DSM 6.0 - Fehlender "Root-Zugriff" - Lösung für WinSCP gesucht

fraubi

Benutzer
Mitglied seit
25. November 2011
Beiträge
602
Punkte für Reaktionen
0
Punkte
42
Hallo zusammen,

ich habe auf meinem Test-NAS DSM 6 installiert. Vorher hatte ich schon gelesen, dass es eine Änderung beim Root-Zugriff gibt.

Bevor ich nun DSM6 auf meine Haupt-NAS installiere möchte ich sicherstellen, dass ich auch weiterhin mit Root-Rechten über Putty und WinSCP arbeiten kann.

Hinsichtlich Putty habe ich schon hier im Forum gelesen, dass man sich als Admin anmeldet, und dann mit 'sudo -i' Root-Rechte bekommt. Ist zwar umständlich, damit kann (bzw. muss) ich aber leben.

Ich arbeite aber auch viel mit WinSCP, da ich nicht so ein Linux-Fan bin. WinSCP erleichtert mir das sehr viel. Ich konnte allerdings noch nicht herausfinden, wie ich mich mit WinSCP und Root-Rechten unter DSM6 mit dem NAS verbinde.

Die FAQ von WinSCP unter

http://winscp.net/eng/docs/faq_su#use_sudo_on_login

hilft mir auch nicht weiter, da man den Pfad zu "sftp-server" in WinSCP vorgeben muss. Diese Datei gibt es aber nicht auf dem NAS.

Hat jemand dafür einen Tipp für mich...........würde mich sehr freuen.....

Gruß
Fraubi
 

jahlives

Moderator
Mitglied seit
19. August 2008
Beiträge
18.275
Punkte für Reaktionen
0
Punkte
0
root Login mit Zertifikat müsste eigentlich immer noch gehen
 

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. März 2009
Beiträge
13.526
Punkte für Reaktionen
9
Punkte
328
Hallo,
mit Schlüssel funktioniert es immer noch, putty wie auch WinSCP.

Gruß Götz
 

fraubi

Benutzer
Mitglied seit
25. November 2011
Beiträge
602
Punkte für Reaktionen
0
Punkte
42
Danke für die Infos. Ich hab das jetzt wie folgt gelöst (Lösung stammt hier irgendwo aus dem Forum)

Login > admin > Enter
Passwort > Adminpasswort > Enter
sudo su - > Enter
Passwort > Adminpasswort > Enter

vi /etc/sudoers
i drücken -zum editieren
"admin ALL = NOPASSWD: ALL" eingeben (ohne „)
ESC Drücken
:wq! eingeben

Dann in WinSCP unter den erweiterten Einstellungen zu der jeweiligen Verbindung bei Shell

sudo su - eingeben.

Anmeldung in Putty erfolgt dann weiterhin mit dem Benutzer „admin“, allerdings hat dieser dann Root-Rechte

Wär auch ok, oder habt Ihr da Bedenken ?

Gruß
Fraubi
 

Pressies

Benutzer
Mitglied seit
17. November 2012
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Danke für die Infos. Ich hab das jetzt wie folgt gelöst (Lösung stammt hier irgendwo aus dem Forum)



Wär auch ok, oder habt Ihr da Bedenken ?

Gruß
Fraubi

Ich habe das gleiche Problem wie Du, Fraubi. Leider bekomme ich es nicht mehr hin, per WINSCP zu verbinden und auf alle Verzeichnisse der Syn (712+) Root-Rechte zu bekommen. Auch nicht nach Deinem Lösungsansatz. Schade :(

regs
Pressies
 

jahlives

Moderator
Mitglied seit
19. August 2008
Beiträge
18.275
Punkte für Reaktionen
0
Punkte
0
Wär auch ok, oder habt Ihr da Bedenken ?
massive Bedenken meinerseits ;) So erlaubst du dem admin JEDES Kommando ohne PW Abfrage auszuführen. Wenn schon, dann nur für eine genau definierte Reihe Kommandos, für den Rest muss die PW Abfrage kommen. Dass z.B. sudo su ohne PW Abfrage erlaubt sein soll schiesst jeden "Schutz" des sudo-Prinzipes tot. Dann ist es kein Unterschied mehr zu einem direkten root Login (aus Sicherheitssicht). Zudem, aber das ist ein Problem des Konzeptes von Synology, bringt sudo/sudoers imho rein gar nichts, solange das admin PW und das root PW identisch sind. Da braucht es auch kein sudo um root zu werden, denn mit dem admin Zugang hat man ja auch das root Passwort. Also reicht ein su mit anschliessendem root Passwort und man ist an sudoers vorbei root

Da würde ich in jedem Fall einen root-Login mittels SSH-Zertifikat bevorzugen/wärmstens empfehlen

@Pressies
schau dir mal den ssh Login mittels Zertifikat an. Damit geht der root Login immer noch und es wird auch von Putty und WinSCP so unterstützt
 

Pressies

Benutzer
Mitglied seit
17. November 2012
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
@Pressies
schau dir mal den ssh Login mittels Zertifikat an. Damit geht der root Login immer noch und es wird auch von Putty und WinSCP so unterstützt

Danke für die Info, jahlives

Ich habe auf der SYN mein bestehendes Zertifikat exportiert. Im Archive sind enthalten: cert.pem, privkey.pem, syno-ca-cert.pem sowie syno-ca-privkey.pem. Welche Datei, wenn eine davon überhaupt zutrifft, muss ich davon verwenden, die ich dann im WINSCP unter dem Root-User / Erweitert als Datei einpflege?

Oder von Putty eine "Schlüsseldatei" erstellen lassen und die unter WINSCP / Erweitert / SSH/ Authentifizierung einpflegen?

Ich glaube Letzteres kommt in Frage. Recherchiere schon etliche Infos.
 
Zuletzt bearbeitet:

jahlives

Moderator
Mitglied seit
19. August 2008
Beiträge
18.275
Punkte für Reaktionen
0
Punkte
0
diese erstellten Zertifikate sind SSL-Zerifikate, die kannst du mit SSH nicht nutzen. Du musst, wie du schon erkannt hast, eine Schlüsseldatei erstellen. Das geht mit Putty oder mit ssh-keygen direkt auf der Konsole der DS
Code:
mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
ein Passwort würde ich für den Key festlegen (wird abgefragt) oder du lässt die Abfrage leer (einfach Enter drücken) für keinen Passwortschutz der Schlüsseldatei. Auf dem Client (System, das die Verbindung aufbaut) brauchst du den Inhalt des Schlüsselfiles (id_rsa). Auf dem Server (DS) musst du den Inhalt des id_rsa.pub in die Datei authorized_keys eintragen
Code:
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
auf dem Server selber brauchst du id_rsa ned, den kannst du auch löschen.
Danach musst du auf dem Client deinen Anwendungen (z.B. Putty oder WinSCP) bekannt geben wo der id_rsa (privater Schlüssel) zu finden ist
 

Bravestarr

Benutzer
Mitglied seit
01. Februar 2015
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hallo,

auch ich habe mit der Umstellung auf DSM 6.0 keine root Rechte mehr. Ich bin absoluter Laie und bin daher auf eue Unterstützung angewiesen.
Ich möchte auch die Lösung mit den Zertifikaten umsetzen. Mein Benutzername ist in der Admingruppe. Ich habe mich mit meinem Benutzer in Putty angemeldet.
Wenn ich den Befehl mkdir -p /root/.ssh wie beschrieben eingebe, bekomme ich die Meldung "chmod: cannot access ‘/root/.ssh’: Permission denied"
Was mache ich falsch?
 

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. März 2009
Beiträge
13.526
Punkte für Reaktionen
9
Punkte
328
Hallo,
Du mußt noch ein
sudo -i
absetzen dann bist Du root.

Gruß Götz
 

Bravestarr

Benutzer
Mitglied seit
01. Februar 2015
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
OK Danke.

Die Schlüssel habe ich erstellt und dem Server bekanntgegeben. Wie komme ich an die Datei ran um sie in WinSCP einzubinden.

Gruß
Bravestarr
 

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. März 2009
Beiträge
13.526
Punkte für Reaktionen
9
Punkte
328
Hallo,
kopiere die Datei id_rsa in einen gemeinsamen Ordner wo Du sie vom PC abholen kannst zB
cp /root/.ssh/id_rsa /volume1/public
Da dies der private Schlüssel ist danach im gemeinsamen Ordner löschen und auf dem PC für diese Datei nur Leserechte für Dich vergeben.

Gruß Götz
 

Bravestarr

Benutzer
Mitglied seit
01. Februar 2015
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Perfekt,

hat alles geklappt. Sehr einfache Methode.

Danke

Gruß
Bravestarr
 

fraubi

Benutzer
Mitglied seit
25. November 2011
Beiträge
602
Punkte für Reaktionen
0
Punkte
42
Hi,

auf Grund der Infos hier in diesem Thread will ich meinen Rootzugriff auch auf die Variante mit der Schlüsseldatei umgestellen. Schlüsseldatei habe ich über die Konsole erzeugt, und zwar mit

mkdir -p /root/.ssh
chmod 0700 /root/.ssh
ssh-keygen -b 4096 -t rsa -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys
cp /root/.ssh/id_rsa /volume1/public


Datei liegt jetzt in einem Verzeichnis auf meinem Rechner.Soweit ok. Aber dann.....

Danach musst du auf dem Client deinen Anwendungen (z.B. Putty oder WinSCP) bekannt geben wo der id_rsa (privater Schlüssel) zu finden ist

Wenn ich WinSCP davon überzeugen will, die Schlüsseldatei zu verwenden, erhalte ich folgende Fehlermeldung :

Fehler WinSCP.jpg

Wo genau muss ich in WinSCP auf die Schlüsseldatei verweisen ? Und wo in Putty ???
Fragen über Fragen, irgendwie bin ich heute extrem blind........ :cool::confused:

Danke für die Erleuchtung :eek:

Fraubi
 

jahlives

Moderator
Mitglied seit
19. August 2008
Beiträge
18.275
Punkte für Reaktionen
0
Punkte
0
Mal probiert, wie in der Fehlermeldung steht, putty zu verwenden, um id_rsa ins putty Format zu bringen?
 

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. März 2009
Beiträge
13.526
Punkte für Reaktionen
9
Punkte
328
Hallo,
putty und puttygen findest Du hier. Dann per puttygen Conversions - Key importieren und dann Save private key.

Gruß Götz
 

fraubi

Benutzer
Mitglied seit
25. November 2011
Beiträge
602
Punkte für Reaktionen
0
Punkte
42
Verdammt, ich glaub ich bin heute völlig neben der Spur...

Key ist umgewandelt, hat jetzt die Endung *.ppk

Wo genau hinterlege ich den in WinSCP ?
Habe schon versucht unter

Verbindung --> Tunnel --> über SSH Tunnel verbinden

sowie

SSH --> Authentifizierung --> Erlaube SSH-Agent Weiterleitung

Ständig bekomme ich den Fehler "Der entfernte Rechner lehnte unseren Schlüssel ab"

Was mache ich falsch, hiiiiiiiillllllllllllfffffffffffeeeeeeeeeeeeeeee !!!

Danke
Fraubi
 

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. März 2009
Beiträge
13.526
Punkte für Reaktionen
9
Punkte
328
Hallo,
nicht Tunnel aktivieren. Unter Authentifizierung - Datei mit privatem Schlüssel:
Gerade durchgespielt und funktioniert.

Gruß Götz
 

fraubi

Benutzer
Mitglied seit
25. November 2011
Beiträge
602
Punkte für Reaktionen
0
Punkte
42
Super, danke für die Hilfe, klappt bei mir jetzt auch (sowohl unter WinSCP und Putty).

Coole Sache, macht einmal Arbeit bei der Ersteinrichtung, ist aber ansonsten dann einfach zu nutzen.

Viele Grüße und danke
Fraubi
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.