Probl

[megavinz2000]

Bonjour à tous,

J'ai un Syno DS214+ depuis 6 mois et j'ai toujours pu sans problème accéder au NAS depuis l'extérieur via Putty en SSH (compte Root) sur le port 443 (port 22 modifié sur le 443 sur le sshd_config).

Depuis hier j'ai fait la dernière MAJ du DSM et je n'arrive plus à accéder au NAS via Putty. Ni sur le port 443, ni sur le 22 (sur une MAJ il y a qqs mois, c'était revenu à la valeur par défaut), en externe ou directement sur mon réseau.

=> message d'erreur : pas de réponse du réseau (serveur unexpectedly closed network connection)

J'arrive seulement à accéder au NAS via TELNET port 23, mais à l'externe c'est moyen vu que ce n'est pas crypté.

Et là je me suis rendu compte en voulant redémarrer le démon SSH que le /usr/syno/etc.defaults/rc.d/S95sshd.sh avait disparu.

Je ne sais pas trop quoi faire là. Si vous avez des idées, n'hésitez pas...

A priori je n'ai pas trouvé de cas similaire sur le forum ni sur Google.

Et je précise que j'ai peu de connaissances en commandes linux, j'ai juste suivi précisément des tutos sur le WEB.

Merci d'avance !

Vincent

[glouglou44]

Etant donné que c'est certainement revenu par défaut, est-ce que tu n'aurais pas oublié d'ouvrir le port 22 (que tu n'utilisais pas) dans le firewall de ton syno ???

[megavinz2000]

Non non malheureusement le port 22 est bien ouvert !

[glouglou44]

Ok, dans ce cas prenons les choses les unes après les autres:

1. Service SSH activé via le DSM (Panneau de configuration=

2. Port firewall ouvert en 22 (ok, tu viens de me le dire)

3. Faire un ssh -vvv et voir ce que ça dit

4. Si toujours pas ok, connexion telnet et commande "ps|grep ssh", tu dois avoir une ligne /usr/syno/sbin/sshd

5. Toujours telnet: commande "netstat -an|grep 22". Tu dois avoir une ligne du style "0.0.0.0:22 0.0.0.0:* LISTEN"

Tiens-moi au courant

[megavinz2000]

1 et 2 : ok

3 : accès Telnet, voici ce que j'obtiens

DiskStation> ssh -vvv
OpenSSH_5.8p1-hpn13v11, OpenSSL 1.0.1i-fips 6 Aug 2014
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-e escape_char] [-F configfile]
[-I pkcs11] [-i identity_file]
[-L [bind_address:]port:host:hostport]
[-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
[-R [bind_address:]port:host:hostport] [-S ctl_path]
[-W host:port] [-w local_tun[:remote_tun]]
[user@]hostname [command]

4 : j'ai bien la ligne affichée

5 : j'obtiens ceci :

netstat -an|grep 22
unix 2 [ ACC ] STREAM LISTENING 8922 /tmp/fileindexd.sck
unix 2 [ ACC ] STREAM LISTENING 622417 /usr/syno/var/nmbd/unex pected
unix 3 [ ] STREAM CONNECTED 626223
unix 3 [ ] STREAM CONNECTED 626222

et en changeant de port (443), ceci :

netstat -an|grep 443
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 ::%14:443 :::* LISTEN

en tout cas merci de ton aide précieuse...

V.

[Fravadona]

Pour le 3) c'est a partir de ton PC qu'il faut le faire. si tu est sous Windows avec Putty tu peux faire (a partir d'un Invite de commande)

putty -ssh -vvv -P 22(ou 443) root@ipdunas

[megavinz2000]

ok merci

pour l'instant ça m'indique que Putty ne connait pas la commande -vvv

[glouglou44]

Ok donc déjà il n'écoute pas sur le port 22.

pour le ssh -vvv, tu peux le faire directement sur ton Diskstation en faisant ssh -vvv localhost. Cependant, on ne connais pas le port (est-ce tjrs le 443 ? ). Pour savoir sur quel port tourne ssh, lance plutôt la commande "netstat -taupen|grep sshd", là, si sshd tourne, tu dois obtenir le numéro de port et utiliser l'option -p de ssh pour modifier le port par défaut pour ta connexion SSH

Modifié le 18 septembre 2014 par glouglou44

[megavinz2000]

Oui il n'écoute pas sur le port 22 car à midi, en testant avec Putty sur ce port il m'indiquait "access denied"

Pour la commande ssh -vvv, qu'entends tu par directement sur le Diskstation ? Ya-t-il un terminal intégré sur DSM ? Car via le terminal Windows putty ne connais pas -vvv et via Putty j'ai uniquement accès à une invite de commande via Telnet

Pour la commande à tester, je ferai ca ce soir en rentrant du boulot.

Sinon, dernier point, j'ai regardé très rapidement avant de partir à 14h, mais il m'a semblé que mon fichier sshd_config était bizarre. Serait il possible que qq'un copie colle le sien par défaut que je compare les 2 ?

Vu mon expérience en Linux, j'aurais fait un copié collé inapproprié avec la flèche droite en modifiant l'écoute des ports que ca ne m'étonnerait pas.

En tout cas merci pour votre aide précieuse.

V.

[glouglou44]

Pour la commande ssh -vvv, qu'entends tu par directement sur le Diskstation ? Ya-t-il un terminal intégré sur DSM ? Car via le terminal Windows putty ne connais pas -vvv et via Putty j'ai uniquement accès à une invite de commande via Telnet

Tu la fais justement via telnet. Tu fais une connexion à toi-même afin d'avoir les informations -vvv

Sinon, dernier point, j'ai regardé très rapidement avant de partir à 14h, mais il m'a semblé que mon fichier sshd_config était bizarre. Serait il possible que qq'un copie colle le sien par défaut que je compare les 2 ?

Vu mon expérience en Linux, j'aurais fait un copié collé inapproprié avec la flèche droite en modifiant l'écoute des ports que ca ne m'étonnerait pas.

Justement, une des commandes te donnera le port d'écoute de ssh (en espérant qu'il y ait quelque chose). A partir de là tu pourras te connecter via le port trouvé (sauf s'il y a encore autre chose)

[megavinz2000]

Ok je comprends pour Telnet !

Sinon pour le fichier sshd_config, je te disais en fait que j'ai dû modifier le fichier en insérant des copiés-collés sauvages sans faire attention (j'avais zappé qu'on colle avec la flèche droite au début). Mais la ligne port doit bien être sur 443, c'est sûr.

C'est pour ca que je demandais si qq'un avait un exemple complet d'un fichier sain, pour comparer les autres lignes

Je vous dis ça ce soir en rentrant du boulot !

@+++

V

[megavinz2000]

Alors voilà ce que j'obtiens avec les commandes ssh -vvv et netstat :

DiskStation> ssh -vvv localhost
OpenSSH_5.8p1-hpn13v11, OpenSSL 1.0.1i-fips 6 Aug 2014
debug2: ssh_connect: needpriv 0
debug1: Connecting to localhost [127.0.0.1] port 22.
debug1: connect to address 127.0.0.1 port 22: Connection refused
ssh: connect to host localhost port 22: Connection refused

DiskStation> netstat -taupen|grep sshd
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 2190/sshd
tcp 0 0 ::%14:443 :::* LISTEN 2190/sshd
DiskStation>

Comment analyses tu les résultats de netstat ?

[Fravadona]

Il semblerait que SSH tourne sur le port 443

[megavinz2000]

En effet on dirait. Mais je n'arrive toujours pas à me connecter en SSH via ce port.

Via Telnet, voici mon sshd_config :

DiskStation> vi /etc/ssh/sshd_config

# $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $

# This is the sshd server system-wide configuration file. See

# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented. Uncommented options change a

# default value.

Port 443

#AddressFamily any

#ListenAddress 0.0.0.0

#ListenAddress ::

# The default requires explicit activation of protocol 1

#Protocol 2

# HostKey for protocol version 1

#HostKey /etc/ssh/ssh_host_key

# HostKeys for protocol version 2

- /etc/ssh/sshd_config 1/139 0%

#HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

#HostKey /etc/ssh/ssh_host_ecdsa_key

# Lifetime and size of ephemeral version 1 server key

#KeyRegenerationInterval 1h

#ServerKeyBits 1024

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

#LogLevel INFO

# Authentication:

#LoginGraceTime 2m

#PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#RSAAuthentication yes

#PubkeyAuthentication yes

#AuthorizedKeysFile .ssh/authorized_keys

- /etc/ssh/sshd_config 1/139 0%

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

# similar for protocol version 2

#HostbasedAuthentication no

# Change to yes if you don't trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

- /etc/ssh/sshd_config 1/139 0%

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

# similar for protocol version 2

#HostbasedAuthentication no

# Change to yes if you don't trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no

# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes

#PermitEmptyPasswords no

Ca vous parait normal ?

[Fravadona]

Changes le port et redemarres SSH puis et essaies de te connecter

[megavinz2000]

J'ai beau essayer de changer le port mais ca ne change rien, impossible de me connecter.

Et quand j'essaie de redémarrer le démon SSH en faisant "/usr/syno/etc.defaults/rc.d/S95sshd.sh restart", ca me met "introuvable", et en effet, je ne le vois pas.

[Fravadona]

Si tu changes le port dans le fichier de conf ce n'est pris en compte qu'apres avoir redemarre SSH.

Desactive/Reactive SSH directement dans l'interface de configuration de DSM

[megavinz2000]

Je l'ai déjà essayé plusieurs fois, mais sans succès.

Après j'ai peur qu'à avoir trop manipulé le fichier sshd_config, il ne soit plus bon.

Mais merci quand même !

[glouglou44]

Je comprends surtout pas ce que font les lignes "- /etc/ssh/sshd_config 1/139 0%" dans ton fichier....

Et quand j'essaie de redémarrer le démon SSH en faisant "/usr/syno/etc.defaults/rc.d/S95sshd.sh restart", ca me met "introuvable", et en effet, je ne le vois pas.

Moi non plus je n'ai pas ce script. Mais quoi qu'il en soit ton démon tourne.

Prends un sshd_config propre et redémarre ton syno. Note: soit tu changes le port, soit tu utilises le port 22 au redémarrage (attention au firewall)

# $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#UsePAM no

#AllowAgentForwarding yes
AllowTcpForwarding no
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
ChrootDirectory none
#ChrootDirectory /var/services/homes/%u
#DenyUsers admin

# no default banner path
#Banner none

# override default of no subsystems
#Subsystem sftp /usr/libexec/sftp-server
#Subsystem sftp internal-sftp -f DAEMON -l VERBOSE -u 000
Subsystem sftp internal-sftp -f DAEMON -u 000
#Subsystem sftp /usr/syno/sbin/sftp-server -l DEBUG3

# the following are HPN related configuration options
# tcp receive buffer polling. disable in non autotuning kernels
#TcpRcvBufPoll yes

# allow the use of the none cipher
#NoneEnabled no

# disable hpn performance boosts.
#HPNDisabled no

# buffer size for hpn to non-hpn connections
#HPNBufferSize 2048


# Example of overriding settings on a per-user basis
Match User root
# X11Forwarding no
AllowTcpForwarding yes
# ForceCommand cvs server

[gaetan.cambier]

ChallengeResponseAuthentication no

UsePAM yes

AllowTcpForwarding no

UseDNS no

ChrootDirectory none

Subsystem sftp internal-sftp -f DAEMON -u 000

Match User root

AllowTcpForwarding yes

Voilà le fichier original

Modifié le 19 septembre 2014 par Gaetan Cambier

[megavinz2000]

Super, encore merci pour votre aide !

Si avec ça je n'y arrive pas...

Je vous dis dès que je rentre chez moi !

@+++

V.

[megavinz2000]

Bonsoir tout le monde, alors avec le fichier original, j'arrive enfin à me connecter en SSH port 22 !!

Par contre, impossible avec le port 443, même avec pare-feu ouvert. Ca a tjs marché jusque là donc je ne sais pas. J'ai dû zappé qq chose de simple.

[gaetan.cambier]

Tu ajoute juste la ligne suivante dans le fichier :

Port 443

Et tu redémarre le service ssh

[megavinz2000]

Oui c'est bien ce que j'ai fait, mais non !

Quand j'essaie de me connecter avec Putty sur le port 443 il tourne en rond puis se coupe.

[gaetan.cambier]

Lance la commande suivante en telnet :

netstat -taupen | grep :443