{"id":1685,"date":"2010-07-11T10:27:37","date_gmt":"2010-07-11T08:27:37","guid":{"rendered":"https:\/\/blog.andere-sichtweise.de\/?p=1685"},"modified":"2011-03-11T10:56:11","modified_gmt":"2011-03-11T08:56:11","slug":"non-admin-ssh-login-bei-der-qnap-ts-209-pro-ii","status":"publish","type":"post","link":"https:\/\/blog.andere-sichtweise.de\/?p=1685","title":{"rendered":"Non-Admin SSH-Login bei der QNAP TS-209 Pro II"},"content":{"rendered":"

Secure Shell<\/strong><\/a> oder SSH<\/strong><\/a> bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man auf eine sichere Art und Weise eine verschl\u00fcsselte Netzwerkverbindung mit einem entfernten Computer herstellen kann. Die meisten QNAP-Ger\u00e4te unterst\u00fctzen diese Verbindungsm\u00f6glichkeit vom Werk aus. Bei der werksseitigen Installation vom SSH-Daemon auf den QNAP-Ger\u00e4ten ist es nur dem admin erlaubt sich zu verbinden, was ich pers\u00f6nlich f\u00fcr \u00e4u\u00dferst ungeschickt halte.<\/p>\n

Da der root\/admin jedoch alles auf dem System machen darf, sollte man, gerade wenn das System aus dem Internet erreichbar ist, sehr komplexe und sichere Passw\u00f6rter w\u00e4hlen, um das System abzusichern. Eine andere M\u00f6glichkeit ist jedoch das deaktivieren des Root-Logins \/ Admin-Logins. Hierzu sollte man wie folgt vorgehen:<\/p>\n

<\/p>\n

1. Austauschen des SSH-Daemons<\/h2>\n

Der installierte SSH-Daemon scheint von QNAP so modifiziert worden zu sein, dass er nur ein Login als admin zul\u00e4sst. Um hier flexible zu sein muss Open-SSH installiert werden. Hierzu bedient man sich des ipkg-Systems, um das erforderliche Paket inkl. evtl. Abh\u00e4ngigkeiten zu installieren (vorher als admin via ssh anmelden).<\/p>\n

admin@NAS ~] ipkg list | grep openssh\r\n\r\nopenssh - 5.1p1-1 - a FREE version of the SSH protocol suite ...\r\nopenssh-sftp-server - 5.1p1-1 - sftp-server only from a FREE ver...\r\n\r\n[admin@NAS ~] ipkg install\r\n<\/pre>\n
Der neue SSH-Daemon wird im Verzeichnis \/opt\/sbin\/ installiert und  steht nun zur Verf\u00fcgung. Um das System nun dazu zu bringen, den neuen  Daemon zu benutzen wechseln wir in das Verzeichnis \/usr\/sbin\/ und  tauschen hier das Ursprungsbinary gegen das von Open-SSH aus (bzw. wir  legen einen symbolischen Link an):<\/p>\n
[admin@NAS sbin]# cd \/usr\/sbin\/\r\n[admin@NAS sbin]# ll sshd\r\n-rwxr-xr-x    1 admin    administ   275.5k Nov 12 21:27 sshd*\r\n[admin@NAS sbin]# mv sshd BACKUP.sshd.orig\r\n[admin@NAS sbin]# ln -s \/opt\/sbin\/sshd sshd\r\n[admin@NAS sbin]# ll sshd\r\nlrwxrwxrwx    1 admin    administ       14 Nov 27 14:44 sshd -> \/opt\/sbin\/sshd*\r\n<\/pre>\n
Ab sofort sollte der neue SSH-Daemon von der NAS benutzt werden. Nun  m\u00fcssen wir die notwendigen Anpassungen am Konfigurationsfile vornehmen.<\/p>\n
2. Anpassungen an der sshd_config<\/h2>\n
Das Konfigurationsfile f\u00fcr den SSH-Daemon finden wir im Verzeichnis \/etc\/ssh\/<\/p>\n
[admin@NAS sbin]# cd \/etc\/ssh\r\n[admin@NAS ssh]# ll sshd_config\r\n-rw-r--r--    1 admin    administ     3.0k Nov 27 22:45 sshd_config\r\n<\/pre>\n
Hier mu\u00df die Zeile abge\u00e4ndert werden in der angegeben ist, dass nur  der admin sich verbinden kann (was wir ja genau nicht wollen) und weiterhin sollten wir generell den  Root-Zugang abschalten….also \u00e4ndern wir wie folgt:<\/p>\n
aus<\/p>\n
\"#PermitRootLogin yes<\/em>\"<\/pre>\n
machen wir<\/p>\n
\"PermitRootLogin no<\/em>\"<\/pre>\n
und aus der Zeile<\/p>\n
\"AllowUsers admin<\/em>\"<\/pre>\n
machen wir<\/p>\n
\"AllowUsers user1 user2 user3<\/em>\"<\/pre>\n
ACHTUNG!<\/span><\/strong> Es muss beachten werden, dass die User auch in  der passwd existieren, d.h. es m\u00fcssen g\u00fcltige Benutzernamen sein!  Weiterhin ist es sinnvoll entsprechende User-Home-Verzeichnisse  anzulegen!<\/p>\n
3. sshd_config auch nach Restart<\/h2>\n
Da die QNAP-Systeme nach einem Neustart den Ursprungszustand wieder  herzustellen versuchen, m\u00fcssen wir uns die sshd_config an eine Stelle  kopieren, die nicht bei einem Restart des Systems refreshed wird. Hierzu bieten sich  nat\u00fcrlich die Stellen im System an, die wir auch f\u00fcr die Freigaben  benutzen. Hierzu legen wir uns z.B. ein root-verzeichnis unter  \/share\/MD0_DATA\/ an und benutzen dieses f\u00fcr unsere abge\u00e4nderte  sshd_config:<\/p>\n
[admin@NAS ssh]# cd \/share\/MD0_DATA\/\r\n[admin@NAS MD0_DATA]# mkdir root\r\n[admin@NAS ssh]# cd root\r\n[admin@NAS ssh]# cp \/etc\/ssh\/sshd_config .\r\n<\/pre>\n
Nun m\u00fcssen wir dem System nur noch klar machen, dass es sich immer  unsere abge\u00e4nderte sshd_config nehmen soll. Hierzu benutzen wir die  autorun.sh-Funktionalit\u00e4t:<\/p>\n
[admin@NAS MD0_DATA]#  cd \/\r\n[admin@NAS \/]# mount -t ext2 \/dev\/mtdblock5 \/tmp\/config\r\n[admin@NAS \/]# vi \/tmp\/config\/autorun.sh\r\n<\/pre>\n
Hier tragen wir nun folgende Zeile ein:<\/p>\n
 \"cp \/share\/MD0_DATA\/root\/sshd_config \/etc\/ssh\/sshd_config<\/em>\"<\/pre>\n
und machen die Datei ausf\u00fchrbar:<\/p>\n
chmod +x \/tmp\/config\/autorun.sh\r\n<\/pre>\n
anschliessend k\u00f6nnen wir den Mount-Befehl wieder aufheben.<\/p>\n
unmount [admin@NAS \/]# umount \/dev\/mtdblock5\r\n<\/pre>\n
FERTIG!<\/strong><\/p>\n
Nach einem Systemneustart sollte ihr euch nun nur noch als user1, user2 oder user3 direkt via SSH anmelden k\u00f6nnen. Sobald ihr mal Root-Rechte auf dem System ben\u00f6tigt, k\u00f6nnt ihr mit „login admin“ den Benutzer wechseln.<\/p>\n
\n","protected":false},"excerpt":{"rendered":"
Secure Shell oder SSH bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man auf eine sichere Art und Weise eine verschl\u00fcsselte Netzwerkverbindung mit einem entfernten Computer herstellen kann. Die meisten QNAP-Ger\u00e4te unterst\u00fctzen diese Verbindungsm\u00f6glichkeit vom Werk aus. Bei der werksseitigen Installation vom SSH-Daemon auf den QNAP-Ger\u00e4ten ist es nur dem admin erlaubt sich zu verbinden, was ich pers\u00f6nlich f\u00fcr \u00e4u\u00dferst ungeschickt halte.<\/p>\n
Da der root\/admin jedoch alles auf dem System machen darf, sollte man, gerade wenn das System aus dem Internet erreichbar ist, sehr komplexe und sichere Passw\u00f6rter w\u00e4hlen, um das System abzusichern. Eine andere M\u00f6glichkeit ist jedoch das deaktivieren des Root-Logins \/ Admin-Logins. Hierzu sollte man wie folgt vorgehen<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[332,331,330,333],"class_list":["post-1685","post","type-post","status-publish","format-standard","hentry","category-technik","tag-qnap","tag-secure-shell","tag-ssh","tag-ssh-login"],"_links":{"self":[{"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=\/wp\/v2\/posts\/1685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1685"}],"version-history":[{"count":8,"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=\/wp\/v2\/posts\/1685\/revisions"}],"predecessor-version":[{"id":1693,"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=\/wp\/v2\/posts\/1685\/revisions\/1693"}],"wp:attachment":[{"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.andere-sichtweise.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}