SSH sem senha (sem senha) no Synology DSM 5 como outro usuário (não raiz)

24

Estou tentando ssh na minha estação de disco Synology sem uma senha (autenticação de chave pública), mas como não raiz.

Quando tento ssh como root sem senha, ele funciona. Seguir exatamente as mesmas etapas para outro usuário não funciona. Ele sempre pede senha (também, usar uma senha também funciona).

Eu segui todos os guias disponíveis para isso, mas acho que eles são todos para o DSM 4.x, e não para a nova versão 5.0.

Log de depuração SSH

Aqui está o log de depuração quando tento com o sinalizador -vvv:

aether@aether-desktop:~$ ssh -vvv aether@aether-ds.local
OpenSSH_6.2p2 Ubuntu-6ubuntu0.2, OpenSSL 1.0.1e 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to aether-ds.local [192.168.2.149] port 22.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/aether/.ssh/id_rsa" as a RSA1 public key
debug1: identity file /home/aether/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/aether/.ssh/id_rsa-cert type -1
debug1: identity file /home/aether/.ssh/id_dsa type -1
debug1: identity file /home/aether/.ssh/id_dsa-cert type -1
debug1: identity file /home/aether/.ssh/id_ecdsa type -1
debug1: identity file /home/aether/.ssh/id_ecdsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2p2 Ubuntu-6ubuntu0.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.8p1-hpn13v11
debug1: match: OpenSSH_5.8p1-hpn13v11 pat OpenSSH_5*
debug2: fd 3 setting O_NONBLOCK
debug3: load_hostkeys: loading entries for host "aether-ds.local" from file "/home/aether/.ssh/known_hosts"
debug3: load_hostkeys: found key type RSA in file /home/aether/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys
debug3: order_hostkeyalgs: prefer hostkeyalgs: ssh-rsa-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-rsa
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-rsa,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: RSA f1:57:47:37:47:d4:5c:cd:a7:a4:5a:9c:a3:e8:1d:13
debug3: load_hostkeys: loading entries for host "aether-ds.local" from file "/home/aether/.ssh/known_hosts"
debug3: load_hostkeys: found key type RSA in file /home/aether/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys
debug3: load_hostkeys: loading entries for host "192.168.2.149" from file "/home/aether/.ssh/known_hosts"
debug3: load_hostkeys: found key type RSA in file /home/aether/.ssh/known_hosts:2
debug3: load_hostkeys: loaded 1 keys
debug1: Host 'aether-ds.local' is known and matches the RSA host key.
debug1: Found key in /home/aether/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/aether/.ssh/id_rsa (0x7f4ee2f47200),
debug2: key: /home/aether/.ssh/id_dsa ((nil)),
debug2: key: /home/aether/.ssh/id_ecdsa ((nil)),
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/aether/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/aether/.ssh/id_dsa
debug3: no such identity: /home/aether/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/aether/.ssh/id_ecdsa
debug3: no such identity: /home/aether/.ssh/id_ecdsa: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
aether@aether-ds.local's password:

Qualquer ajuda apreciada.

Coisas que eu tentei até agora

  • Verifique / etc / ssh / sshd_config (RSAAuthentication, PubkeyAuthentication, AuthorizedKeysFile).
  • Verifique .ssh / * permissões e propriedade. Tentei várias combinações.
  • Marque HOME var em ~ / .profile.
  • Reinicie o sshd via synoservicectl --restart sshd e reinicie o NAS inteiro.
linux  ssh  nas  synology 
Vlad A Ionescu
fonte
Por que você quer fazer isso? A autenticação de chave pública não seria suficiente com uma chave desprotegida?
Daniel B
Oi Daniel, é exatamente isso que estou tentando alcançar, mas não funciona para usuários não-root.
Vlad A Ionescu
A chave pública do seu cliente está presente no authorized_keys arquivo do usuário ?
Daniel B
Sim, eu copiei com ssh-copy-id. E é exatamente o mesmo arquivo allowed_keys (mas com permissões corretas) do usuário root, que funciona quando root.
Vlad A Ionescu
Sua conta tem uma senha agora? Dependendo das políticas de segurança do seu sistema, os usuários sem uma senha pode ser impedido de efetuar login.
Daniel B

Respostas:

49

Eu tive o mesmo problema. Executo uma instância do sshd no modo de depuração no DiskStation usando "/ usr / syno / sbin / sshd -d", depois conecto-o usando "ssh user @ DiskSation -vvv" e obtive as informações de depuração no servidor:

......

debug1: temporariamente_use_uid: 1026/100 (e = 0/0)

debug1: tentando o arquivo de chave pública /var/services/homes/user/.ssh/authorized_keys

debug1: fd 5 limpando O_NONBLOCK

Autenticação recusada: propriedade ou modos incorretos para diretório / volume1 / residências / usuário

......

Percebi que a pasta pessoal também precisa das permissões corretas:

cd /var/services/homes/
chown <username> <username>
chmod 755 <username>

E substitua pelo nome de usuário real, como "usuário".

Finalmente, o problema está resolvido!

user334026
fonte
2
Assim como para você, correndo chmod 755no meu diretório home resolvido isso por mim no DSM 6.
David Pärsson
É sempre a solução certa para obter logs de depuração. Obrigado! Apenas uma adição: Chamada /usr/bin/sshd -p 2222(e se conectar com ssh -p 2222) para que ele seja executado em uma porta diferente para a depuração - caso contrário corre o risco de perder o acesso se você parar o daemon ssh
Alex
16

você precisa chmod seu diretório pessoal para 755 (a sinologia possui 777 por padrão)

nas> ls -al
total 28
drwxrwxrwx  6 root     root  4096 2014-07-13 03:00 .
drwxr-xr-x 13 root     root  4096 2014-07-13 03:00 ..
drwxrwxrwx  3 admin    users 4096 2014-07-13 03:00 admin
...
nas> chmod 755 /home/admin
nas> ls -al
total 28
drwxrwxrwx  6 root     root  4096 2014-07-13 03:00 .
drwxr-xr-x 13 root     root  4096 2014-07-13 03:00 ..
drwxr-xr-x  3 admin    users 4096 2014-07-13 03:00 admin
spuriousdata
fonte
Isso não mostra que chmod 755 /home/adminrealmente alterou as permissões.
user20342
Sim, é verdade. No entanto, acabei de juntar o exemplo colado e senti falta disso. Vou editar a resposta.
spuriousdata
5

Como suas permissões para .sshe allowed_keys estão definidas corretamente, verifique se as permissões para o diretório pessoal ( /home/aether/) estão definidas corretamente ( chmod 755 /home/aether/).

Não consegui efetuar login com as permissões padrão ( 711) e funcionou após alterar as permissões.

Cheers Stephan

Stephan
fonte
2

Eu tive o mesmo problema, verificando dupla e triplamente todas as opções acima e ainda não funcionou. Finalmente, percebi que o daemon ssh estava procurando o arquivo allowed_keys no lugar errado, pois não há diretório / home / nonrootuser.

Você deve criar o caminho ou criar um link simbólico (essas duas opções não funcionaram para mim) ou o que finalmente funcionou foi adicionar essas duas linhas no arquivo sshd_config:

Match User nonrootuser
AuthorizedKeysFile      /var/services/homes/nonrootuser/.ssh/authorized_keys

Dessa forma, verifique se a chave que você está adicionando via ssh-copy-id do cliente é a mesma que o servidor (sinologia) está oferecendo para estabelecer a conexão para o não-root.

user334008
fonte
2

O mesmo problema aqui com o dsm 6.0, resolvido graças a esta discussão nos fóruns da Synology

Parece que a permissão doméstica do usuário é muito permissiva -? 

chmod 755 /var/services/homes/[username]

... e agora funciona!

Gonzalo Cao
fonte
1

Parece muito semelhante a essa pergunta:

/programming/12839106/scp-between-2-remote-hosts-without-password/12945060#12945060

Suspeito que o diretório ou os arquivos .ssh não tenham os atributos adequados.

Aqui estão os meus:

-rw-r--r--  1 root root   393 Aug 13  2012 if_rsa.pub
-rw-------  1 root root  1675 Aug 13  2012 if_rsa
-rw-r--r--  1 root root   393 Aug 20  2012 id_rsa.pub
-rw-------  1 root root  1675 Aug 20  2012 id_rsa
-rw-------  1 root root  4606 Aug  7  2013 authorized_keys
drwx------  2 root root  4096 Feb 24 09:59 .
-rw-r--r--  1 root root 11354 Mar 25 17:28 known_hosts

Além disso, verifique o conteúdo /etc/pam.d/sshdque pode colocar algumas restrições no sistema não raiz. Apenas no caso de. Este link explica o PAM no caso de RHEL. Pode ajudar: https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/PAM_Configuration_Files.html

Aqui é onde a questão mostra sua cabeça feia:

debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/aether/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password

Não aceita id_rsa e continua:

debug1: Trying private key: /home/aether/.ssh/id_dsa
debug1: Trying private key: /home/aether/.ssh/id_ecdsa

Desiste e confia na senha

debug1: Next authentication method: password

Então agora, a questão é por que não gosta de id_rsa?

Grzegorz
fonte
Oi Grzegorz, a dir .ssh tem perm 700 e .ssh / authorized_keys tem perms 600.
Vlad A Ionescu
@VladAlexandruIonescu: Atualizei minha resposta, mostrando outros atributos e informações sobre o PAM, que podem lhe dar mais área para testar.
Grzegorz
Obrigado, Grzegorz, mas ainda sem sorte. Eu tentei exatamente as mesmas permissões que a sua. Também deu uma olhada em /etc/pam.d/sshd, mas não parece que algo discriminaria o usuário root: gist.github.com/vlad-alexandru-ionescu/e6a2ee6133c7e9e45273 .
Vlad A Ionescu
@VladAlexandruIonescu: Esse problema é para todos os usuários? Você escreveu "para outro usuário", o que pode indicar apenas um. Você pode fazer massa usando este login do usuário ou você está logado como root e depois processa-o?
Grzegorz
Sim, para todos os usuários não raiz. Eu posso ssh / putty como qualquer usuário (raiz ou não raiz). Mas ele solicita a senha quando não é root, mesmo que eu tenha adicionado a chave pública do meu cliente a allowed_keys no servidor.
Vlad Um Ionescu
1

Eu tenho esse mesmo problema. Depois de configurar as permissões corretas em minhas chaves_autorizadas, nos diretórios home do arquivo e .ssh, eu ainda não consegui fazer o SSH no meu Diskstation.

Depois de ler as informações em techanic.net , descobri que também precisava definir meu shell de login no meu /etc/passwdarquivo. Foi definido como /sbin/nologinpadrão. Depois de alterá-lo para /bin/sheu consegui SSH para minha Diskstation com sucesso.

Rob Szumlakowski
fonte
0

Eu apenas tive esse mesmo problema com o DSM 5.1 em vez de 5.0. Nenhuma das soluções listadas resolveu o problema. No meu caso, as permissões para /var/services/homes/<user>/.ssh/authorized_keysnão estavam corretas. A execução do seguinte resolveu o problema

chmod 600 /var/servieces/homes/<user>/.ssh/authorized_keys
Steven C. Howell
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.