.

Aus der Konsole heraus ist dies mit dem folgenden Befehl zu erzielen:

sftp username@server

oder wenn für das Protokoll ein vom Standard abweichender Port verwendet wird:

sftp -oPort=custom_port username@server

--luddi

 

[framp]

Warum eigentlich nicht? Auf jedem anderen Unix kann auch jeder User der nicht Admin ist per default die Shell verwenden... Und in der Tat gibt es Anwendungsfälle die in Frage kommen würden, z.B. für automatisierte Anwendungen aus Scripten heraus.
--luddi

Ein wichiges Wort hatte ich vergessen zu erwaehnen Es sollte heissen

Allerdings hat eigentlich ein Benutzer nichts auf der Commandlineebene eines Servers zu suchen. Ein Server wird von einem Admin administriert und jeglicher Zugriff eines Benutzers auf den Server erfolgt nur über Anwendungen wie sftp, Photostation, DSM, nfs, Samba, ...

Und fuer mich ist die Syno ein Server. Klar kann man unter jedem Linux auch Benutzer zulassen. Aber fuer mich gehoeren keine Benutzer auf Server. Denen stellt man dedizierte Linux System zur Verfuegung bei denen die Sicherheitsanforderungen nicht so hoch sind wie bei Servern.

 

[micho2]

Danke, das löst mein Problem weitgehend.