DSM 6.x und darunter DSM 6.0 kein root zugriff mehr via Telnet/SSH

[goetz]

Hallo,
Du brauchst 2 Schlüssen, public key und private key. private key verbleibt auf Deinem Rechner.
Per putty als admin anmelden dann
sudo -i
Passwort vom admin eingeben und Du bist root.

login as: admin
admin@192.168.1.41's password:
admin@DS1513:~$ sudo -i
Password:
root@DS1513:~#

Ins Verzeichnis .ssh wechseln

cd .ssh

Datei authorized_keys bearbeiten

vi authorized_keys

Jetzt genau aufpassen, Enter nur drücken wenn es da steht, ansonsten immer nur den Buchstaben der da steht.
Wenn die Datei leer ist <i> drücken, wenn schon ein Schlüssel drin steht <o> drücken.
Auf dem PC den public key öffnen und in die Zwischenablage kopieren, alles muß in einer Zeile stehen.
In putty im schwarzen Bereich einmal rechte Maustaste klicken, damit sollte der key hinein kopiert worden sein.
Nun
<Esc> Taste
:wq
<Enter> Taste
damit ist man aus vi wieder raus und die Datei gespeichert. Abschließend Rechte setzen
chmod 0600 authorized_keys
Abmelden.
In putty
IP eintragen, unter Connection-Data Auto-login username root eintragen, unter SSH-Auth bei Private key file auf Browse gehen und die Datei mit dem privaten Schlüssen wählen. Unter Session in das Feld Saved Sessions einen Namen für die Session eintragen und auf Save klicken. Bei Doppelklick auf den Namen der gespeicherten Session solltest Du automatisch angemeldet werden.

Gruß Götz

 

[chimcen]

Ich probiers heut Abend mal aus - ließt sich aber schon mal gut

 

[m0useP4d]

Wiki-Eintrag "SSH mit Zertifikaten absichern" ist dazu auch sehr hilfreich

 

[chimcen]

Danke Götz, geile Sache - hat perfekt funktioniert!

 

[euman2002]

Hallo goetz,
vielleicht kannst du mir ja auch helfen. Ich bin auf der Version DSM 6.0-7321 mit meiner 214Play und komme seit dem Update nicht mehr mit root auf die Syn drauf. Ich habe an meinen Einstellungen, bis auf die Tests mit Einstellungen die Andy auf der ersten Seite beschrieben hat, nichts an meinem root User nichts gemacht. Jetzt wollte ich das mit dem Zertifikaten versuchen aber leider scheitere ich schon daran, dass ich kein Verzeichnis .ssh finde.
Habe auch schon höher gesucht.... nix.

 

[chimcen]

Dann leg es doch einfach an ;D

- cd /root
- mkdir .ssh

Danach mit der Anleitung von Goetz weiterarbeiten...

 

[goetz]

Hallo,
genau, aber ein
chmod 0700 /root/.ssh
nicht vergessen.

Gruß Götz

 

[euman2002]

Oh man, danke Euch. Da hätte ich auch drauf kommen können. War wohl zu spät heute morgen. Danke für den Hinweis. Nach dem Neustart meiner Syn214Play heute Morgen konnte ich mich dann mit 'admin' und den anderen vorgeschlagenen Einstellungen sowie der Vorbereitung der 'sudoers' anmelden. Danke. Gruß Ralf

 

[goetz]

Hallo,
lass die Finger von sudoers, das überlebt ein Firmwareupgrade sowieso nicht.

Gruß Götz

 

[euman2002]

Hallo goetz, ist es also besser mit den public und private keys zu arbeiten? Was passiert denn mit der Datei "authorized_keys" bei einem Update? Danke.

 

[goetz]

Hallo,
blieb bisher immer erhalten.

Gruß Götz

 

[olli0815]

Hallo,
da wird nur ein doppelter Reset helfen. Vorher Systemkonfiguration sichern.
Danach nicht an sudoers rumfummeln sondern root login per key authentication einrichten.

Gruß Götz

super krass - wat ne Schei*
Danke für den Tipp zum fehlerhaften Editieren der sudoers - echte Profis ;-(.

edit: okay, falls sich noch jemand die sudoers zerschiesst: mit dem AdminTool kann man diese dann doch noch editieren..

 

[Papi32]

Hallo,
Du brauchst 2 Schlüssen, public key und private key. private key verbleibt auf Deinem Rechner.
Per putty als admin anmelden dann
[...]

In putty
IP eintragen, unter Connection-Data Auto-login username root eintragen, unter SSH-Auth bei Private key file auf Browse gehen und die Datei mit dem privaten Schlüssen wählen. Unter Session in das Feld Saved Sessions einen Namen für die Session eintragen und auf Save klicken. Bei Doppelklick auf den Namen der gespeicherten Session solltest Du automatisch angemeldet werden.

Gruß Götz

Jetzt wird´s schwierig:

Ich habe das Verzeichnis ".ssh" im root angelegt, da es nicht existierte, habe mit PuttyGen die beiden erforderlichen Schlüssel erstellt und eine Datei "authorized_keys" in ".ssh" angelegt, den Schlüssel einzeilig reinkopiert und die Rechte der "authorized_keys" auf "0600" gesetzt.
Auch habe ich die Datei anschließend geprüft, ob alles enthalten und korrekt berechtigt ist. (-rw-------). Der Schlüssel ist in Putty unter "SSH"-"Auth" hinterlegt, der Benutzer "root" ist unter "Auto-Login" gesetzt und trotzdem bekomme ich nach Doppelklick auf die gespeicherte Verbindung in Putty und der erfolgten Passworteingabe (die garantiert korrekt ist) nur "Access denied".
Was mir wohl aufgefallen ist - im Synology-Wiki sieht man, dass beim Erstellen der beiden Keys mit PuttyGen nur 1024 bits zusammen kamen. In meinem Fall wurden aber 2048 angezeigt.

Nachfolgend die Struktur meines Keys (ich habe diverse Zeichen verändert):

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20160403"
CCCCA5NzaC2yc2EAAAABJQAAAQEAobYKJ/I7Jl4Le+QXazjkrj5CqZL0Hng5yn1j
hi7Joy3Vrwloppw+Jnc0e3J0A9vdaWzVizKUqdW4k4fP+oUhVQz0wzSwt3Ecgi5y
IwjGM1NvhMvi9y2TVHOmJZvC3e4a34PIUZm++SbUNmRU3RcbmRn4L52QHlnyZl8Q
GqUXob0KjoQSxf5MApujPEAgZHvrULhlTBDiBzJczHsvQZmXGSeEIX3mvQXqhATP
gWuqOSLk/TrJpyLeu55e3qq1YatTok0ovWG055j8uRzt3XfRncQjU83AtO0vxbsg
yZXzPBy/FP4NSyPNn8JMTXAIKT69Fs+F/x/ruN1IDonLc7FPSR==
---- END SSH2 PUBLIC KEY ----

Habe ich vielleicht beim Generieren einen Fehler gemacht?

 

[goetz]

Hallo,
den public key muß man direkt aus puttygen per Maus kopieren und in authorized_keys einfügen. Er beginnt mit ssh-rsa AAA... und endet mit == rsa-key-20160403.

Gruß Götz

 

[Papi32]

DAS war der Fehler, Danke!!!

 

[koeber]

Von root ausgesperrt

Hi,

ich habe mich leider nach dem editieren des /etc/sudoers file ausgesperrt.

Ein Login mit Admin klappt noch, aber der wechsel zu Root nicht mehr.

sudo su -
oder
sudo -i
Password:
admin is not in the sudoers file. This incident will be reported.

editieren des sudoers files ist nicht mehr möglich
vi /etc/sudoers
vi: /etc/sudoers: Permission denied

Nur root hat rechte auf das file
ls -l sudoers
-r--r----- 1 root root 280 Apr 9 01:42 sudoers

Rechte können nicht neu vergeben werden
chmod +x /etc/sudoers
chmod: changing permissions of ‘/etc/sudoers’: Operation not permitted



Könnt Ihr mir helfen wieder root rechte zu erlangen?
Gibt es noch einen weg ohne Reset, da viel Arbeit in meiner Synology 214play steckt.

/VERSION
majorversion="6"
minorversion="0"
productversion="6.0"
buildphase="release"
buildnumber="7321"
smallfixnumber="0"
builddate="2016/03/23"
buildtime="19:38:42"

 

[dil88]

Ein einfacher Reset löscht ja nicht die Systemkonfiguration. Schau Dir das verlinkte Dokument einmal an, da stehts genauer drin. Und denk zukünftig daran, die Systemkonfiguration per Backup oder manuell in eine DSS-Datei zu sichern, dann kannst Du die Systemkonfiguration ggfs. restaurieren.

 

[OdinsAuge]

Hi, ich habe gerade versucht mich über putty als admin anzumelden. Wenn ich das Passwort eingebe kommt von putty die Meldung "Server unexpectedly closed connection".
Laut Google kommt das nur nach einem Timeout, allerdings kommt die Meldung direkt nach der PW eingabe.

EDIT: Über Telnet kommt die Meldung "Your account has been expired".

EDIT2: Lösung: mit dem üblichen Konto (muss zu Administrators gehören) anmelden, sudo -i nochmal das PW und schon hat man root zugriff.

 

[AWAW]

Hallo liebes Synology-Team,

ich will ja wirklich nicht motzen! Im Grunde bin ich mit meiner DS auch sehr zufrieden. Aber das ist für einen "normalen" User unter DMS 6.0 doch nicht wirklich mehr mit vertretbarem Aufwand zu handeln. Unter DMS 5.2 hatte der Admin einfach alle Rechte - und fertig!.
Bei aller Liebe - aber so macht das für mich wirklich im Moment wirklich keinen Spaß mehr!
Wenn ich mich abre erst zum Linux-Spezialisten ausbilden lassen muss (an dieser Stelle danke an alle, die hier Unterstützung geben), um relativ einfache Dinge mit der DS realisieren zu können, stimmt irgend etwas nicht mehr - sorry!

Gruß
AWAW

 

[Fusion]

@AWAW - mit wem redest du? Synology Mitarbeiter gibt es hier nicht. Das ist ein User/Benutzer-Forum.

Und auch unter DSM5.2 hatte Admin nicht alle Rechte.