ssh-Anmeldung nur mit Admin-Rechten?

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
731
Punkte für Reaktionen
2
Punkte
44
Ich will mit Back in Time v1.3.1 Backups auf meine neue DS420+ machen. Dafür habe ich den User Backup angelegt und für die Testphase zum Mitglied von admninistrators gemacht. ssh funktioniert:

Bash:
LOCAL_USER@LOCAL_RECHNER:~$ ssh Backup@ĉ
Enter passphrase for key '/home/LOCAL_USER/.ssh/id_rsa':

Synology strongly advises you not to run commands as the root user, who has
the highest privileges on the system. Doing so may cause major damages
to the system. Please note that if you choose to proceed, all consequences are
at your own risk.

Backup@DS420:~$

Jetzt habe ich Backup aus aus der Gruppe administrators genommen und ich kann mich nicht mehr anmelden:

Bash:
LOCAL_USER@LOCAL_RECHNER:~$ ssh Backup@LOCAL_USER
Enter passphrase for key '/home/LOCAL_USER/.ssh/id_rsa':

Synology strongly advises you not to run commands as the root user, who has
the highest privileges on the system. Doing so may cause major damages
to the system. Please note that if you choose to proceed, all consequences are
at your own risk.

Permission denied, please try again.
Connection to LOCAL_USER closed.
LOCAL_USER@LOCAL_RECHNER:~$

Kann man sich wirklich nur mit Admin-Rechten via ssh anmelden? Dann würde es ja gar keinen Sinn machen für das Backup auf der DS extra einen user anzulegen...
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
696
Punkte für Reaktionen
13
Punkte
44
Soweit mir bekannt, ist das so.
Ich glaube frueher war es nicht so. Aber es macht aus meiner Sicht auch Sinn ssh auf Admins einzuschraenken denn ein normaler Benutzer hat auf einem Server per ssh nichts verloren.
 

Adama

Benutzer
Mitglied seit
05. Mrz 2013
Beiträge
666
Punkte für Reaktionen
62
Punkte
54
Das ist ab DSM 6.2.2 geändert worden, wenn mich mein Gedächtnis nicht täuscht...
 

himitsu

Benutzer
Mitglied seit
22. Okt 2018
Beiträge
1.301
Punkte für Reaktionen
71
Punkte
68
Er hat DSM7 ... da wurde ja bei den Rechten auch nochmal alles komplett verbaut umgebaut und verschärft.
 

Tommes

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
8.126
Punkte für Reaktionen
273
Punkte
249
@himitsu
Was den Zugriff auf SSH angeht, hat sich eigentlich nichts geändert. Das ist noch alles so wie unter DSM 6.x. Ich hab die letzten Tage viel Zeit auf der Konsole verbracht, daher bin ich mir da relativ sicher.
 

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
731
Punkte für Reaktionen
2
Punkte
44
Aber es macht aus meiner Sicht auch Sinn ssh auf Admins einzuschraenken denn ein normaler Benutzer hat auf einem Server per ssh nichts verloren.

Ein eigener Benutzer für Backups mach keinen Sinn? :oops:
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.674
Punkte für Reaktionen
469
Punkte
459
Doch, aber es gibt ja auch andere Wege als Backups über ssh zu fahren.
 

himitsu

Benutzer
Mitglied seit
22. Okt 2018
Beiträge
1.301
Punkte für Reaktionen
71
Punkte
68
Wenn du z.B. deinen Admin-Account nutzt, dann kennt/verwendet das Backupprogramm dessen Zugriffsdaten und hat somit auch volle Rechte auf der DS ... für Hacker/Würmer/usw. also das Beste, was man für sie vorbereiten kann. ;)

Das Selbe gilt auch für permanente Netzwerkfreigaben auf dem PC, für Synology-Apps auf Handy und Co. usw.
 

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
731
Punkte für Reaktionen
2
Punkte
44
Doch, aber es gibt ja auch andere Wege als Backups über ssh zu fahren.

Ich bin für konstruktive Vorschläge dankbar. Nach längerer Diskussion musste ich leider feststellen, dass meine Backup-Spezifikationen von den Synology-Paketen nicht erfüllt werden, von Back in Time aber schon - und Back in Time nutzt ssh.

Wenn du z.B. deinen Admin-Account nutzt, dann kennt/verwendet das Backupprogramm dessen Zugriffsdaten und hat somit auch volle Rechte auf der DS ... für Hacker/Würmer/usw. also das Beste, was man für sie vorbereiten kann. ;)

...deshalb der Backup-Nutzer mit eingeschränkten Rechten! Dass das nicht geht, macht mich sehr ratlos...
 

himitsu

Benutzer
Mitglied seit
22. Okt 2018
Beiträge
1.301
Punkte für Reaktionen
71
Punkte
68
Ja, da geht das leider aktuell nicht viel anders.

Du könntest vielleicht noch den Weg über VirtualDSM oder eine andere Linux-VM oder Docker gehen, wo du dir über SMB aus DS als Verzeichnis einbindest und das als Backupziel nutzt.



Irgendwann soll für Mac das Synology-Backup nochmal überarbeitet werden, vor allem für Live-BareMetalBackups.

Die wollen dann auch sowas ähnlich wie das Changed Block Tracking (CBT) im Linux verwenden (weiß grad nicht wie es im Mac heißt), aber Apple hatte da mit den Lizenzen rumgemuckert, womit man das nun erstmal für Linux umsetzt, mit dem Hintergedanken es dann auch gleich für ein Vollbackup des eigenen Linux (DSM) nutzen zu können.
 

Tommes

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
8.126
Punkte für Reaktionen
273
Punkte
249
@wired2051

Laut einem Zitat aus deinem anderen Thread
Eigentlich suche ich ja so etwas wie rsnapshot, eine automatisierbare inkrementelle Datensicherungen mit Hardlinks (platzsparend) nach dem Generationenprinzip.
… suchst du also sowas hier. Da ich den Thread nur quergelesen habe, noch die Frage, ob die Daten nur innerhalb deines NAS bzw. auf einer angeschlossenen USB-Festplatte nach dem Generationenprinzip angelegt werden sollen, oder willst du die Daten deines PC über SSH vom NAS abholen lassen (also ein Pull-Backup) oder eher die Daten von deinem PC aus auf das NAS bringen (Push-Backup)?
 

himitsu

Benutzer
Mitglied seit
22. Okt 2018
Beiträge
1.301
Punkte für Reaktionen
71
Punkte
68
oder willst du die Daten deines PC über SSH vom NAS abholen lassen (also ein Pull-Backup)
Hier wäre es egal, ob das Anmelden beim SSH in der DS nicht geht, da hier ja der SSH-Server im PC genutzt wird. ;)
 

Tommes

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
8.126
Punkte für Reaktionen
273
Punkte
249
Genau deshalb frage ich. Ich habe auch die Erfahrung gemacht, das es von den Berechtigungen her einfacher ist, wenn man Daten von einem Remote Server auf die DS zu zieht (Pull), als Daten von einer DS auf einen Remote Server zu schieben (Push). Jedenfalls unter Verwendung von SSH…
 
NAS-Central - Ihr Partner für NAS Lösungen