Toon posts:

SSH public key authentication op Synology DSM 7

Pagina: 1
Acties:

Vraag


  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
Ik wil public key authentication opzetten op mijn Synology NAS ipv de standaard authenticatie via wachtwoord.

Stappen die ik hiervoor gedaan heb:
- mkdir .ssh (in home dir van ssh user)
- chmod 700 .ssh
- in die .ssh folder authorized_keys file aangemaakt met de pub key van de pc waarmee ik wil inloggen
- chmod 600 authorized_keys
- vim /etc/ssh/sshd_config en PubkeyAuthentication yes + AuthorizedKeysFile .ssh/authorized_keys uit commentaar gehaald
- ssh service herstart via de interface

Vervolgens wil ik inloggen en krijg ik gewoon terug een wachtwoord prompt. :? Zie ik iets over het hoofd? Zijn er hier mensen die dit reeds voor mekaar gekregen hebben met hun Synology NAS?

Beste antwoord (via gibsonneke op 31-01-2022 14:12)


  • TommyGun
  • Registratie: Mei 2004
  • Laatst online: 22:01

TommyGun

Stik er maar in!

Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers

[Voor 24% gewijzigd door TommyGun op 31-01-2022 12:58]

“In a world without walls and fences, who needs Windows and Gates".

Alle reacties


  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 01:01

DataGhost

iPL dev

Wat staat er in je logs? Hoe maak je verbinding? Wat zegt het programma wat je daarvoor gebruikt in de verbose output?

  • Merethil
  • Registratie: December 2008
  • Laatst online: 23:58
gibsonneke schreef op maandag 31 januari 2022 @ 11:59:
Ik wil public key authentication opzetten op mijn Synology NAS ipv de standaard authenticatie via wachtwoord.

Stappen die ik hiervoor gedaan heb:
- mkdir .ssh (in home dir van ssh user)
- chmod 700 .ssh
- in die .ssh folder authorized_keys file aangemaakt met de pub key van de pc waarmee ik wil inloggen
- chmod 600 authorized_keys
- vim /etc/ssh/sshd_config en PubkeyAuthentication yes + AuthorizedKeysFile .ssh/authorized_keys uit commentaar gehaald
- ssh service herstart via de interface

Vervolgens wil ik inloggen en krijg ik gewoon terug een wachtwoord prompt. :? Zie ik iets over het hoofd? Zijn er hier mensen die dit reeds voor mekaar gekregen hebben met hun Synology NAS?
Weet je zeker dat het wachtwoordprompt niet vraagt om het wachtwoord voor je key op je client?

  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
DataGhost schreef op maandag 31 januari 2022 @ 12:03:
Wat staat er in je logs? Hoe maak je verbinding? Wat zegt het programma wat je daarvoor gebruikt in de verbose output?
Verbinding wordt gemaakt vanuit iTerm op een Macbook.

Verbose output:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /Users/libbrechtemmanuel/.ssh/id_rsa RSA SHA256:QXfanWpznvGpAtkcJOImpv2h4TPKyu/aAqCFi5BFHx0
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_dsa
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_ecdsa
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_ed25519
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /Users/libbrechtemmanuel/.ssh/id_xmss
debug3: no such identity: /Users/libbrechtemmanuel/.ssh/id_xmss: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password


Er wordt dus wel degelijk een poging gedaan om in te loggen via de public key maar dit lijkt niet te werken.

  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
Merethil schreef op maandag 31 januari 2022 @ 12:11:
[...]


Weet je zeker dat het wachtwoordprompt niet vraagt om het wachtwoord voor je key op je client?
Ja want die verschillen en ik kan gewoon inloggen met het wachtwoord van de user op de NAS.

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 01:01

DataGhost

iPL dev

En in het serverlog?

  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
Ik vind die precies niet direct terug.

Onder /var/log/messages staat er alvast niets.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 00:07
gibsonneke schreef op maandag 31 januari 2022 @ 11:59:

- mkdir .ssh (in home dir van ssh user)
Kan je niet gewoon ssh-keygen doen op de syno?
Hoe doe je dit precies als in wat typ je daarvoor in precies, en wat is de username op de syno?

[Voor 100% gewijzigd door NimRod1337 op 31-01-2022 12:33]


  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
NimRod1337 schreef op maandag 31 januari 2022 @ 12:28:
[...]


Kan je niet gewoon ssh-keygen doen op de syno?


[...]

Hoe doe je dit precies als in wat typ je daarvoor in precies, en wat is de username op de syno?
Dat kan maar het is toch de bedoeling om net de pub key te gaan gebruiken van de cliënt waarmee ik wil inloggen?

Acties:
  • Beste antwoord
  • +1Henk 'm!

  • TommyGun
  • Registratie: Mei 2004
  • Laatst online: 22:01

TommyGun

Stik er maar in!

Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers

[Voor 24% gewijzigd door TommyGun op 31-01-2022 12:58]

“In a world without walls and fences, who needs Windows and Gates".


  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 00:07
gibsonneke schreef op maandag 31 januari 2022 @ 12:54:
[...]


Dat kan maar het is toch de bedoeling om net de pub key te gaan gebruiken van de cliënt waarmee ik wil inloggen?
Dat zeg ik toch ook niet? In elk geval zijn je rechten en naamgeving op de .ssh folder dan direct in orde.

  • sOid
  • Registratie: Maart 2004
  • Niet online
Heb je dit wel in je /etc/ssh/sshd_config staan?

code:
1
2
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no


Zo werkt het bij mij iig prima. Wel DSM6.

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 00:07
sOid schreef op maandag 31 januari 2022 @ 12:59:
Heb je dit wel in je /etc/ssh/sshd_config staan?

code:
1
2
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no


Zo werkt het bij mij iig prima. Wel DSM6.
Hiermee zet je password authentication uit. Ook met passwords enabled moeten keys gewoon altijd werken.

Het zit hem in die 755 van @TommyGun kennelijk.

  • sOid
  • Registratie: Maart 2004
  • Niet online
NimRod1337 schreef op maandag 31 januari 2022 @ 13:01:
[...]

Hiermee zet je password authentication uit. Ook met passwords enabled moeten keys gewoon altijd werken.

Het zit hem in die 755 van @TommyGun kennelijk.
Oja, daarmee zet je password authentication indd helemaal uit. Al is dat natuurlijk alsnog verstandig om te doen.

Vond het in DSM6 overigens wel raar dat je allerlei SSH-instellingen kan wijzigen via de GUI maar het is onmogelijk om SSH-keys daar te configureren. Kan dat in DSM7 nog steeds niet?

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 01:01

DataGhost

iPL dev

TommyGun schreef op maandag 31 januari 2022 @ 12:56:
Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers
Logisch. Dit zou als het goed is gewoon in auth.log (of equivalent) moeten staan en dan was het snel duidelijk geweest. Anders kan je als aanvaller zoiets doen, als willekeurig welke user:

# whoami
root
# mkdir /test
# chmod 777 /test
# mkdir /test/.ssh
# chmod 700 /test/.ssh
# echo "abc" > /test/.ssh/authorized_keys 
# chmod 600 /test/.ssh/authorized_keys
# logout

$ whoami
dataghost
$ cat /test/.ssh/authorized_keys
cat: /test/.ssh/authorized_keys: Permission denied
$ echo "def" > /test/.ssh/authorized_keys
-bash: /test/.ssh/authorized_keys: Permission denied
$ mv /test/.ssh /test/doei
$ mkdir /test/.ssh
$ echo "def" > /test/.ssh/authorized_keys
$ chmod 700 /test/.ssh
$ chmod 600 /test/.ssh/authorized_keys
$ cat /test/.ssh/authorized_keys
def

Nou gaat dit alsnog niet want sshd zal gaan klagen dat de .ssh-map de verkeerde owner heeft :+ maar als die checks er niet waren had je nu een probleem gehad. World-writable mappen zijn eigenlijk altijd een no-no tenzij je weet waar je mee bezig bent. World-readable eigenlijk ook.

  • gebruiker
  • Registratie: Januari 2022
  • Niet online
TommyGun schreef op maandag 31 januari 2022 @ 12:56:
Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers
Als deze rechten-wijzigingen nog niet helpen, is het misschien goed om je precieze authorized_keys (gecensureerd) hier te posten.

  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
TommyGun schreef op maandag 31 januari 2022 @ 12:56:
Inderdaad, je werkwijze klopt ook gewoon. Maar het lijkt erop alsof er een extra stap nodig is bij DSM;
https://blog.aaronlenoir....ynology-nas-with-ssh-key/

Zelf niet getest overigens.

Zie ook https://kb.synology.com/e...sion_via_SSH_on_computers
chmod 755 -R op de gehele user folder, chmod 700 -R op de .ssh folder en chmod 600 op de authorized_keys file hebben uiteindelijk het probleem opgelost.

Bedankt voor de tip!

  • gibsonneke
  • Registratie: November 2012
  • Laatst online: 08-02 10:25
sOid schreef op maandag 31 januari 2022 @ 13:05:
[...]

Oja, daarmee zet je password authentication indd helemaal uit. Al is dat natuurlijk alsnog verstandig om te doen.

Vond het in DSM6 overigens wel raar dat je allerlei SSH-instellingen kan wijzigen via de GUI maar het is onmogelijk om SSH-keys daar te configureren. Kan dat in DSM7 nog steeds niet?
Heb ik uiteindelijk wel uitgezet nadat de pub key authenticatie in orde was. :)

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 00:07
gibsonneke schreef op maandag 31 januari 2022 @ 14:12:
[...]


chmod 755 -R op de gehele user folder, chmod 700 -R op de .ssh folder en chmod 600 op de authorized_keys file hebben uiteindelijk het probleem opgelost.

Bedankt voor de tip!
Interessant is waar het dan eerst op stond.

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 01:01

DataGhost

iPL dev

gibsonneke schreef op maandag 31 januari 2022 @ 14:12:
[...]


chmod 755 -R op de gehele user folder, chmod 700 -R op de .ssh folder en chmod 600 op de authorized_keys file hebben uiteindelijk het probleem opgelost.

Bedankt voor de tip!
Volgende keer als je chmod -R doet (liever niet!) gebruik je beter letters, dus "chmod -R go-wx" in dit geval. Nu heb je al je bestanden executable en world-readable gemaakt en alle mappen doorzoekbaar door iedereen. Dus een bestand wat 600 was is nu 755 en een map die 710 was is nu ook 755.

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 01:01

DataGhost

iPL dev

NimRod1337 schreef op maandag 31 januari 2022 @ 14:14:
[...]

Interessant is waar het dan eerst op stond.
Volgens de eerder gegeven link schijnt 777 standaard te zijn op een Synology :X

  • NimRod1337
  • Registratie: November 2002
  • Laatst online: 00:07
DataGhost schreef op maandag 31 januari 2022 @ 14:18:
[...]

Volgens de eerder gegeven link schijnt 777 standaard te zijn op een Synology :X
Niet gezien maar brr..
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee