Hello ! J'ai des paquets fait main qui tournent sur mon NAS fraîchement mis à jour en Beta 2, dans lesquels je fais toujours une vérification du ${UID} pour être sûr que ça tourne pas en root, mais à priori c'est le cas maintenant ! Avez-vous remarqué la même chose chez vous ? Je suis pas super calé sur les paquets Syno, j'espère trouver comment forcer un lancement sans autant de privilèges :/

Modifié le 22 janvier 20169 a par Logan
fôte d'autographe :)

il y a 7 minutes, Logan a dit :

Hello ! J'ai des paquets fait main qui tournent sur mon NAS fraîchement mis à jour en Beta 2, dans lesquels je fais toujours une vérification du ${UID} pour être sûr que ça tourne pas en root, mais à priori c'est le cas maintenant ! Avez-vous remarqué la même chose chez vous ? Je suis pas super calé sur les paquets Syno, j'espère trouver comment forcer un lancement sans autant de privilèges :/

interessant çà, dommage que synology ne communique pas clairement sur tout cela

juste pour éviter les méprises

• exécuter une commande dans l’environnement de l'utilisateur mais avec les droits root :
  • sudo <CMD>
• obtenir les privilèges de root pour les commandes suivantes dans l’environnement de l'utilisateur
  • sudo -s
• passer root
  • sudo su -

il y a 7 minutes, Fenrir a dit :

juste pour éviter les méprises

• exécuter une commande dans l’environnement de l'utilisateur mais avec les droits root :
  • sudo <CMD>
• obtenir les privilèges de root pour les commandes suivantes dans l’environnement de l'utilisateur
  • sudo -s
• passer root
  • sudo su -

http://forum.synology.com/enu/viewtopic.php?f=260&t=109518#p41151

Bonour,

 

Est-ce que ces modifications de droits pourraient impacter la sauvegarde rsync ? J'ai mis la beta 2 avant hier soir. Depuis, ma sauvegarde de mon syno sur mon buffalo ne fonctionne plus. Par contre ma sauvegarde sur disque externe fonctionne correctement.

La BETA 2 est scellée jusqu'à la RC ou ils vont faire des petites update de sécurité comme pour la branche production ?

moi j'ai un gros bug pour ma part avec la beta 2 et surveillance station mes cameras sont déconnectes des que je vais voir le live sinon tout le reste marche

J'utilise pas Surveillance Station pour le moment (pas de caméra sous la main) 

De retour,

Toujours dans l'optique d'évaluer l'impact des nouvelles restrictions à l'accès direct "root" via ssh, est-ce qu'un des beta testeurs pourrait avoir la gentillesse de tester pour moi si ça s'applique ou pas aux connexions par clé publique?

Merci d'avance!

 

Modifié le 23 janvier 20169 a par CoolRaoul

il y a 8 minutes, CoolRaoul a dit :

De retour,

Toujours dans l'optique d'évaluer l'impact des nouvelles restrictions à l'accès direct "root" via ssh, est-ce qu'un des beta testeurs pourrait avoir la gentillesse de tester pour moi si ça s'applique ou pas aux connexions par clé publique?

Merci d'avance!

 

 bizarre, syno refuse l'acces root, mais le permit_root_login n'est pas defini à NO :s c'est pam qui gere ca ?

Modifié le 23 janvier 20169 a par gaetan.cambier

il y a 7 minutes, gaetan.cambier a dit :

c'est pam qui gere ca ?

Ca se pourrait bien.

Problème est que j'ai me suis toujours gardé de mettre les mains dans le cambouis de ce système: jamais réellement compris (ou cherché à comprendre) son mécanisme comme par exemple les subtilités des différences entre les clauses "required"  et "requisite" 

**EDIT**

Mais on peut très bien demander à SSH de court-circuiter PAM (clause "UsePAM no" dans /etc/ssh/sshd_config, sous réserve que la version Syno d'OpenSSH ne l'ignore pas)

Modifié le 23 janvier 20169 a par CoolRaoul

Accès direct de root par SSH non mais une fois logué en tant qu'admin en faisant :

sudo su - root

On devient root

à l’instant, NY152 a dit :

Accès direct de root par SSH non mais une fois logué en tant qu'admin en faisant :

sudo su - root

On devient root

En effet (me semble que cela a déjà signalé) 

Mon problème est que j'utilise énormément l’accès distant aux fichiers en édition

J'utilise pour ça le module "tramp" de Emacs (ceux qui ne connaissent pas peuvent le considérer en simplifiant un peu comme conceptuellement équivalent à ce qu'on peut faire avec un WinSCP) et l'ajout de ce "sudo" intermédiaire risque de compliquer les chose (en pratique tramp sait normalement gérer -le principe se nomme "multihop"- mais je n'ai jamais utilisé, en ca me gonfle d'avance d'avoir à le configurer).

 

Ton programme ne permets pas de lancer une commande à la connexion ? Il suffirait d'ajouter ce sudo

il y a 9 minutes, NY152 a dit :

Ton programme ne permets pas de lancer une commande à la connexion ?

Il y a bien sur plusieurs possibilités, comme aussi et par exemple, dans le ".profile" du compte admin, faire le  "exec sudo" qui va bien en le conditionnant au contenu de la variable "TERM" (que je peux facilement positionner en amont du ssh)

Mais ca reste des bidouilles pas toujours des plus élégantes.

A propos, pourrais-tu vérifier ce que donne un simple "sudo -i -u root" ? Ca devrait donner, si ça marche, un résultat équivalent au "sudo su - root" sans avoir à '"cascader" les deux commandes.

Citation

Il suffirait d'ajouter ce sudo

Et là, reste le pb du mot de passe demandé. Tout dépendra de ce qu'on peut modifier dans le sudoers.

Modifié le 23 janvier 20169 a par CoolRaoul

il y a une heure, NY152 a dit :

J'utilise pas Surveillance Station pour le moment (pas de caméra sous la main) 

je viens de tester surveillance avec mon ds213j qui lui est toujours avec la version 5 et tout marche  par contre des que je vais dans ds415+ plus rien

à l’instant, CoolRaoul a dit :

Il y a bien sur plusieurs possibilités, comme aussi et par exemple, dans le ".profile" du compte admin, faire le  "exec sudo" qui va bien en le conditionnant au contenu de la variable "TERM" (que je peux facilement positionner en amont du ssh)

Mais ca reste des bidouilles pas toujours des plus élégantes.

A propos, pourrais-tu vérifier ce que donne un simple "sudo -i -u root" ? Ca devrait donner, si ça marche, un résultat équivalent au "sudo su - root" sans avoir à '"cascader" les deux commandes.

Et là, reste le pb du mot de passe demandé. Tout dépendra de ce qu'on peut modifier dans le sudoers.

"sudo -i -u root" donne la même chose que "sudo su - root"

il y a 4 minutes, NY152 a dit :

"sudo -i -u root" donne la même chose que "sudo su - root"

Merci encore pour ta coopération.

Si j'osais je te demanderai une dernière faveur, me déposer quelque part une archive tar du contenu du dossier "/etc/pam.d" de DSM beta. 

Toujours pour comparer avec la V5.

La commande est:

/bin/tar -C / -vczf pam.tgz etc/pam.d

Et tu récupère "pam.tgz" dans le répertoire courant.

Modifié le 23 janvier 20169 a par CoolRaoul

Bonjour,

C'est mis au début qu'une fois passé en DSM 6, on ne peut plus revenir en arrière. Mais je viens de recevoir un nouveau NAS et j'aurais voulu essayer la nouvelle version de DSM avant de le configurer proprement. Donc ce que j'aurais voulu savoir c'est si la phrase du début veut dire : "On ne peut plus revenir en arrière DU TOUT" ou si elle veut dire : "On ne peut plus revenir en arrière SANS TOUT CASSER SA CONFIG".

Merci d'éclairer ma lanterne...

Il y a 1 heure, CoolRaoul a dit :

Merci encore pour ta coopération.

Si j'osais je te demanderai une dernière faveur, me déposer quelque part une archive tar du contenu du dossier "/etc/pam.d" de DSM beta. 

Toujours pour comparer avec la V5.

La commande est:

/bin/tar -C / -vczf pam.tgz etc/pam.d

Et tu récupère "pam.tgz" dans le répertoire courant.

http://dl.free.fr/kMPFRHsAu

Voilà ce que tu as demandé ^^

il y a 27 minutes, StudioNeuneu a dit :

Bonjour,

C'est mis au début qu'une fois passé en DSM 6, on ne peut plus revenir en arrière. Mais je viens de recevoir un nouveau NAS et j'aurais voulu essayer la nouvelle version de DSM avant de le configurer proprement. Donc ce que j'aurais voulu savoir c'est si la phrase du début veut dire : "On ne peut plus revenir en arrière DU TOUT" ou si elle veut dire : "On ne peut plus revenir en arrière SANS TOUT CASSER SA CONFIG".

Merci d'éclairer ma lanterne...

Le downgrade est impossible donc revenir en arrière est impossible. Après peut être que des geeks y arrivent mais ça sera pas par une méthode dite normale ^^

il y a 22 minutes, NY152 a dit :

Voilà ce que tu as demandé ^^

Encore merci.

Hélas rien ne m'a sauté aux yeux en comparant ce qui est en V5. Certains trucs sont ajoutés (pas énormément) mais rien de changé concernant ssh (pam.d/sshd est strictement identique)

je comprend pas pourquoi vous demandé les fichier un à un au lieu de télécharger le .pat et tout extraire

c qd meme + facile

à l’instant, gaetan.cambier a dit :

je comprend pas pourquoi vous demandé les fichier un à un au lieu de télécharger le .pat et tout extraire

Bien vu, me suis souvenu également à l'instant que tout était dans le .pat. Faiblesse passagère.

Il y a 9 heures, CoolRaoul a dit :

Bien vu, me suis souvenu également à l'instant que tout était dans le .pat. Faiblesse passagère.

disont que l'avantage, tu peux meme téléchargé un 5.2 et un 6.0 et faire un gros diff pour voir ce qu'il ressort ;)

Le 23/1/2016 at 23:58, gaetan.cambier a dit :

... télécharger le .pat et tout extraire

Apres en avoir extrait une copie, j'ai pu faire quelques découvertes sympathiques (désolé si ça a été déjà signalé par ailleurs):

DSM 6 embarque de base bash (4.3) et python (en version 2.7).

**EDIT**

Autre chose: plus de busybox: uniquement des binaires indépendants désormais (très bonne chose, on dispose maintenant la version "full gnu" de la plupart des commandes en ligne de base, plus la version "light" inclue dans busybox.

**EDIT#2**

Si vous voulez tester *sans risque* sur votre NAS actuel  l’environnement shell de DSM beta, suffit de télécharger le .pat qui correspond à l'architecture de votre Syno.

Ensuite, en ligne de commande aller dans le répertoire ou se trouve ce .pat et exécuter:

mkdir DSM6ROOT
# remplacer  ci dessous DSM_DS213j_7274.pat par le votre
/usr/syno/bin/7z x DSM_DS213j_7274.pat hda1.tgz 
cd DSM6ROOT
tar xjf ../hda1.tgz

NN: le fichier hda1.tgz peut être maintenant supprimé.

puis (à faire une seule fois):

mv var.defaults var
mv etc etc.ori
mv etc.defaults etc

et enfin 

mount -t proc proc /proc
chroot `pwd` /bin/sh -l

pour vous retrouver "chrooté" dans un mini DSM6 (uniquement la ligne de commande).

Modifié le 27 janvier 20169 a par CoolRaoul