Synology-Forum.nl
Tweaks / Addons A.K.A. The Underground => Algemeen => Topic gestart door: FrankVe op 08 juni 2018, 10:41:34
-
Ik zou graag wat bestanden (scripts) op de Syno willen zetten (DS214+/DSM 6.1) met behulp vanWinSCP. Is toch een stuk makkelijker dan gebruik te maken van Putty met CLI.
Probleem waar ik tegenaanloop: het niet kunnen inloggen met WinSCP met het root account.
Ik heb de werkwijze van Birdy gelezen (https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/) en geprobeerd.
Dat werkt op zich prima, maar dan is het wel zeer onverstandig om de rechten zo te laten staan.
In kunnen loggen met een root account zonder password klinkt nu niet als een veilige oplossing voor een NAS?
Of maak ik mij hier onterecht zorgen over?
Moet er dan na iedere WinSCP sessie een omgekeerde actie uitgevoerd worden (dus omgekeerde volgorde van de hierboven aangegeven link) om te voorkomen dat ook firewall instellingen/packages/etc veranderd worden?
-
Als je een sterk lang password hebt voor root (is ook admin), dan is het m.i. veilig genoeg.
Zou alleen poort 22 niet zomaar forwarden in je Router.
-
Nog steeds even actief op dit forum zie ik Birdy - klasse! :)
Maar wat ik niet begrijp (vandaar wellicht onterechte zorgen): als je met de config editor de nopasswd optie geeft aan alle users (incl root), is het dan niet zo dat iedere package/whatever dat ooit geinstalleerd is vanuit dsm met user admin, automatisch daarmee ook alle root-rechten heeft, tenzij er NA de sessie alles handmatig weer teruggezet wordt?
Standaar moet je dan ook als root het password weten, en met genoemde alternatieve methode hoef je geen password meer in te geven, als je eenmaal de machtiging van één van de andere accounts hebt.
Het is immers "super user do.."?
-
Je moet toch altijd eerst het password van admin ingeven, alleen in WinSCP niet voor root.
Echter, als je sudo -i geeft in PuTTY, dan moet je wel het password ingeven.
-
Niet als je als admin ingelogd bent, dat heb je in de sudoers file dan zo geregeld dat er geen password nodig is om root te worden.
En het root password is hetzelfde als het admin password.
Maar ik kan je ook verzekeren dat als je admin bent, je meer dan voldoende schade kunt berokkenen zonder root te zijn.
Overigens zijn er sinds DSM 6 helemaal geen package users die als root of admin draaien.
Tenzij iemand zelf in de start-stop-status scripts heeft lopen grutten.
-
Met "admin ALL = NOPASSWD: ALL" in sudoers moet ik in PuTTY altijd inloggen als admin met password, na sudo -i wordt bij mij altijd om het password gevraagd.
DSM werkt in dat opzicht toch anders dan Linux.
-
Na de aanpassing met sudo -i wordt er bij Putty bij mij NIET om het password gevraagd, vandaar ook wat zorgen.
[attach=1]
-
@Birdy
Bij jouw misschien, maar hier doe ik gewoon sudo -i en hij vraagt nergens naar, tenzij ik die regel weer uit de sudoers file haal, dan moet ik weer een password geven bij sudo -i
Net voor de zekerheid nog getest.
@FrankVe
Zoals al gezegd is standaard het root wachtwoord gelijk aan het admin password, dus ook zonder die aanpassing in de sudoers file kun je root worden als je admin bent.
-
Vreemd dan, dat het bij mij toch anders werkt.
-
Heb het op twee Nassen geprobeerd en het werkt op beiden hetzelfde.
-
Ok.... dan blijft de stelling, zorg voor een sterk password voor admin (root) en poort 22 (of andere poort van buiten naar 22) niet forwarden.
Of wat TS aangeeft, die regel weer verwijderen als je die niet nodig hebt.
Of ervoor zorgen dat poort 22 alleen lokaal gebruikt mag worden middels de Firewall.
-
@Birdy
Bij jouw misschien, maar hier doe ik gewoon sudo -i en hij vraagt nergens naar, tenzij ik die regel weer uit de sudoers file haal, dan moet ik weer een password geven bij sudo -i
Net voor de zekerheid nog getest.
@FrankVe
Zoals al gezegd is standaard het root wachtwoord gelijk aan het admin password, dus ook zonder die aanpassing in de sudoers file kun je root worden als je admin bent.
Als ik inlog met 'admin' dan wordt er na sudo -i niet nogmaals om het password gevraagd, echter als ik inlog als andere gebruiker welke wel administrator is, moet ik wel nog een keer het password invoeren.
Wellicht dat de ingebouwde admin onder water toch een andere status heeft?
-
Met "admin ALL = NOPASSWD: ALL" in sudoers moet ik in PuTTY altijd inloggen als admin met password, na sudo -i wordt bij mij altijd om het password gevraagd.
@Ben(V) @FrankVe
Ik zat helemaal fout, had m'n DS411+II steeds ge-update maar, WinSCP al een tijd lang niet gebruikt (waarin sudo -i noodzakelijk is (in de setup) om als root te kunnen inloggen.)
PuTTY heb ik wel altijd gebruikt op m'n DS411-II en moest steeds, na sudo -i, m'n password ingeven.
Oorzaak: Bij bepaalde updates (die ik dus heb gehad) moet je in de file sudoers weer de regel "admin ALL = NOPASSWD: ALL" toevoegen en dit had ik dus niet gedaan omdat ik WinSCP al een tijd niet nodig had.
Dus, in mijn hoofdje zat, dat ik steeds het password moest opgeven.
Sorry voor mijn dwaling/verwarring :!: Heb m'n verkeerde reacties aangepast.
Maar, mijn stelling in Reactie #10 blijft wel natuurlijk. ;)
@MartinSmall
Als ik inlog met 'admin' dan wordt er na sudo -i niet nogmaals om het password gevraagd
Dat klopt dus.
echter als ik inlog als andere gebruiker welke wel administrator is, moet ik wel nog een keer het password invoeren.
Dat klopt ook, een gebruiker met administrator rechten, heeft niet alle rechten van admin. ;)