Synology-Forum.nl
Firmware => Synology DSM 6.0 => Topic gestart door: Jerenes op 26 maart 2016, 14:06:34
-
Hallo,
Na het upgraden van DSM 5.x naar DSM6 kan ik nu niet meer inloggen als root via ssh terminal.
Ik heb dit nodig om wat dingen aan te passen.
Helaas werkt dus de admin account niet aangezien die blijkbaar geen root rechten heeft...
Is dit aan te passen? Ik kan niet in de /etc/shadows file want tja, daar moet je dan weer elevated voor zijn.... pfff....
Kan iemand me helpen om terug mijn elevated rights te bekomen?
Grtz,
Jeroen
-
Staat hier (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/msg134190/#msg134190) uitgelegd.
-
ok...
sudo su - werkt dus als je met admin een ssh doet... tja. Beetje omslachtig, maar veilig is het wel...
Bedankt voor de info! Ik kon het niet terugvinden zo snel.
-
Graag gedaan.
-
Het staat overigens wel gewoon in de helpfile. Als je naar terminal gaat en de link daar klikt, kom je precies op het betreffende punt in de helpfile terecht.
In zijn algemeenheid moet je bij zo'n upgrade toch even de help raadplegen omdat er veel veranderd kan zijn.
[attachimg=1]
Daar wordt overigens "sudo -i" geadviseerd i.p.v. "sudo su -"
Beide werkt zover ik kan zien. En dan lijkt het dat we de richtlijnen op deze site in die van Synology moeten veranderen. Dat voorkomt verwarring.
-
De sudo manual geeft hiervoor:
SYNOPSIS
sudo -h | -K | -k | -L | -V
sudo -v [-AknS] [-g group name | #gid] [-p prompt] [-u user name | #uid]
sudo -l[l] [-AknS] [-g group name | #gid] [-p prompt] [-U user name] [-u user name | #uid] [command]
sudo [-AbEHnPS] [-C fd] [-g group name | #gid] [-p prompt] [-u user name | #uid] [VAR=value] -i | -s [command]
sudoedit [-AnS] [-C fd] [-g group name | #gid] [-p prompt] [-u user name | #uid] file ...
DESCRIPTION
-i [command]
The -i (simulate initial login) option runs the shell
specified by the password database entry of the target
user as a login shell. This means that login-specific
resource files such as .profile or .login will be read
by the shell. If a command is specified, it is passed
to the shell for execution via the shell's -c option.
If no command is specified, an interactive shell is
executed. sudo attempts to change to that user's home
directory before running the shell. It also
initializes the environment to a minimal set of
variables, similar to what is present when a user logs
in. The Command environment section below documents in
detail how the -i option affects the environment in
which a command is run.
SYNOPSIS
su [-] [-flm] [login [args]]
DESCRIPTION
The su utility requests appropriate user credentials via PAM and switches to that user ID (the default user is the superuser).
A shell is then executed.
PAM is used to set the policy su(1) will use. In particular, by default only users in the ``admin'' or ``wheel'' groups can
switch to UID 0 (``root''). This group requirement may be changed by modifying the ``pam_group'' section of /etc/pam.d/su.
See pam_group(8) for details on how to modify this setting.
By default, the environment is unmodified with the exception of USER, HOME, and SHELL. HOME and SHELL are set to the target
login's default values. USER is set to the target login, unless the target login has a user ID of 0, in which case it is
unmodified. The invoked shell is the one belonging to the target login. This is the traditional behavior of su.
The options are as follows:
-l Simulate a full login. The environment is discarded except for HOME, SHELL, PATH, TERM, and USER. HOME and SHELL are
modified as above. USER is set to the target login. PATH is set to ``/bin:/usr/bin''. TERM is imported from your
current environment. The invoked shell is the target login's, and su will change directory to the target login's home
directory.
- (no letter) The same as -l.
-
Daar wordt overigens "sudo -i" geadviseerd i.p.v. "sudo su -"
Beide werkt zover ik kan zien. En dan lijkt het dat we de richtlijnen op deze site in die van Synology moeten veranderen. Dat voorkomt verwarring.
Hier heb ik het in iedergeval gewijzigd. (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/)
-
Beetje omslachtig, maar veilig is het wel...
Ik snap nog niet zo goed waarom dit veiliger is ; als het goed ben ik de enige die het root password weet, dus of ik nou rechtstreeks met root inlog of via een omweg met admin en sudo -i ... ?
En als iemand anders dat password heeft, idem.
-
Dit is veiliger omdat er lekken kunnen zijn waardoor iets rootaccess kan krijgen zonder wachtwoord. Daar zijn het laatste jaren een paar voorbeelden van voorbij gekomen. Die lekken werden direct gepatched, mar je moet je meer zorgen maken over de niet gepatcte lekken.
Door alleen admins, rootaccess te geven, bouw je weer een extra veiligheidslaagje.
-
Door direkt root access te blokkeren maar wel via su toe te staan weet je altijd wie root is geworden (welk user account dus) en daardoor is het duidelijker wie er het laatst iets op het systeem heeft gedaan.
-
Right!
En als Synology niets aan dit soort beveilig doet dan is het weer van, waarom doet Synology niets aan beter beveiligen, wat een k systeem :lol: