Aller au contenu

[TUTO] Accès SSH et ROOT via DSM 6 et 7


unPixel

Messages recommandés

Mise à jour du tuto pour DSM 7 faite par Mic13710 le 18/02/2023

Bonjour,


Nous allons voir ensemble aujourd'hui comment se connecter en SSH et ROOT avec DSM6 et 7.
Ensuite, vous n'aurez plus besoin de login et mot de passe sur PuTTY et WinSCP.

Idée du tutoriel : je cherchais moi même à me connecter en SSH et ROOT pour suivre un tuto mais la méthode avait changée à partir de DSM6. En faisant des recherches sur la toile, je suis tombé sur toutes sortes de tutos donc la plupart étaient mal traduit, mal écrit, plus à jour, pas assez précis pour un novice (noob) comme moi etc... Et puis en poussant mes recherches un peu plus loin, je suis tombé sur une réponse de Fenrir à un membre du forum qui répondait en très grande partie à mes questions. J'ai donc décidé de me baser sur son savoir afin de créer ce tutoriel et que ça puisse aider les plus démunis sans passer trois heures sur internet pour trouver la bonne solution. Il est vrai que lorsqu'on ne manipule pas SSH tous les jours (je suis pas admin réseau moi lol), il est compliqué de s'y retrouver et encore plus de connaitre et mémoriser toutes ces informations. Surtout les commandes à taper...


Pour suivre ce tutoriel, nous aurons besoin du programme PuTTY (sous Windows) et éventuellement le second programme qu'est WinSCP si vous souhaitez aussi avoir accès à votre NAS via un explorateur de fichier (plus précisément un client SFTP graphique).

- Téléchargement de PuTTY : https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

- Téléchargement de WinSCP (facultatif) : https://winscp.net/eng/download.php

Pour la création des clés sous MAC et Linux, se reporter directement à la partie du tuto ci-dessous et sauter les étapes concernant PuTTY sous Windows.

On va aussi partir du principe que vous avez déjà activé SSH et personnalisé votre port dans DSM. Si ce n'est pas le cas, rendez-vous dans "Panneau de configuration" et "Terminal & SNMP".

Facilité du tutoriel : FACILE

Durée : 10 minutes maximum.

Message de Fenrir :

À toutes fins utiles, une clef SSH c'est comme un très gros mot de passe, si elle est compromise, tous les endroits où elle est installées le sont potentiellement, c'est pour ça qu'on recommande :

  • de protéger la clef avec un super mot de passe (pageant permet d'éviter de le retaper 15 fois par jours)
  • de renouveler la clef de temps en temps (1 fois par an c'est largement suffisant) en pensant bien à supprimer la clef publique de l'ancienne
  • et de la conserver à l'abri (la clef publique vous pouvez la coller sur google, mais la clef privée c'est comme votre carte bancaire)

***********************************************

- Création de la clé privée et la clé publique :

1. Une fois PuTTY installé, rendez-vous dans "tous les programmes" sous Windows et "PuTTY (64-bit)" puis lancez PuTTYgen qui est un générateur de clé.

2. Une fois lancé, vérifiez bien que le protocole de chiffrage RSA (ou ED25519) en bas à gauche soit coché et indiquez 4096 au lieu de 2048.

2017-08-21_142027.jpg.e1486a787c79726d8ff848583029fc2a.jpg

3. Cliquez simplement sur le bouton "Generate" pour générer les clés. Une fois cliqué, vous aurez un message vous demandant de balader votre souris sur la fenêtre afin de faciliter le hasard du chiffrage.

2017-08-21_142304.jpg.62e0d46059a0049090f2813600af273d.jpg

4. Une fois les clés générées, vous verrez en clair la clé publique affichée comme ci-dessous (copier la). Cliquez sur "Save private key". Enregistrez ou bon vous semble la clé privée sur votre ordinateur.

2017-08-21_141734.jpg.d37cc85501da85316459590859440b17.jpg

5. Vous aurez donc ce fichier sur votre ordinateur à l'endroit que vous aurez choisi :

2017-08-21_133354.jpg.3d701c2a1287adac012530cd5f047747.jpg

6. La clé privée servira pour Pageant qui est l'agent d'authentification de PuTTY.

A noter que si pour une raison ou pour une autre, vous devez retrouver la clé publique, il vous suffit de réouvrir PuTTYgen et de cliquer sur "Load" puis d'indiquer le chemin de votre clé privée pour la voir de nouveau s'afficher dans la fenêtre.

2017-08-21_142645.jpg.6b946d63881b9cf2ba8cb73031fdd345.jpg

2017-08-21_142532.jpg.14b6bda214e188779a7ef8380b01776f.jpg

2017-08-21_142735.jpg.4901ee7edecbb2506e5fd75a8ca6b119.jpg

 

***********************************************

- Création des clés sur un PC Linux ou Mac (de Fenrir) :

ssh-keygen -t ed25519 -C commentaire

ou

ssh-keygen -t rsa -b 4096 -C commentaire

Exemple sur un poste Linux :

fenrir@machine:~# ssh-keygen -t ed25519 -C "Clef ssh pour le tuto"
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/fenrir/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/fenrir/.ssh/id_ed25519.
Your public key has been saved in /home/fenrir/.ssh/id_ed25519.pub.
The key fingerprint is:
db:b5:12:69:c0:39:35:78:02:29:8c:32:3e:f0:6b:24 Clef ssh pour le tuto
The key's randomart image is:
+--[ED25519 256]--+
|   o  .o .o      |
|+ . o ..oo..     |
|o+   .  =o       |
|Eoo      o .     |
| o..    S + .    |
|  o      + o .   |
| .      . o .    |
|           .     |
|                 |
+-----------------+

Vous retrouverez donc vos clés dans le dossier .ssh de votre "home" (~/.ssh).

L'équivalent de pageant se nomme ssh-agent (il faut le lancer). Pour lui ajouter une clé :

ssh-add ~/.ssh/id_ed25519

nb : si la clé privée est accessible par d'autres personnes, ssh refusera normalement de l'utiliser, par défaut les droits sont bons, sinon :

chmod 600 ~/.ssh/id_ed25519

 

***********************************************

- Enregistrement de la clé publique dans le NAS :

1. Ouvrez le logiciel PuTTY (64-bit) sur votre ordinateur puis entrez les informations demandées à savoir l'IP locale du NAS et son port que vous aurez personnalisé puis cliquez sur "Open"  :

2017-08-21_004138.jpg.3c3563c751d413e9cd1aeca02bef5142.jpg

2. Vous avez une nouvelle fenêtre qui s'est ouverte.

2017-08-21_004307.jpg.7d5a174d1b7dae846ffd784a04613f22.jpg

A partir de là, les étapes sont simples.

Entrez votre login (admin) et appuyez sur "entré".

Entrez votre mot de passe et appuyez sur "entré".

Copiez et collez la commande "sudo su -" puis appuyez sur "entré".

sudo su -

ATTENTION : à partir de maintenant, vous êtes connecté en ROOT ; une mauvaise manipulation et ça pourrait être dramatique pour votre nas et entrainer par exemple, une perte des données ou une inaccessibilité totale de votre nas.

Copiez et collez la commande "mkdir /root/.ssh" puis validez en appuyant sur "entrée".

mkdir /root/.ssh

Copiez et collez la commande "vi /root/.ssh/authorized_keys" puis validez en appuyant sur "entrée".

vi /root/.ssh/authorized_keys

Arrivé ici, appuyez sur la touche i pour entrer en mode édition puis collez ici la clé publique que vous avez obtenue. Une fois la clé collée, appuyez sur "echap" et taper ":wq" puis faite "entré".

:wq

Tapez exit puis "entrée" deux fois afin de quitter PuTTY.

Voilà, vous avez collé votre clé publique dans votre NAS. On peut donc en principe se connecter en tant que ROOT et SSH via PuTTY. Mais avant ça, il faut configurer PuTTY.

***********************************************

- Configuration de PuTTY pour obtenir une connexion ROOT et SSH :

Ouvrez PuTTY (64-bit) à nouveau puis suivez la procédure en image détaillées :

2017-08-21_005900.jpg.93f26ab73f57c9589fc754eb142b0a4b.jpg

2017-08-21_013244.jpg.8dc2d565c7b3621725ef8ed5535a5366.jpg

2017-08-21_010350.jpg.9235a7eabf94804b51e4aa34b4ef79ff.jpg

2017-08-21_013558.jpg.4e295f98b76e08b79a189770663cace5.jpg

Ça vous demande votre mot de passe pour la clé privée.

2017-08-21_143907.jpg.a017d7b2ea5e2d12017506fab10eb1a9.jpg

Entrez le et voyez le résultat 😉

2017-08-21_144000.jpg.87ddebe2319e63769a906732acc82ae3.jpg

Vous êtes maintenant connecté en ROOT et SSH !

***********************************************

- Connexion rapide à votre NAS avec Pageant :

Pageant est un utilitaire fourni avec PuTTY et qui va vous permettre d'accéder rapidement à votre NAS. En double cliquant sur votre clé privée stockée sur votre PC, une icône avec un petit ordinateur va apparaitre  dans votre barre des tâches à droite.

2017-08-21_144531.jpg.578c50bb55bc02c866c0d15d22247669.jpg

Si vous double cliquez sur cette icône, ça vous ouvre une fenêtre qui récapitule les clés enregistrées.

2017-08-21_144626.jpg.d75a69f281b38d3fc722f3c80da25402.jpg

Si vous faites un clic droit  sur l'icône, vous verrez un menu s'afficher.

2017-08-21_144840.jpg.598b379f59cfbb0b63bca9dabbfc272c.jpg

Vous pouvez maintenant cliquer directement sur votre NAS répertorié et y accéder en ROOT et SSH via la fenêtre de PuTTY qui s'ouvre.

Astuce : on va faire en sorte que Pageant prenne en compte votre clé privée au démarrage sinon il faudra l'importer manuellement à chaque démarrage de ce dernier. On va faire un clic droit sur Pageant puis "Propriétés" puis on va ajouter dans le raccourci de lancement un espace puis l'adresse exacte ou se trouve la clé privée.

Ex : C:\PuTTY\pageant.exe D:\cléprivée.ppk

 

***********************************************

- Autoriser l'accès SSH uniquement avec un clé :

Pour renforcer un peu plus la sécurité, nous pouvons désactiver l'authentification par mot de passe comme on s'est connecté au début du tutoriel. Ceci va avoir pour conséquence d'autoriser uniquement les connexions SSH avec une clé et la passphrase associée.

On édite le fichier "sshd_config" pour lui indiquer que l'on n'accepte pas l'authentification par mot de passe.

vi /etc/ssh/sshd_config

On modifie (touche i pour "insert") la ligne "PasswordAuthentification yes" en "PasswordAuthentification no" et pour enregistrer la modification, on appuie sur la touche ECHAP (ESC) et on tape la combinaison ":wq!" (sans les guillemets).

EZ747a0.png

On redémarre le service SSH pour que le changement soit prit en charge.

DSM6 :

synoservicectl --reload sshd

image.gif.04657bdf57a543e5348da6a5fca7b967.gifDSM7 :

systemctl restart sshd

A partir de maintenant, il faudra obligatoirement avoir sa clé enregistrée dans le serveur mais aussi sa clé privée et la passphrase pour se connecter en SSH. Si on veut ajouter un utilisateur, il faudra revenir dans ce fichier afin d'autoriser temporairement l'authentification par mot de passe le temps que l'utilisateur créer sa connexion par une clé.

***********************************************

- Supprimer vos clés sur votre NAS :

Pour supprimer votre clé enregistrée sur votre NAS, tapez cette commande : "rm /root/.ssh/authorized_keys"

rm /root/.ssh/authorized_keys

ATTENTION : cette commande supprimera toutes vos clés !

***********************************************

- Configuration de WinSCP (client SFTP graphique) pour une connexion en ROOT et SSH :

1. Ouvrez WinSCP et suivez les images ci-dessous.

2017-08-21_015933.jpg.2357538fbe6e6f68ac13d7a61e9f754b.jpg

2017-08-21_020246.jpg.18c044e9db6d6872254b099a9a0a9aa5.jpg

2017-08-21_020413.jpg.72158cd446ea573b37840447c88cd391.jpg

2017-08-21_020654.jpg.2360b7b1ef85cd6a9b08ce2ed774478a.jpg

Et voilà, vous pouvez maintenant vous connecter via ROOT et SSH avec WinSCP.

 

Soyez prudent !

Merci à Mic13710 et Fenrir pour leurs contributions.

Si vous constatez des erreurs dans ce tutoriel, merci de me le faire  savoir pour que je corrige rapidement afin de ne pas induire en erreur les membres du forum n'y connaissant pas grand chose.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Bonjour,

J'ai l'impression que cela ne fonctionne plus depuis mise à jour de mon NAS en DSM 6.1.4-15217 U2.

Même la commande synouser -–setpw root qui permettait d'ajouter un password au compte root pour l'accès SSH ne fonctionne plus.

Pourriez-vous me dire si quelqu'un d'autre rencontre le même problème?

Merci!

 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

VOila qui est fait ;)

 

Pour ajouter un peu d'eau a mon moulin, je me connecte sous putty en admin :

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2018.01.09 23:37:23 =~=~=~=~=~=~=~=~=~=~=~=
login as: admin
admin@192.168.2.2's password:
Permission denied, please try again.


Putty se ferme immédiatement. Je suis sur à 200% du mot de passe. J'ai fait le test dans un VM, et cette méthode marche normalement, j'ai donc qq chose qq part qui lui pose soucis. Le problème c'est que du coup je ne peut rien faire en root et je suis complétement coincé :(

 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour à tous,

Tout d'abord merci beaucoup pour ce tuto, ça m'a permis de retrouver mon accès SSH sous Putty.

Cependant, j'ai un souci avec WinSCP, qui me dit : "Impossible d'initialiser le protocole SFTP. SFTP fonctionne-t-il sur le serveur ?"

Ayant trop peu de connaissances pour me passer de l'interface graphique, j'ai du mettre le protocole SCP au lieu de SFTP pour que ça finisse par fonctionner (astuce trouvée sur le net).

Du coup ça apporte quelques questions :

Est-ce que quelqu'un a une explication à ce phénomène ? Et surtout est-ce un problème de passer par ce protocole ?

Merci à tous, bonne journée !

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

Merci InfoYAnn pour ce tuto que j'ai appliqué à la lettre et enfin je retrouve ma connexion Winscp ;-).

Malheureusement je rencontre un petit problème de saisie passphrase. Lorsque j'accède via Winscp que j'ai configuré comme indiqué je tape la passphrase et tout va bien je suis connecté.
Par contre lorsque je passe par Putty et que je tape la passphrase (la même que précédemment) j'ai systématiquement le message "wrong passhrase" et la connexion est refusée.

Ma passphrase contient majuscules, des minuscules et des caractères spéciaux ... y a t-il des restrictions sur les caractères utilisables pour putty ?

Merci d'avance pour votre éclairage sur ce problème  

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pas à ma connaissance. Ma passphrase est composé d'environ 40 caractères différents dont des caractères spéciaux, majuscules, minuscules et chiffres et je n'ai pas ce soucis.

N'as-tu pas déplacé ta clé privée ? Si tel est le cas, va dans Putty et redéfini le chemin exact de ta clé.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Au pire, refais la manip qui ne prend que quelques minutes en supprimant avant la clé en place. La commande est aussi dans le tuto.

 

Avant, tu as vérifier aussi que dans Pageant, tu avais la clé d'intégrée ?

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

:smile: Merci infoYANN pour ton tuto. Fonctionne a merveille sur un syno en version DSM 6.1.6-15266 Update 1

connexion en root sur winSCP et putty.

De plus avec les clés publique/privée générée il n'y a aucun risque pour la sécurité, contrairement au autres méthode que j'ai pu lire qui me paraissait douteuse.


 

Lien vers le commentaire
Partager sur d’autres sites

  • 5 semaines après...

En effet, ça fonctionne comme ça sur MAC sauf qu'à chaque fois, tu dois taper ces deux commandes et entrer ton mot de passe au moins deux fois.

Sur Windows et avec Putty (ou WinSCP), on fait en sorte tout en restant sécurisé de ne pas avoir à entrer à chaque connexion le mot de passe qui est géré via des clés.

Mais moi même sur mon MAC, je fonctionne comme toi 😉

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

Petite question aux pros du SSH svp.

J'ai créé un utilisateur sur DSM pour mes sauvegardes locales via Syncback avec uniquement des droits de lecture sur tous les dossiers partagés. Donc en gros, le logiciel Syncback va chercher les données dans les dossiers partagés et les sauvegardes sur un disque dur sur un pc.

J'ai mit en place ceci en SFTP et j'aimerai y appliquer une clé privée.

Est-ce qu'en suivant mon tuto, la clé privée sera fonctionnelle et surtout reconnue pour la fonction SFTP et si oui, est-ce que ça n'ajoutera pas des droits à Syncback au niveau SSH qui n'a pas de droits d'administrateur sur DSM à la base ? Je ne de cet utilisateur que faire du transfert SFTP dans un seul sens puisqu'il a que des droits de lecture.

Merci par avance.

 

@Fenrir, hello Fenrir, je me permet de te quoter car je sais que tu es calé sur le sujet 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse. J'ai fait plusieurs tests mais il y a pas mal de soucis entre SFTP Synology et Syncback. Une fois il reconnait le serveur mais pas la clé, après il reconnait tout puis d'un coup il reconnait plus à nouveau autre chose...

Bref, comme c'est pour du local, je vais passer par du FTPS.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonsoir Yann, je viens de terminer (avec succès 😂) sur mon NAS DS115J. J'y ai maintenant accès grâce à Putty et WinSCP avec un seul mdp. Cependant, j'essaie de reproduire sur un DS218+ nouvellement acquis, et là, problème dans la fenêtre "Terminal"(, qu'ai bien pu oublier de configurer?) :

Citation

mon_login:~$ sudo su -
Password:
sudo: su: command not found

 

Pour les novices dans mon cas (y en a_t'il encore?) je précise que pour avoir accès au terminal avec PuTTy) j'ai dû configuré mon NAS ainsi :

  • Installation de
    • webDav server
    • webStation
    • apache http Server 2.4
  • Et dans Panneau de configuration
    • "Terminal et SNMP" : Activation du service SSH et choix d'un N° de port

Je précise que l'installation de PuTTy fait partie de mon projet d'avoir un DNS en suivant le tuto de Fenrir (

)

Cordialement

P.

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.