Synology-Forum.nl
Packages => 3rd party Packages => Overige 3rd party packages => Topic gestart door: André PE1PQX op 06 maart 2021, 22:51:52
-
Omdat ik aan het pielen ben geweest met 2FA met een Yubikey heb ik ergens iets de vernieling in geholpen en besloten mijn DS218+ geheel opnieuw te installeren.
(Bijkomend voordeel is dat ie weer lekker vers en fris is, software matig dan..)
Om met WinSCP als root toegang te krijgen was er een tut gemaakt, "NAS benaderen met SSH: Windows en OSX" (https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/)
Als je deze 'to the letter' volgt kreeg ik het niet meer aan de gang en moest terug grijpen naar de 'Config File Editor' truuk en 'sudoers' ergens toevoegen.
Alleen ontdekte ik dat die manier niet meer in die topic staat. (En reageren in die topic was uitgeschakeld, dus dan maar even hier.)
Misschien toch een idee om deze alsnog als alternatieve methode toe te voegen??
Overigens werkt deze VPN-setup ook prima met mijn SGS10 (Android 11), DS218+ met DSM 6.2.4-25554
-
Met mijn aanpassingen in mijn tut (de Config File Editor eruit halen) is het juist makkelijker geworden, als je het maar goed leest en uitvoert.
M.a.w. ik heb het meerdere malen getest 'to the letter' en het werkt gewoon, anders zou ik het niet hebben gewijzigd. ;)
Daarbij, het is nu universeler geworden nu DSM7 eraan komt, omdat de Config File Editor niet werkt in DSM7 en mogelijk ook niet wordt aangepast, zie ook hier (https://www.synology-forum.nl/synology-dsm-5-1-beta/winscp-en-config-file-editor-onder-dsm-beta-7-0/msg294777/#msg294777) en de reacties daarop.
Misschien toch een idee om deze alsnog als alternatieve methode toe te voegen??
Dat ga ik dus niet doen, het is nu juist overzichtelijker, de huidig methode werkt en is veel eenvoudiger.
Je kunt dus beter aangeven op welk punt het bij jou niet goed gegaan is of wat je niet snapt.
-
Inderdaad. Het gebruik van de config file editor is een heel omslachtige manier om een file te kunnen editten. Zeker omdat het hele stuk nu rechtstreeks vanuit putty met een enkel echo commando gerealiseerd wordt.
Waarbij je niet een kritische file aanpast, maar er een nieuwe bij plaatst. (die het systeem ook standaard inleest)
-
Punt 20 - Alleen als je root wilt zijn: klik op SCP en type in het vakje Shell: sudo -i
Daar gaf hij bij mij dus gelijk al een foutmelding, ook na de punten 20.1, 20.2 en 20.3. (Zowel met 'admin' als een ander admin account).
Ook kon ik NA 20.3 geen bestanden met WinSCP van PC naar NAS overbrengen, melding 'geen juiste rechten'.
Ik zat dus vast aan Config File Editor.
-
Punt 20 - Alleen als je root wilt zijn: klik op SCP en type in het vakje Shell: sudo -i
Daar gaf hij bij mij dus gelijk al een foutmelding
Dus gelijk bij het invullen van het veld Shell?
Wat was dan de foutmelding?
-
Ik had 'sudo -i' ingevuld en bij het verbinden kreeg ik de foutmelding "Fout tijdens het overslaan van het opstartbericht. Uw shell is mogelijk niet compatibel met de toepassing (BASH wordt aangeraden)."
Ik heb wel een vermoeden trouwens, heb met Config File Editor het bestand sudoers eens opnieuw bekeken:
## sudoers file.
# Enable logging of a command's output.
# Use sudoreplay to play back logged sessions.
Defaults syslog=authpriv
# Allow root to execute any command
root ALL=(ALL) ALL
# Allow members of group administrators to execute any command
%administrators ALL=(ALL) ALL
# Configure privilege of wheel group
Cmnd_Alias SHELL = /bin/ash, /bin/sh, /bin/bash
Cmnd_Alias SU = /usr/bin/su
%wheel ALL=(ALL) NOPASSWD: ALL, !SHELL, !SU
# Include user-defined sudoers
#includedir /etc/sudoers.d
De laatste regel is commented out, zou dat het 'probleem' geweest kunnen zijn?? (Ik ben geen linux held, kan wel een paar kleine dingetjes doen in de command-line omgeving)
Herinstallatie was met DSM 6.2.4-2554 .pat file gedownload vanaf Syno's site zelf.
-
De laatste regel is commented out, zou dat het 'probleem' geweest kunnen zijn??
Die veroorzaakt inderdaad het probleem, omdat die juist nodig is. Hij is standaard ook aktief.
Edit: Klopt niet, zie verderop.
-
Mijn vermoeden is dat bij het her installeren van mijn DS218+ met DSM 6.2.4-2554 default deze regel uit gecommentarieerd zijn ("commented out", maar dan in het Nederlands geschreven). Mogelijk beleidswijziging van Syno in deze!?!
Ik heb de .PAT bestand van de download pagina van Syno gedownload en daarmee de DS218+ opnieuw geïnstalleerd.
Een extra regel om dit te tackelen zou dan kunnen helpen in de tutorial van "NAS benaderen met SSH"
Om dit te 'bevestigen' zou is de herinstallatie opnieuw moeten doen, maar daar heb ik weinig trek in nu.
Overigens net gevonden: https://www.synology.com/nl-nl/security/advisory/Synology_SA_21_02
Zou dit er mee te maken kunnen hebben?? Nogmaals, ik ben zeer zeker geen expert op dit gebied!!
-
Ik heb de sudoers file op mijn mac eens bekeken. Die eindigt met:
## Read drop-in files from /private/etc/sudoers.d
## (the '#' here does not indicate a comment)
#includedir /private/etc/sudoers.d
NB De sudoers file staat bij de mac in /private/etc. En de /private/etc/sudoers.d folder is ook standaard aanwezig. Vooral de voorlaatste opmerking bevreemd me.
-
Ikke nie snappe nie.... (gaat mijn LINUX kennis te boven)....
Ik melde alleen wat mij overkwam, en en dat de tutorial bij mij niet het gewenste resultaat gaf.
Hoop hiermee dat ik een(niet onbelangrijk) puntje van aandacht heb gevonden.
-
Hier wordt uitgelegd hoe zit met sudoers (https://unix.stackexchange.com/questions/244064/why-are-the-include-and-includedir-directives-in-sudo-prefixed-with-the-pound) m.b.t.
## (the '#' here does not indicate a comment)
#includedir /private/etc/sudoers.d
Dus standaard is bovenstaande goed.
Hoop hiermee dat ik een(niet onbelangrijk) puntje van aandacht heb gevonden.
Helaas niet ;)
Dus bij jou is er toch iets misgegaan.
-
Aha, een historische uitzondering op de comment. (En het klopt dat bij objective-C ook steeds een #include gebruikt wordt om libraries te laden)
Dan vind ik het bij de mac toch duidelijker, waar steeds een dubbele # gebruikt wordt als er comments bedoeld zijn en de enkele # voorafgegaan wordt met een forse waarschuwing. (Als je die laatste # weg laat kan het zijn dat je een volledige systeem re-install moet doen).
In jouw link lees ik ook dat je sinds 'sudo 1.9.1' ook @include mag schrijven. En omdat dsm nu 'sudo 1.9.5' gebruikt, hadden ze dat ook mogen aanpassen, omdat dit minder kans op menselijke fouten geeft. Er zijn nogal wat leken die met de sudoers file aan het knoeien gaan. Ik kan me herinneren dat hier ook iemand schreef dat hij dsm er opnieuw op moest zetten nadat hij de sudoers file geëdit had.
-
Ik ben geen LINUX held, dat schreef ik ook eenvoudige dingetjes lukken mij nog wel in command line omgeving.
Ben ik daarmee leek-af?? Nee, eigenlijk ook weer niet. Mijn kennis vind ik te beperkt daarin.
Als ik wel iets moet doen in CMD omgeving zoals bij de VPN aanpassing bij het genereren van ta.key bestand even 3x goed kijken of er tik-fouten in staan voordat er een mep op enter gegeven wordt.
Als je root rechten hebt is het vern**ken van een installatie zo gebeurt.
-
DSM 6.2.4-2554 en WINSCP; ik heb dezelfde ervaringen als André PE1PQX. Op geen enkele manier nog Root-toegang via WINSCP.
Ik wilde wat zaken opschonen uit de var/packages-map
IK heb dit omzeild door webmin te gebruiken (wat overigens ook opnieuw geinstalleerd diende te worden na de overgang naar DSM 6.2.4-2554). In webmin heb je sowieso root-rechten, dus daar de opschoningsaktie met de bestandsverwerker mee uitgevoerd.
-
Tja, met elke update doet Synology z’n best om de root toegang tot de NAS moeilijker te maken.
Deze wijziging aan de beveiliging van de NAS om toegang met WinSCP mogelijk maken houdt natuurlijk ook de nodige risico’s in.
Heb WinSCP al lang niet meer gebruikt, maar misschien is er inmiddels een betere (lees: veiliger) methode?
-
In het Syno community pakket "CLi File tools" zit o.a. Midnight Commander. Ik ken het niet, maar voor veel windows gebruikers geeft dat ook een vertrouwde interface. Hoewel WinSCP nog gemakkelijk blijft.
-
Ik 'ken' Midnight Commander i.d.d ook als Norton Commander onder DOS en Total Commander onder Windows, dus als je die kent worden heel veel zaken op CLi niveau voor je geregeld.
Het is vooral handig als je intern bestanden verplaatsen of kopiëren wil van de ene folder naar een andere of snel een bestands-edit doen door op een functietoets te drukken (F4 zo uit mijn hoofd)
WinSCP kan het zelfde, maar heeft een brug tussen client machine (Windows/MAC of ander Linux) en de host (de DS).
Naast dat ik een issue had met WinSCP en root-toegang (is dit draadje mee begonnen) is er ook een issue met de meest recente VPN server. (moet daar nog logs voor maken voor Pippin)
Even tussendoor: @Briolet die "CLi File Tools" package, waar vind ik die??
-
"Syno Cli File Tools" staat bij de 3th party pakketbronnen. (Als je http://packages.synocommunity.com/ als pakketbron toegevoegd hebt).
Hij zit vol tools die het leven gemakkelijker maken. Diverse hebben een semi grafische layout waardoor je niet alle syntax hoeft te onthouden.
Overigens kan mijn nas nog steeds niet de 3th Party pagina laten zien.
-
AH, gevonden las er overheen.. heet SynoCLiTools (en file tools, monitor tools en Network tools....)
TNX!
-
Tja, met elke update doet Synology z’n best om de root toegang tot de NAS moeilijker te maken.
Deze wijziging aan de beveiliging van de NAS om toegang met WinSCP mogelijk maken houdt natuurlijk ook de nodige risico’s in.
Heb WinSCP al lang niet meer gebruikt, maar misschien is er inmiddels een betere (lees: veiliger) methode?
WinSCP werkt nog steeds hoor, zowel met DSM 6.2.4-25556 en DSM 7.0-41222 met root rechten.
Dus, op de een of andere manier worden er toch fouten gemaakt met de setup (https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/). ;)
-
Ja Birdy, je hebt gelijk.
Denk dat het in het shell-commando zit in SCP; standaard is een van de keuzes "sudo su-" in winscp en het moet volgens de instructie "sudo -i " zijn. Dus even aangepast en het winscp kon weer in de root.
-
8)