Toon posts:

SSH public key authentication op Synology DSM 7

Pagina: 1
Acties:

Vraag

maandag 31 januari 2022 11:59

Acties:
  • 0 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
Ik wil public key authentication opzetten op mijn Synology NAS ipv de standaard authenticatie via wachtwoord.

Stappen die ik hiervoor gedaan heb:
- mkdir .ssh (in home dir van ssh user)
- chmod 700 .ssh
- in die .ssh folder authorized_keys file aangemaakt met de pub key van de pc waarmee ik wil inloggen
- chmod 600 authorized_keys
- vim /etc/ssh/sshd_config en PubkeyAuthentication yes + AuthorizedKeysFile .ssh/authorized_keys uit commentaar gehaald
- ssh service herstart via de interface

Vervolgens wil ik inloggen en krijg ik gewoon terug een wachtwoord prompt. :? Zie ik iets over het hoofd? Zijn er hier mensen die dit reeds voor mekaar gekregen hebben met hun Synology NAS?

Beste antwoord (via gibsonneke op 31-01-2022 14:12)

maandag 31 januari 2022 12:56

  • TommyGun
  • Registratie: Mei 2004
  • Laatst online: 13-05 20:25

TommyGun

Stik er maar in!

Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers

[ Voor 24% gewijzigd door TommyGun op 31-01-2022 12:58 ]

“In a world without walls and fences, who needs Windows and Gates".

Alle reacties

maandag 31 januari 2022 12:03

Acties:
  • +1 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16-05 11:30

DataGhost

iPL dev

Wat staat er in je logs? Hoe maak je verbinding? Wat zegt het programma wat je daarvoor gebruikt in de verbose output?

maandag 31 januari 2022 12:11

Acties:
  • 0 Henk 'm!
  • Merethil
  • Registratie: December 2008
  • Laatst online: 22:56

Merethil

gibsonneke schreef op maandag 31 januari 2022 @ 11:59:
Ik wil public key authentication opzetten op mijn Synology NAS ipv de standaard authenticatie via wachtwoord.

Stappen die ik hiervoor gedaan heb:
- mkdir .ssh (in home dir van ssh user)
- chmod 700 .ssh
- in die .ssh folder authorized_keys file aangemaakt met de pub key van de pc waarmee ik wil inloggen
- chmod 600 authorized_keys
- vim /etc/ssh/sshd_config en PubkeyAuthentication yes + AuthorizedKeysFile .ssh/authorized_keys uit commentaar gehaald
- ssh service herstart via de interface

Vervolgens wil ik inloggen en krijg ik gewoon terug een wachtwoord prompt. :? Zie ik iets over het hoofd? Zijn er hier mensen die dit reeds voor mekaar gekregen hebben met hun Synology NAS?
Weet je zeker dat het wachtwoordprompt niet vraagt om het wachtwoord voor je key op je client?

maandag 31 januari 2022 12:14

Acties:
  • 0 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
DataGhost schreef op maandag 31 januari 2022 @ 12:03:
Wat staat er in je logs? Hoe maak je verbinding? Wat zegt het programma wat je daarvoor gebruikt in de verbose output?
Verbinding wordt gemaakt vanuit iTerm op een Macbook.

Verbose output:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /Users/libbrechtemmanuel/.ssh/id_rsa RSA SHA256:QXfanWpznvGpAtkcJOImpv2h4TPKyu/aAqCFi5BFHx0
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_dsa
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_ecdsa
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_ed25519
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_xmss
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_xmss: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password


Er wordt dus wel degelijk een poging gedaan om in te loggen via de public key maar dit lijkt niet te werken.

maandag 31 januari 2022 12:15

Acties:
  • 0 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
Merethil schreef op maandag 31 januari 2022 @ 12:11:
[...]


Weet je zeker dat het wachtwoordprompt niet vraagt om het wachtwoord voor je key op je client?
Ja want die verschillen en ik kan gewoon inloggen met het wachtwoord van de user op de NAS.

maandag 31 januari 2022 12:15

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16-05 11:30

DataGhost

iPL dev

En in het serverlog?

maandag 31 januari 2022 12:26

Acties:
  • 0 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
DataGhost schreef op maandag 31 januari 2022 @ 12:15:
En in het serverlog?
Ik vind die precies niet direct terug.

Onder /var/log/messages staat er alvast niets.

maandag 31 januari 2022 12:28

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 18:02

pennywiser

gibsonneke schreef op maandag 31 januari 2022 @ 11:59:

- mkdir .ssh (in home dir van ssh user)
Kan je niet gewoon ssh-keygen doen op de syno?
gibsonneke schreef op maandag 31 januari 2022 @ 11:59:

Vervolgens wil ik inloggen
Hoe doe je dit precies als in wat typ je daarvoor in precies, en wat is de username op de syno?

[ Voor 100% gewijzigd door pennywiser op 31-01-2022 12:33 ]

maandag 31 januari 2022 12:54

Acties:
  • 0 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
pennywiser schreef op maandag 31 januari 2022 @ 12:28:
[...]


Kan je niet gewoon ssh-keygen doen op de syno?


[...]

Hoe doe je dit precies als in wat typ je daarvoor in precies, en wat is de username op de syno?
Dat kan maar het is toch de bedoeling om net de pub key te gaan gebruiken van de cliënt waarmee ik wil inloggen?

maandag 31 januari 2022 12:56

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • TommyGun
  • Registratie: Mei 2004
  • Laatst online: 13-05 20:25

TommyGun

Stik er maar in!

Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers

[ Voor 24% gewijzigd door TommyGun op 31-01-2022 12:58 ]

“In a world without walls and fences, who needs Windows and Gates".

maandag 31 januari 2022 12:59

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 18:02

pennywiser

gibsonneke schreef op maandag 31 januari 2022 @ 12:54:
[...]


Dat kan maar het is toch de bedoeling om net de pub key te gaan gebruiken van de cliënt waarmee ik wil inloggen?
Dat zeg ik toch ook niet? In elk geval zijn je rechten en naamgeving op de .ssh folder dan direct in orde.

maandag 31 januari 2022 12:59

Acties:
  • 0 Henk 'm!
  • sOid
  • Registratie: Maart 2004
  • Niet online

sOid

Heb je dit wel in je /etc/ssh/sshd_config staan?

code:
1
2

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no


Zo werkt het bij mij iig prima. Wel DSM6.

maandag 31 januari 2022 13:01

Acties:
  • +3 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 18:02

pennywiser

sOid schreef op maandag 31 januari 2022 @ 12:59:
Heb je dit wel in je /etc/ssh/sshd_config staan?

code:
1
2

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no


Zo werkt het bij mij iig prima. Wel DSM6.
Hiermee zet je password authentication uit. Ook met passwords enabled moeten keys gewoon altijd werken.

Het zit hem in die 755 van @TommyGun kennelijk.

maandag 31 januari 2022 13:05

Acties:
  • 0 Henk 'm!
  • sOid
  • Registratie: Maart 2004
  • Niet online

sOid

pennywiser schreef op maandag 31 januari 2022 @ 13:01:
[...]

Hiermee zet je password authentication uit. Ook met passwords enabled moeten keys gewoon altijd werken.

Het zit hem in die 755 van @TommyGun kennelijk.
Oja, daarmee zet je password authentication indd helemaal uit. Al is dat natuurlijk alsnog verstandig om te doen.

Vond het in DSM6 overigens wel raar dat je allerlei SSH-instellingen kan wijzigen via de GUI maar het is onmogelijk om SSH-keys daar te configureren. Kan dat in DSM7 nog steeds niet?

maandag 31 januari 2022 13:13

Acties:
  • +1 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16-05 11:30

DataGhost

iPL dev

TommyGun schreef op maandag 31 januari 2022 @ 12:56:
Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers
Logisch. Dit zou als het goed is gewoon in auth.log (of equivalent) moeten staan en dan was het snel duidelijk geweest. Anders kan je als aanvaller zoiets doen, als willekeurig welke user:

# whoami
root
# mkdir /test
# chmod 777 /test
# mkdir /test/.ssh
# chmod 700 /test/.ssh
# echo "abc" > /test/.ssh/authorized_keys 
# chmod 600 /test/.ssh/authorized_keys
# logout

$ whoami
dataghost
$ cat /test/.ssh/authorized_keys
cat: /test/.ssh/authorized_keys: Permission denied
$ echo "def" > /test/.ssh/authorized_keys
-bash: /test/.ssh/authorized_keys: Permission denied
$ mv /test/.ssh /test/doei
$ mkdir /test/.ssh
$ echo "def" > /test/.ssh/authorized_keys
$ chmod 700 /test/.ssh
$ chmod 600 /test/.ssh/authorized_keys
$ cat /test/.ssh/authorized_keys
def

Nou gaat dit alsnog niet want sshd zal gaan klagen dat de .ssh-map de verkeerde owner heeft :+ maar als die checks er niet waren had je nu een probleem gehad. World-writable mappen zijn eigenlijk altijd een no-no tenzij je weet waar je mee bezig bent. World-readable eigenlijk ook.

maandag 31 januari 2022 13:54

Acties:
  • 0 Henk 'm!
  • gebruiker
  • Registratie: Januari 2022
  • Niet online

gebruiker

TommyGun schreef op maandag 31 januari 2022 @ 12:56:
Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers
Als deze rechten-wijzigingen nog niet helpen, is het misschien goed om je precieze authorized_keys (gecensureerd) hier te posten.

maandag 31 januari 2022 14:12

Acties:
  • +2 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
TommyGun schreef op maandag 31 januari 2022 @ 12:56:
Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers
chmod 755 -R op de gehele user folder, chmod 700 -R op de .ssh folder en chmod 600 op de authorized_keys file hebben uiteindelijk het probleem opgelost.

Bedankt voor de tip!

maandag 31 januari 2022 14:13

Acties:
  • +1 Henk 'm!
  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 16-05 09:24

gibsonneke

Topicstarter
sOid schreef op maandag 31 januari 2022 @ 13:05:
[...]

Oja, daarmee zet je password authentication indd helemaal uit. Al is dat natuurlijk alsnog verstandig om te doen.

Vond het in DSM6 overigens wel raar dat je allerlei SSH-instellingen kan wijzigen via de GUI maar het is onmogelijk om SSH-keys daar te configureren. Kan dat in DSM7 nog steeds niet?
Heb ik uiteindelijk wel uitgezet nadat de pub key authenticatie in orde was. :)

maandag 31 januari 2022 14:14

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 18:02

pennywiser

gibsonneke schreef op maandag 31 januari 2022 @ 14:12:
[...]


chmod 755 -R op de gehele user folder, chmod 700 -R op de .ssh folder en chmod 600 op de authorized_keys file hebben uiteindelijk het probleem opgelost.

Bedankt voor de tip!
Interessant is waar het dan eerst op stond.

maandag 31 januari 2022 14:17

Acties:
  • +1 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16-05 11:30

DataGhost

iPL dev

gibsonneke schreef op maandag 31 januari 2022 @ 14:12:
[...]


chmod 755 -R op de gehele user folder, chmod 700 -R op de .ssh folder en chmod 600 op de authorized_keys file hebben uiteindelijk het probleem opgelost.

Bedankt voor de tip!
Volgende keer als je chmod -R doet (liever niet!) gebruik je beter letters, dus "chmod -R go-wx" in dit geval. Nu heb je al je bestanden executable en world-readable gemaakt en alle mappen doorzoekbaar door iedereen. Dus een bestand wat 600 was is nu 755 en een map die 710 was is nu ook 755.

maandag 31 januari 2022 14:18

Acties:
  • +1 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16-05 11:30

DataGhost

iPL dev

pennywiser schreef op maandag 31 januari 2022 @ 14:14:
[...]

Interessant is waar het dan eerst op stond.
Volgens de eerder gegeven link schijnt 777 standaard te zijn op een Synology :X

maandag 31 januari 2022 14:18

Acties:
  • +1 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 18:02

pennywiser

DataGhost schreef op maandag 31 januari 2022 @ 14:18:
[...]

Volgens de eerder gegeven link schijnt 777 standaard te zijn op een Synology :X
Niet gezien maar brr..
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq