Toggle sidebar

mit neuem Admin-Nutzer in Putty

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Ha34Meiner

Ha34Meiner

Benutzer
Registriert
28. Dez. 2012
Beiträge
574
Reaktionspunkte
12
Punkte
44
Hallo,
ich als Anfänger habe nun den admin der DS gesperrt/deaktiviert (lt. Sicherheit im Wiki) und mir einen neune ADMIN-Nutzer mit neuem PW erstellt. Nun wollte ich mich über putty anmelden. Leider wird mein neues passwort für den neune ADMIN-USER weder für Benutzer root oder admin angenommen.
Was mache ich falsch?
Leider habe ich über die Suche nichts gefunden ... Und ich habe lange gesucht :)
 
Das Passwort für root ist immer das des admin, und nicht eines admin2, admin3,... etc.
 
es macht wirklich keinen großen Sinn, den 'admin' auf der DS zu sperren ... der User 'admin' ist nie wirklich ein Problem ... der User 'root' ist der Herrscher

Itari
 
@ Itari
aber das WIKI sagt was anderes :o *LACH* und wir haben uns daran sklavisch gehalten. Ok, dann geben wir dem admin ein neues langes PW und sperren diesen dann wieder (vielleicht). kann putty alle Sonderzeichen und . , verstehen?
 
das mit dem Wiki tut mir Leid ... dagegen steht nun eben meine bescheidene Meinung: jeder Computer kann gehackt werden; es muss sich nur lohnen *gg*

Also das mit den Sonderzeichen im Passwort: kann man machen, ist aber eben immer durch das jeweilige Programm (putty, telnet, ssh usw.) eingeschränkt ... ich würde es nicht machen, außer '-' und '_' könnten alle anderen irgendwo Probleme machen, wenn man mal in Kommandos damit spielt und sie dann vergisst richtig zu maskieren (also ihrer normalen Bedeutung zu entheben).

Mein Empfehlung:

- 12-14 Zeichen (kleine, große Buchstaben und Ziffern - keine Umlaute) und - jetzt kommt es - häufig ändern (wöchentlich), dabei aber nicht durchnummerieren *gg*
- den Zugang zur DS via Internet nicht zulassen (Router nicht für die telnet, ssh usw. Ports freischalten) ... wenn überhaupt aus dem Internet, dann nur per VPN
- die aktuelle Zeitschift c't (2013 Heft 3) kaufen und die Passwortartikel lesen

Itari
 
Werter Itari,
das ist schon in Ordnung :-)) Nur als Anfänger liest man (fast) alles was man so im Forum und im Wiki findet. Und arbeitet es dann ab, da man denkt das ist wichtig.
Unsere Frau sagt, wenn wir nur so im Haushalt arbeiten würden, wie wir unsere DS behandeln ... Aber das ist ein anderes Thema :D
Wir hören aber auch gerne andere Meinungen und dafür ist dies Forum sehr gut.

- die aktuelle Zeitschift c't (2013 Heft 3) kaufen und die Passwortartikel lesen
Zum Vergrößern anklicken....
haben wir hier abonniert, liegt aber noch nicht auf meinem Schreibtisch. Aber wegen unseren Passörtern machen wir uns keine Sorgen, die sind lang und alle unterschiedlich. Werden aber nur 1-2 mal im Jahr geändert.

Nun können wir uns in putty anmelden. aber es kommt der Fatal Error: Server unexpectedly closed network connection

In der Firewall hatten wir den Port vergessen, der ist aber nun eingestellt.
An den Router kommen wir jetzt nicht dran und denken aber den Port freigeschaltet zu haben.
Unter Anwendungsberechtigungen steht der Benutzer Admin nicht, ist dies der Fehler?

Danke für Eure schnelle und gute Hilfe.
 
putty kann telnet und ssh ... telnet ist die 'lockere' Variante und gut geeignet zum Test der Verbindung ... im DSM hast auch telnet/ssh aktiviert, oder?

wenn die DS läuft, kann man auch mal eine direkte Netzwerkkabel-Verbindung (man braucht kein gedrehtes Kabel bei GBit) zwischen dem putty-PC und der DS ausprobieren (beide haben ja ihre IP-Adresse und müssen sich nicht via Router/DHCP suchen). Dabei kannst halt feststellen, ob Router und Infrastruktur dir ein Bein stellen, denn bei einer direkten Verbindung fällt das ja alles heraus. Sollte die direkte Verbindung nicht gehen, obwohl man den DSM nutzen kann, dann stimmt eben noch etwas mit der telnet/ssh/Firewall usw. Einstellung auf der DS nicht und müsste genauer diskutiert werden.

Itari
 
Das Problem saß mal wieder vor dem PC :-)
Hatte mich selber aus der DS "geschossen", 3 mal Passwort verkehrt und mich gesperrt. Das Problem war wohl das falsche Passwort. Funktioniert jetzt aber alles. Danke für die Antworten.
 
Zum Thema Sicherheit. Knan man das Programm putty auch nur von zu Hause von seinem Rechner "anwerfen" OHNE übers Internet gehen zu müssen? Dann könnte ich den Dienst "Terminal" in der DSM deaktivieren.
Ich habe ungefähr 3 geblockte Anmeldungen pro Tag. Ist dies normal, wenn man die NAS im Internet hat?
 
Ha34Meiner schrieb:
Zum Thema Sicherheit. Knan man das Programm putty auch nur von zu Hause von seinem Rechner "anwerfen" OHNE übers Internet gehen zu müssen?
Zum Vergrößern anklicken....
Natürlich geht das. Denn du bestimmst selbst, welche Ports und damit welche Dienste, von außen sichtbar sind.
Ha34Meiner schrieb:
Ich habe ungefähr 3 geblockte Anmeldungen pro Tag. Ist dies normal, wenn man die NAS im Internet hat?
Zum Vergrößern anklicken....
Anmeldeversuche über Port 22? Das ist noch arg wenig. Drei Anmeldeversuche pro Minute sind da eher normal. Denn die Skripte der Hacker probieren dann alle Variationen von Nutzername und Passwörtern automatisch aus. Daher gebe ich ssh/telnet nie über die normale Internetverbindung frei. Bei einem Freund, der sich nicht mit openvpn beschäftigen wollte, habe ich ssh auf einen anderen Port als den 22er freigegeben und die Anmeldung per Benutzer/Passwort deaktiviert. Jetzt kann man sich dort nur noch mit einem Authentifizierungszertifikat am ssh-Dienst anmelden. Ihm war das sicher genug, sodass er auch übers Internet per ssh auf seine DS zugreift. Aber das muss jeder selbst wissen.
 
cyorps schrieb:
Natürlich geht das. Denn du bestimmst selbst, welche Ports und damit welche Dienste, von außen sichtbar sind....
Zum Vergrößern anklicken....
Da wir noch neu sind. Wenn wir nun den PORT 22 an der Fitzbox wieder deaktivieren, aber den Terminal-Dienst über SSH aktiviert lassen, kommen wir nur im Local-Netz zu Hause mit putty auf unsere DS?

Anmeldeversuche über Port 22? Das ist noch arg wenig....
Zum Vergrößern anklicken....
Wenig? Wir fanden es jetzt schon viel und wollen nun auch nicht mehr übers Internet auf das Terminal.

.., habe ich ssh auf einen anderen Port als den 22er freigegeben, die Anmeldung per Benutzer/Passwort deaktiviert.
Zum Vergrößern anklicken....
Wie und wo habt ihr dies gemacht? Wenn die Antwort zu lang werden sollte, sooo wichtig ist es nicht. Wir sind halt nur Neugierig :-)
 
Ha34Meiner schrieb:
Wenn wir nun den PORT 22 an der Fitzbox wieder deaktivieren, aber den Terminal-Dienst über SSH aktiviert lassen, kommen wir nur im Local-Netz zu Hause mit putty auf unsere DS?
Zum Vergrößern anklicken....
Genau! Wenn die FB den Port 22 über die Portweiterleitung für das Internet nicht kennt, kannst du diesen Port nur in deinem lokalen Netz verwenden.

Ha34Meiner schrieb:
Wir fanden es jetzt schon viel und wollen nun auch nicht mehr übers Internet auf das Terminal.
Zum Vergrößern anklicken....
Der Angreifer sucht doch automatisiert einfach nach einem offenen Port 22 und lässt dann alle Benutzer/Passwortvariationen durchspielen.

Ha34Meiner schrieb:
Wie und wo habt ihr dies gemacht?
Zum Vergrößern anklicken....
1. Die Regel an der Fritzbox wird so definiert, dass von einen anderen Port aus dem Internet auf den Port 22 der Synology weitergeleitet wird.
2. Siehe Synowiki-Eintrag "Ssh mit Zertifikaten absichern"
Das hat zur Folge, dass man von extern z.B. den Port 94 als ssh-Zugang kennen muss und man sich generell nur noch mit dem erstellten Zertifikat an der ssh anmelden kann.
 
Wir wollten nun unsere Frage abschließen, erst einmal vielen Dank für Eure Hilfe, wir haben nun den PORT geändert, uns ein ssh-Zertifkat mit key erstellt und nun kommen wir nur noch gesichert über putty auf unsere DSM. Brauchten wir das? :cool: Nein, aber es hat Spaß gemacht und es macht ein Glücklich wenn alles so funktioniert wie man es sich gedacht/erlesen (sowie bei cyorps) hat :D
 
Doch noch eine Frage, für unser key haben wir das Programm Pageant im Autostartordner. Leider behält dieser den key nicht bei einem Neustart und wir müssen diesen immer wieder neu ins Prog Pageant "reinholen" und mit dem key-passwort aktivieren. Wie können wir dem Programm Pageant beibringen, das er den key IMMER automatisch nach einem Neustart einbindet?
 
beim pageant Start die ppk Datei als Parameter mit vollen Pfad übergeben. Die darf dann natürlich kein Password mehr haben.
 
Danke, tommi2day,
aber wie mache ich es?
Habe ja nur pageant in den Autostart Ordner in Windows XP abgelegt und wie bekomme ich das PW wieder raus?
Ich weiß, es sind Anfängerfragen, aber wir SIND Anfänger :)
 
Statt den pageant selber in den Autostart zu schieben empfiehlt es sich eine Verknüpfung anzulegen . Dann kann man unter Eigenschaften->Ziel auch den Parameter mitgeben, z.B.
"C:\Program Files (x86)\PuTTY\pageant.exe" "C:\Users\xxx\Documents\certs\xxx.ppk" "C:\Users\xxx\Documents\certs\yyy.ppk"
Zum Vergrößern anklicken....
Die Pfade und Namen natürlich auf die eigenen Verhältnisse anpassen.

Das Password bekommt man weg genauso wie man es rein gemacht hat-> PuttyGen aufrufen, die PPK Datei laden, das Password entfernen und speichern.
 
So, da bin ich wieder :D
Ich habe ja nun meine DS auf 5.0 neu aufgesetzt und wollte mit folgender Anleitung ein putty-Zugang sicherer machen.

Ssh mit Zertifikaten absichern

Welches HOME-Verz. für den root nehme ich denn? Ich habe einfach wild ins erst beste reingestellt und zusätzlich im HOME-Verz. des Admin:

Im HOME Verzeichnis des Users muss zuerst ein verstecktes Verzeichnis ssh erstellt und die Rechte sehr restriktiv gesetzt werden

$ chown -R root ~/.ssh

Danach den kompletten key in die neue Datei reinkopiert:

$ nano -w ~/.ssh/authorized_keys

Und dann sagt mir putty:
Server refused our key

und ich muß dann doch das Passwort eingeben, wo liegt der Fehler?

Natürlich bei uns *LACH*
 
Wenn du dich mit dem Benutzer root an der Shell anmelden möchtest, ist das Verzeichnis /root die richtige Wahl. Bei allen anderen Benutzern gilt das Verzeichnis /volume1/homes/username.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten