Root access weg na upgrade

[Jerenes]

Hallo,

Na het upgraden van DSM 5.x naar DSM6 kan ik nu niet meer inloggen als root via ssh terminal.
Ik heb dit nodig om wat dingen aan te passen.
Helaas werkt dus de admin account niet aangezien die blijkbaar geen root rechten heeft...

Is dit aan te passen? Ik kan niet in de /etc/shadows file want tja, daar moet je dan weer elevated voor zijn.... pfff....

Kan iemand me helpen om terug mijn elevated rights te bekomen?

Grtz,
Jeroen

[Pippin]

Staat hier uitgelegd.

[Jerenes]

ok...
sudo su - werkt dus als je met admin een ssh doet... tja. Beetje omslachtig, maar veilig is het wel...
Bedankt voor de info! Ik kon het niet terugvinden zo snel.

[Pippin]

Graag gedaan.

[Briolet]

Het staat overigens wel gewoon in de helpfile. Als je naar terminal gaat en de link daar klikt, kom je precies op het betreffende punt in de helpfile terecht.

In zijn algemeenheid moet je bij zo'n upgrade toch even de help raadplegen omdat er veel veranderd kan zijn.



Daar wordt overigens "sudo -i" geadviseerd i.p.v. "sudo su -"

Beide werkt zover ik kan zien. En dan lijkt het dat we de richtlijnen op deze site in die van Synology moeten veranderen. Dat voorkomt verwarring.

[Briolet]

De sudo manual geeft hiervoor:

Code: [Selecteer]

SYNOPSIS
       sudo -h | -K | -k | -L | -V
       sudo -v [-AknS] [-g group name | #gid] [-p prompt] [-u user name | #uid]
       sudo -l[l] [-AknS] [-g group name | #gid] [-p prompt] [-U user name] [-u user name | #uid] [command]
       sudo [-AbEHnPS] [-C fd] [-g group name | #gid] [-p prompt] [-u user name | #uid] [VAR=value] -i | -s [command]
       sudoedit [-AnS] [-C fd] [-g group name | #gid] [-p prompt] [-u user name | #uid] file ...

DESCRIPTION
       -i [command]
                   The -i (simulate initial login) option runs the shell
                   specified by the password database entry of the target
                   user as a login shell.  This means that login-specific
                   resource files such as .profile or .login will be read
                   by the shell.  If a command is specified, it is passed
                   to the shell for execution via the shell's -c option.
                   If no command is specified, an interactive shell is
                   executed.  sudo attempts to change to that user's home
                   directory before running the shell.  It also
                   initializes the environment to a minimal set of
                   variables, similar to what is present when a user logs
                   in.  The Command environment section below documents in
                   detail how the -i option affects the environment in
                   which a command is run.


Code: [Selecteer]

SYNOPSIS
     su [-] [-flm] [login [args]]

DESCRIPTION
     The su utility requests appropriate user credentials via PAM and switches to that user ID (the default user is the superuser).
     A shell is then executed.

     PAM is used to set the policy su(1) will use.  In particular, by default only users in the ``admin'' or ``wheel'' groups can
     switch to UID 0 (``root'').  This group requirement may be changed by modifying the ``pam_group'' section of /etc/pam.d/su.
     See pam_group(8) for details on how to modify this setting.

     By default, the environment is unmodified with the exception of USER, HOME, and SHELL.  HOME and SHELL are set to the target
     login's default values.  USER is set to the target login, unless the target login has a user ID of 0, in which case it is
     unmodified.  The invoked shell is the one belonging to the target login.  This is the traditional behavior of su.

     The options are as follows:

     -l      Simulate a full login.  The environment is discarded except for HOME, SHELL, PATH, TERM, and USER.  HOME and SHELL are
             modified as above.  USER is set to the target login.  PATH is set to ``/bin:/usr/bin''.  TERM is imported from your
             current environment.  The invoked shell is the target login's, and su will change directory to the target login's home
             directory.

     -       (no letter) The same as -l.


[Birdy]

Daar wordt overigens "sudo -i" geadviseerd i.p.v. "sudo su -"
Beide werkt zover ik kan zien. En dan lijkt het dat we de richtlijnen op deze site in die van Synology moeten veranderen. Dat voorkomt verwarring.

Hier heb ik het in iedergeval gewijzigd.

[Goner]

Beetje omslachtig, maar veilig is het wel...

Ik snap nog niet zo goed waarom dit veiliger is ; als het goed ben ik de enige die het root password weet, dus of ik nou rechtstreeks met root inlog of via een omweg met admin en sudo -i ... ?
En als iemand anders dat password heeft, idem.

[Briolet]

Dit is veiliger omdat er lekken kunnen zijn waardoor iets rootaccess kan krijgen zonder wachtwoord. Daar zijn het laatste jaren een paar voorbeelden van voorbij gekomen. Die lekken werden direct gepatched, mar je moet je meer zorgen maken over de niet gepatcte lekken.

Door alleen admins, rootaccess te geven, bouw je weer een extra veiligheidslaagje.

[klen]

Door direkt root access te blokkeren maar wel via su toe te staan weet je altijd wie root is geworden (welk user account dus) en daardoor is het duidelijker wie er het laatst iets op het systeem heeft gedaan.

[Birdy]

Right!
En als Synology niets aan dit soort beveilig doet dan is het weer van, waarom doet Synology niets aan beter beveiligen, wat een k systeem