Aller au contenu

[TUTO] Accès SSH et ROOT via DSM 6 et 7


unPixel

Messages recommandés

J'ai trouvé, (typing error ...)  en fait le login passe avec mon login erroné  (sans majuscule)  mais pour changer en root, là il faut le login exact.  Désolé pour le temps passé à me lire. 

cdlt

P.

Lien vers le commentaire
Partager sur d’autres sites

Content que tu es trouvé la solution 😉

Par contre, ce qu'il y a ci-dessous n'est pas normal !

Citation

Pour les novices dans mon cas (y en a_t'il encore?) je précise que pour avoir accès au terminal avec PuTTy) j'ai dû configuré mon NAS ainsi :

  • Installation de
    • webDav server
    • webStation
    • apache http Server 2.4

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
  • 1 mois après...

Il est aussi de charismatique Zeus (que je remercie au passage).

Je me fais l’effet d’entrer par erreur dans une classe de grands, de déranger un débat d’initiés.

Bon, trêve de …

Je me permets de revenir à la case départ :

Comment se connecter au NAS en ssh, depuis Windows, et depuis Linux,  donc sur le bureau du DSM, pour pouvoir ouvrir les diverses applications,  autres que Files Station,  telles que Panneau de configuration, Hyper Backup, … Kitty et Putty ouvrent un terminal, mais quelle commande après le login et le mot de passe ? Winscp ouvre l’interface de File Station.

Question annexe :

Comme vous  avez pu le constater, je ne trouve pas par la recherche (fastidieuse) le sujet adéquat ; vous ne m’en tiendrez pas rigueur.

A la configuration de l’envoie d’informations par courriel, du NAS vers ma messagerie, il semblerait que mon smtp et son port ne soient pas reconnus. Quelle est l’erreur de configuration ?

Merci de me renseigner.

Cordialement.

Modifié par Hito
Phrase inutile
Lien vers le commentaire
Partager sur d’autres sites

Je ne connais pas ce FAI mais en gros, ça doit ressembler à ça les informations que dois inscrire dans DMS.

Serveur SMTP : smtp.viveole.net

Utilisateur : nom d'utilisateur ou adresse mail complète

Mot de passe : ton mot de passe

port SMTP : certainement le 587 en TLS-SSL

Lien vers le commentaire
Partager sur d’autres sites

  Port smtp : 25 (ce que j'ai indiqué)

  Sécurité de la connexion STARTTLS

  Je n'ai pas coché ""Authentification requise" ni "une connexion sécurisée (SSL-TLS) ..."

  Si je coche "Authentification requise", le nom d'utilisateur du NAS est proposé par défaut et le mot de passe ne correspond pas au mot de passe de connexion, si j'en juge le nombre de caractères. Chose curieuse, si je supprime le mot de passe existant et saisi le mien, quand je fais "appliquer", le même nombre initial de caractères réapparaît. Inutile de dire que j'ai essayé également le nom d'utilisateur, l'adresse e-mail et le mot de passe de connexion de la messagerie.

  J'ai tout dit. Peut-être pourrez-vous m'éclairer.

  Merci.

Modifié par Hito
Lien vers le commentaire
Partager sur d’autres sites

Citation

Port smtp : 25 (ce que j'ai indiqué)

  Sécurité de la connexion STATTLS

Pas possible, 25 n'est pas un port sécurisé.

Citation

  Je n'ai pas coché ""Authentification requise" ni "une connexion sécurisée (SSL-TLS) ..."

Bah il y a soucis alors. Comment veux-tu être autorisé à envoyer des mails si tu montres pas pattes blanches ?

Il n'y a pas une communauté de ton fournisseur internet sur la toile qui pourrait répondre à ta question ? Sinon, contacter directement le sav du FAI.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonsoir, j'ai effectué le tuto à la lettre mais quand j'essaye de me connecter via Putty dans la fenêtre il me dit que le serveur à rejeté ma clé et même en mettant mon mot de passe il me dit que l'accès est refusé 😕 J'ai essayé avec WinSCP et j'arrive à me connecter à mon compte administrateur mais du coup je n'ai pas accès au fichier root. J'ai besoin d'accéder au root pour récupérer un toker admin pour le paquet de teamspeak mais du coup aucun moyen d'accéder au root vu qu'il me refuse ma clé. Vous avez des pistes? J'ai déjà activé le FTP et le SFTP sur mon NAS mais il y a peut être autre chose qque je n'ai pas fait? 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
  • 7 mois après...

Bonjour à tous et bonne année,

Je voudrais bien faire fonctionner ce SSH==Root... j'ai suivi scrupuleusement ce tuto qui me semble bien fait et méritant; plusieurs fois, mais ça ne marche pas pour moi.  Putty 64... PC windows 7 pro  64 bits

J'ai un Syno 213+  sous DSM 6.2.2-24922 up4,  alors..? est-ce que cette procédure fonctionne toujours sur cette version de DSM... Car les dates des POST ont un peu d'âge...??

Sinon, quelle est l'erreur que je peux faire... J'ai essayé à partir de 2 PC  l'autre est en Windows 10 pro.

Using username "root".
root@192.168.1.60's password:
Access denied
root@192.168.1.60's password:
Access denied
root@192.168.1.60's password:

voici ce que j'ai dans mon écran Putty.... Si je change root par admin, ça fonctionne après rentré mon mot de passe normal (qui n'est pas le passphrase)  et en WinSCP  il me redemande le mot de passe sans cesse.

Merci d'avance..

Lien vers le commentaire
Partager sur d’autres sites

  • 4 mois après...

Bonjour,

Super tuto que j'ai suivi a priori avec succès (dans le cadre d'un autre tuto sur les certificats wilcard de @oracle7 qui y fait référence).

Je suis novice en réseaux et je souhaite comprendre ce que je fais.

  • Le SSH est de langage utilisé pour directement parler au terminal du NAS / RT émulé par PuTTY ou WinSCP : est-ce bien ça ?
  • Je ne maitrise pas du tout le sujet des clefs : pourquoi utiliser des clefs et en installer une sur le NAS / RT plutôt que de se contenter d'un accès avec logins + mdp ?
  • Une fois la clef publique installée sur le NAS, et sous l'hypothèse que nous perdons la clef privée et/ou la passphrase associée, serait il possible de faire un reset du SSH et de recréer des clefs ?
  • Pourquoi modifier le port 22 par défaut ? je croyais avoir lu un commentaire de Fenrir qui expliquait qu'une modification des ports par défaut était quasi inutile et apportait plus de complexité qu'autre chose car un scan des ports peut se faire très rapidement. Qu'en est il ? Un scan des ports permet il en plus de dire si le port est ouvert ou non à quoi il sert (ex : utilisé pour le SSH) ?
  • Enfin sur j'ai changé le port SSH sur mon RT mais en choisissant d'ouvrir dans mon parefeu le port lié au service SSH (uniquement pour dfes IPs du LAN) mon nouveau porte apparait bien tout en conservant le port 22 (si je veux uniquement mon port personnalisé sans le 22, je dois le mettre à la main) : savez vous pourquoi ?


@oracle7 preneur d'une de tes explication simple et efficace si tu en as une en stock.

Merci d'avance à tous,

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Je vais essayer de te répondre simplement en vulgarisant la chose :

  1. OUI.
     
  2. PuTTY, par exemple, enregistre la clé d'hôte de chaque serveur auquel tu te connectes, dans le registre Windows (je ne sais pas ce qui se passe sous Mac). Ensuite, à chaque fois que tu te connectes à un serveur, il vérifie que la clé d'hôte présentée par le serveur est la même clé d'hôte que lors de ta dernière connexion. Si ce n'est pas le cas, il t'envoie un un avertissement et il te donne la possibilité d'abandonner la connexion avant d'y saisir des informations privées (comme un mot de passe). Ensuite, le processus de connexion est sécurisé dans le sens où les informations échangées entre le client et le serveur, sont transmises de façon cryptée grâce au protocole SSH qui est employé ici. Pour mémoire : SSH (qui signifie «shell sécurisé») est un protocole de haute sécurité récemment conçu. Il utilise une cryptographie puissante pour protéger une connexion contre les écoutes, les détournements et autres attaques. Ce protocole est notamment conçu pour se protéger contre une attaque réseau appelée usurpation d'identité. c'est à dire qui consiste à rediriger secrètement ta connexion vers un autre ordinateur, afin d'envoyer ton mot de passe à la mauvaise machine. En utilisant cette technique, un attaquant pourrait apprendre le mot de passe qui protège ton compte de connexion, puis pourrait se connecter comme s'il s'agissait de toi et utiliser le compte à ses propres fins. D'où le danger !
    D'un autre coté si tu utilises un simple couple "Login + MdP", tout ce petit monde circule en clair sur le réseau, tu imagines bien la suite ...
     
  3. Il n'y a pas à proprement parler de "reset" de SSH à faire (je te rappelle que SSH est un protocole de communication). Donc, on ne se prends pas la tête, on supprime la clé publique partout ou elle a été installée et on recrée un nouveau couple "clé privée - clé publique". C'est aussi simple que cela.
    Par la suite, le renouvellement périodique de ce couple est une sage résolution à ne pas oublier.
     
  4. Comme le dit @Fenrir dans son Tuto, cela ne sert à rien de modifier le port par défaut, sauf effectivement à complexifier l'exploitation courante. DE plus, tu ne fais que retarder de très peu le problème lié à une attaque potentielle. Le plus efficace est donc de ne pas ouvrir le port 22 à l'extérieur (i.e. de ne pas activer ce service sur ton routeur). Pour te donner un exemple, avant d'installer un routeur, j'avais ouvert le port 22 sur mon NAS (en fait pour X mauvaises raisons, mais bon ...) eh bien tous les jours c'est des dizaines d'alertes de tentatives de connexions , chinoises notamment mais pas que, qui tombaient, heureusement le mécanisme de blocage du NAS semble, je devrais plutôt dire, est assez efficace. Depuis, le port 22 est fermé et le service SSH est désactivé sur mon RT et là, comme par hasard, plus aucunes attaques constatées. Pourvu que cela dure, je croise les doigts 🤔 Au final, en y réfléchissant bien, pourquoi aurais-je besoin d’accéder en SSH  à mon réseau local depuis l'extérieur ? Je n'ai pas trouvé pour l'instant de motif/raison valable à un tel besoin.
    Pour le scan des ports, au delà de voir s'il est ouvert ou non, c'est entre autres l'objectif de voir s'il y a derrière, en fait, un service qui répond. La connaissance de ce service permet alors à l'assaillant d'adapter son attaque. De toutes façons, il me paraît difficile d'empêcher ces scans, du moins je ne connais pas de moyens pour.
     
  5. Désolé, je ne sais répondre à ce point mais indirectement je te renvoie à ma réponse du point 4.

Voilà, difficile de faire plus court et c'est ma vision des choses qui n'engage que moi ...

Cordialement

oracle7😉
 

Lien vers le commentaire
Partager sur d’autres sites

Merci @oracle7,

Réponse au top comme d'hab !

Il y a 23 heures, oracle7 a dit :

Si ce n'est pas le cas, il t'envoie un un avertissement et il te donne la possibilité d'abandonner la connexion

Si je ne dis pas de bêtise donc, on passera dons tous au moins une fois par cette étape : lors de la première connexion ?

Il y a 23 heures, oracle7 a dit :

Je n'ai pas trouvé pour l'instant de motif/raison valable à un tel besoin.

Je crois que Fenrir explique que dans certain cas c'est la seule solution pour débugger ta machine mais effectivement dans un cas "grave" comme celui là on peut attendre d'être sur le LAN. A titre personnel j'ai ouvert le 22 sur NAS et RT uniuement aux IP de mon LAN.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, TuringFan a dit :

A titre personnel j'ai ouvert le 22 sur NAS et RT uniuement aux IP de mon LAN.

Bonjour,

Pour le pare feu du NAS, OK.

Mais pour le RT2600ac ça ne sert à rien d'ouvrir le port (il ne faut pas), même en limitant aux IP du LAN. Car ouverture de port signifie ouvert sur la/les WAN, sur le LAN il n'y a rien à ouvrir.

 

Il est aussi possible de modifier le numéro de port, je ne sais pas si le tuto en parle? (SSH est natif sur mac)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Merci @maxou56,

Je vais de ce pas le modifier.

Si je comprends bien le pare-feu du RT laisse l'accès ouvert par défaut depuis le LAN mais pour le parefeu du NAS il faut créer des règles même pour un accès depuis le LAN ?

Concernant la modification du numéro de port, j'ai cru comprendre d'un post de Fenrir que cela amène plus de complexité que de sécurité car un scan de port est très rapide.

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bon jour à tous 🙂
 

Merci à @unPixel pour ce tuto bien clair !

Je suis à la lettre le déroulé du tuto. Une fois la clé générée, lors de l'ouverture de session PuTTY, après avoir renseigné login et mot de passe, j'obtiens ce msg :
"could not chdir to home directory /var/services/homes/PascalG: No such file or directory"

J'hésite à aller plus loin dans la procédure décrite dans le tuto compte tenu de l'avertissement concernant la perte de connexion possible au NAS en cas de pb

Qqun peut-il me renseigner sur la conduite à tenir ?

Merci d'avance

PascalG

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

là je m'arrache les cheveux !

  • suivi le tuto à la lettre (enfin je crois, je l'ai refais plusieurs fois, et même résultat à chaque fois)
  • bref je génère la paire de clé, l'installe sous /root/.ssh/authorized_keys, puis la prend en compte sous putty et WInSCP
    • ça fonctionne parfaitement avec putty
    • ça ne fonctionne jamais avec WinSCP en sftp ("verifier que le serveur SFTP est bien démarre sur votre serveur) avec root. Sur le NAS, ce qui apparait, c'est
        SFTP client [root] from [192.168.1.116] was rejected to log in the server.
    • par contre cela fonctionne systématiquement avec :
      • root mais en protocole SCP
      • autre user admin avec mot de passe en sftp
  • Je ne comprends pas pourquoi root en sftp ne passe jamais. Et oui :
    • j'ai desinstallé et reinstallé Putty et WinSCP plusieurs fois
    • j'ai mis un mot de passe pour la clé ssh sans caractères spéciaux ...

Bref je ne sais plus où chercher . Si une âme charitable passe par ici .....

Merci d'avance

Bruno78

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.