[Résolu] Changer les identifiants de sauvegarde par SSH?

[_Megalegomane_]

Bonjour,

Je dois mettre à jour les mots de passe admin de mes NAS.
Mais mon problème, c'est que je dois le faire sur une centaine de NAS...

Après quelques recherches:

• j'ai pu automatiser la connexion SSH sur tous mes NAS et lancer mes commandes
• j'ai aussi pu modifier le mot de passe de l'admin avec un simple "synouser --setpw admin newpassword".

Mais le GROS HIC c'est que du coup la sauvegarde ne fonctionne plus puisque l'authentification se fait par l'utilisateur admin. Je sais que certains vont me dire "c'est pas bien d'utiliser le compte admin" pour faire ses sauvegardes mais à l'époque on avait pas le choix et avec l'habitude je n'ai pas modifié cette pratique.

Dans ma configuration chaque site/agence a son NAS de production ainsi que son NAS de backup et comment dire? J'ai pas envie de me palucher à modifier toutes mes sauvegardes par l'interface du DSM!

Est-ce que quelqu'un aurait une commande ou un fichier à modifier afin de forcer le nouveau mot de passe (ou encore mieux un autre compte dédié à la sauvegarde) afin que les sauvegardes soient fonctionnelles?

Pour info, cela concerne la sauvegarde réseau sur un dossier partagé distant (et non pas sur volume avec déduplication et versionning).

Merci pour votre aide.
 

PS: Je suis aussi allé voir du côté de CMS et je n'y ai pas trouvé de régle pour modifier le mot de passe admin. D'ailleurs le CMS est finalement très décevant et très peu mis à jour.

Modifié le 7 septembre 2015 par bryce426

[gaetan.cambier]

fait un tour dans ce dossier, tu aura p-e un resultat :

/var/synobackup

 

[_Megalegomane_]

je viens de regarder. Mais à priori rien ne fait référence au mot de passe.
J'ai fait un mail à synology lundi et j'attends un retour. Je penche pour un problème de clé ssh/rsync mais bon j'arrive à rien.

[loli71]

salut bryce,

 

La config des backup du synology se trouvent dans le fichier /usr/syno/etc/synobackup.conf

Tu as pour chaque "destination de la sauvegarde" un paragrpahe dans ce fichier nommé [repo_X] et dedans les entrées suivantes :

remote_pass="XXXXXXXXXXXXX"
trans_type="rsync_ds"
remote_share="<Nom du partage distant"
remote_addr="<Adresse IP du serveur distant>"
remote_user="admin"

Le mot de passe du compte admin distant est donc la valeur de "remote_pass", par contre elle est cryptée dans ce fichier, et je ne sais pas si c'est du MD5, du crypt ou du SHA.

[gaetan.cambier]

merci loli, ca peut etre vraiment utile

[_Megalegomane_]

Salut Loli et Gaetan,

effectivement je retrouve bien ma tâche de sauvegarde dans le fichier /usr/syno/etc/synobackup.conf

reste plus qu'à trouver si on a un moyen de crypter le mot de passe de notre côté...

Merci, le problème progresse ça me rassure!

[gaetan.cambier]

si c'est du crypt, c'est ici :

https://www.openssl.org/docs/manmaster/apps/passwd.html

en espérant qu'il ait pas salé le password, autrement, ca va etre compliqué

[loli71]

si tu fais un sauvegarde du fichier /usr/syno/etc/synobackup.conf (copie de secours), tu peux toujours essayer de crypter à la main ton mot de passe en ssh sur le syno avec la ligne suivante:

nas> htpasswd -d -n admin
New password:
Re-type new password:
admin:kLk5am9nCykhc

le paramètre '-d' force l'utilisation du crypt pour générer le mot de passe, le paramètre '-n' ne modifie pas le fichier et donc t'affiche juste la ligne de résultat.

Tu prends donc comme valeur ce qui est après "admin:" pour le mettre dans remote_pass="XXXXXXXXXXXXX"

Et puis tu essayes de lancer la sauvegarde dont tu viens de modifier les paramètres.

si cela ne marche pas, tu reviens en arrière avec ta copie de secours du fichier /usr/syno/etc/synobackup.conf

Modifié le 2 septembre 2015 par loli71

[_Megalegomane_]

J'ai exécuté la commande "htpasswd -d -n admin" sur les 2 NAS et modifié à chaque fois la variable remote_pass (du nas qui envoie la sauvegarde) avec le mot de passe généré mais à l'exécution de la sauvegarde j'ai le message "Nom d'utilisateur ou mot de passe incorrect. etc...."

J'ai effectué la même manip avec les commandes suivantes sans succés:
- htpasswd -s -n admin
- htpasswd -s -d -n admin
- htpasswd -m -n admin
- htpasswd -m -d -n admin
- htpasswd -m -s -n admin
- htpasswd -m -s -d -n admin
- openssl passwd monmotdepasse
- openssl passwd -1 monmotdepasse
- openssl passwd -crypt monmotdepasse
- openssl passwd -apr1 monmotdepasse

Je continue mes tests...

Modifié le 2 septembre 2015 par bryce426

[_Megalegomane_]

j'ai aussi testé ça:

/usr/syno/bin/synonetbkp --updata-task-config 1 remote_pass monmotdepasse

mais pas mieux

[loli71]

j'ai aussi testé ça:

/usr/syno/bin/synonetbkp --updata-task-config 1 remote_pass monmotdepasse

mais pas mieux

Ben là, je sèche alors, car même si la commande en CLI fourni par synology qui permet de changer le mot de passe remote ne fonctionne pas .. c'est pas cool

Au passage, merci pour cette ligne de commande, je ne pensais pas que l'on pouvait l'utiliser de cette façon là ;-)

Une dernière chose pour être certain, as-tu activé l'option de cryptage dans la sauvegarde (ce qui voudrait dire que la sauvegarde utilise le ssh pour se connecter au serveur distant et y faire transiter le rsync. Donc tu as peut être un problème de mot de passe pour la connexion en ssh sur le serveur distant .. à tester depuis le serveur qui lance les sauvegardes : ssh admin@<ip du nas distant> et en mettant le mot de passe admin que tu as modifié sur le distant

[_Megalegomane_]

Non j'ai désactivé le cryptage ssh pour éviter de compliquer encore plus les choses.

Pour la ligne de commande je me suis trompé c'est synobackup et non synonetbkp mais de toutes manières ça n'a pas eu d'effet. La commande synonetbkp existe mais n'est pas documentée...
Pour les commandes syno, si ça t'intéresse ce lien est pas mal : http://leblogdekzl.fr/2014/08/synology-du-dsm-au-terminal/
Pour trouver un peu plus de commandes, j'ai fait un find / -type f -name "syno*" , ça m'a retourné pas mal de résultats mais rien qui ne m'a aidé.

En tout cas merci pour votre temps et vos réponses.

Modifié le 2 septembre 2015 par bryce426

[gaetan.cambier]

j'ai aussi testé ça:

/usr/syno/bin/synonetbkp --updata-task-config 1 remote_pass monmotdepasse

mais pas mieux

--updata-task-config

ca serait pas plutot : 

--update-task-config

???

[loli71]

bon je viens de faire quelques test en suivant ce que tu as fait bryce.

- mise en place d'une sauvegarde entre deux syno avec le compte test et test de bon fonctionnement

- modification du mot de passe du compte test sur le syno de destination avec la commande "synouser --setpw test XXXXXXX"

- modification de la conf de la sauvegarde sur le syno emetteur avec la commande "synobackup --updata-task-config 3 remote_pass XXXXXXX"

La sauvegarde ne fonctionne effectivement pas.

Par contre, en regardant le fichier /usr/syno/etc/synobackup.conf après tout cela, j'ai constaté que la commande "synobackup --updata-task-config" n'avait pas changé le mot de passe dans la partie suivante [repo_3] (définition du répertoire partagé distant)

[repo_3]
remote_pass="YYYYYYY"

mais la commande a rajouter une ligne qui n'y était pas avant dans la partie [task_3] (définition de la sauvegarde en elle même) :

[task_3]
remote_pass="XXXXXXX"

Donc je pense que la commande "synobackup --updata-task-config" ne répond pas à tes besoins.

J'ai aussi fait les tests de remplacer la valeur remote_pass avec les différents type d'encryptage des mots de passe (crypt, md5, SHA ...) rien n'y fait. J'ai bien peur que gaetan ait raison et qu'ils utilisent en plus un salt sur le mot de passe :-(

Seule solution si tu as le même nouveau mot de passe pur le compte admin sur tous tes Nas (principaux et backup), tu fais la modif du mot de passe par DSM sur l'un des nas primaire, tu testes la sauvegarde sur son backup, et si ca marche, tu choppes la nouvelle valeur remote_pass qui marche dans le fichier /usr/syno/etc/synobackup.conf puis tu remplaces cette valeur par script dans tous les autres nas primaire ...

 

 

[_Megalegomane_]

--updata-task-config

ca serait pas plutot : 

--update-task-config

???

non, ça m'a paru bizarre aussi mais c'est bien updata... On peut le voir dans l'aide en tapant /usr/syno/bin/synonetbkp --help

[gaetan.cambier]

moi, voila ce que retourne la commande : 

DiskStation> /usr/syno/bin/synonetbkp --help
Copyright (c) 2003-2014 Synology Inc. All rights reserved.

c super comme aide

maintenant, a voir, c'est pas parce que il est noté "updata" dans l'aide que c'est forcement la bonne commande, on est pas à l'abris d'une faute de frappe du stagiaire qui aurai fait l'aide

[loli71]

moi, voila ce que retourne la commande : 

DiskStation> /usr/syno/bin/synonetbkp --help
Copyright (c) 2003-2014 Synology Inc. All rights reserved.

c super comme aide

maintenant, a voir, c'est pas parce que il est noté "updata" dans l'aide que c'est forcement la bonne commande, on est pas à l'abris d'une faute de frappe du stagiaire qui aurai fait l'aide

Gaetan, essaye plutôt la commande "synobackup --help" plutôt que "synonetbkp --help"

Je pense que bryce a dû se tromper dans son dernier post ;-)

Et pour la commande synobackup, c'est bien le paramètre "--updata-task-config" qu'il faut mettre, comme je l'ai expliqué dans mon post plus haut durant mes tests, sauf que cela ne modifie pas le bon paragraphe de la config ...

[_Megalegomane_]

@gaetan: oui j'ai (encore) confondu les commandes synonetbkp et synobackup... désolé
 

@loli71:

 

Seule solution si tu as le même nouveau mot de passe pur le compte admin sur tous tes Nas (principaux et backup), tu fais la modif du mot de passe par DSM sur l'un des nas primaire, tu testes la sauvegarde sur son backup, et si ca marche, tu choppes la nouvelle valeur remote_pass qui marche dans le fichier /usr/syno/etc/synobackup.conf puis tu remplaces cette valeur par script dans tous les autres nas primaire ...

Merci! La solution fonctionne. Du coup j'ai même pu réactiver le cryptage SSH.
Je vais quand même faire quelques tests avant d'automatiser tout ça mais à priori mon problème est réglé.

[loli71]

bonne nouvelle :-)

 

[_Megalegomane_]

Et pendant ce temps là toujours pas de nouvelles du support synology...
 

Merci d’avoir contacté Synology. Nous avons reçu votre demande de renseignements. Nous vous répondrons sous 24 heures pendant les jours ouvrés. Merci de votre patience.

[_Megalegomane_]

Pour info, j'ai bien eu un retour de Synology. La solution est la bonne:
 

 

Nous pouvons fournir c'est une méthode pour la modification du mot de passe dédiée au tâche de sauvegarde, toutefois nous n'avons pas d'outil ou méthode pour rendre cela automatique.

Je vous invite pour cela à suivre les étapes ci dessous:

Please note this only works for DSM 5.0 and above.

For example, the old password for admin account is 123 and new password is 456.

1. Please login DSM on the source DiskStation (password is 456 since the user has modified it by SSH.)

Launch Backup & Replication, edit existing backup task and change the password to 456.

Please test connection and make sure it works fine.

2. Login via SSH, open the following file /usr/syno/etc/synobackup.conf

Find the value of "remote_pass" under the destination section of the backup task we have just modified in DSM.

3. Since our password has been encrypted, so the value of "remote_pass" would not be "456", here we assume it is "abc".

4. User could now modify the "remote_pass" value to "abc" for all the rest of rsync tasks to proceed with backup.

But of course, user has to make sure the admin password is "456" on all the DiskStation or RackStation in order for this to work.

5. Please remember to save the file "synobackup.conf" after modification.

User could verify if the modification is done correctly by login to DSM to check the Backup task connection status.

Merci au SAV qui a pris la peine de répondre sur une question qui n'était quand même pas banale et qui demandait un peu de modif en SSH.

Modifié le 7 septembre 2015 par bryce426

[loli71]

Content de voir que la solution que je t'avais proposé est effectivement celle fournie par Synology :-)

[gaetan.cambier]

synology qui donne une telle solution, c presque etonnant, souvent ils prefère repondre que c pas possible

enfin, tant mieux que tout soit résolu

[loli71]

synology qui donne une telle solution, c presque etonnant, souvent ils prefère repondre que c pas possible

Pas si étonnant que cela, n'oublie pas Gaetan que Bryce a indiqué qu'il devait changer la config sur une centaine de NAS .. un bon client pour Synology :-)

[gaetan.cambier]

c vrai, moi et mon pauvre petit nas par rapport à lui :s

Modifié le 7 septembre 2015 par gaetan.cambier