This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

RT2600AC - 2FA : code invalide... à la connexion à SRM


Messages recommandés

Regardez dans /etc/ssh/sshd_config si PermitRootLogin est défini à oui ou non, et si c'est commenté ou pas.
A noter que toute modification sera sûrement perdue à la prochaine mise à jour.

Lien à poster
Partager sur d’autres sites
il y a 49 minutes, oracle7 a dit :

Rassures-toi tu n'es pas le seul à avoir des soucis à ce niveau sur le routeur.

Depuis quelques jours, si je tente une connexion avec puTTY avec mon compte User-ADMIN dès que je valide la saisie de mon MdP, puTTY quitte violemment sans aucune explication.

Maintenant depuis WinSCP, j'arrive à me connecter en SSH avec l'utilisateur root mais je dois renseigner le MdP, la connexion par clé SSH ne fonctionne plus : la clé est refusée par le serveur.

@oracle7
Je viens de tenter la connexion en root, et bien effectivement ça fonctionne, même si l'utilisateur admin est désactivé. C'est mieux que de devoir se connecter avec ce dernier...
Mais ça reste moyennement pratique.
Je me dis que c'est peut-être parce que je n'ai aucun dossier partagé de créé sur le routeur, et donc pas de home où mon utilisateur USER_ADMIN peut stocker des trucs...

il y a 59 minutes, oracle7 a dit :

J'ai donc refait une pair de clés privées/publique mais rien y fait, clé toujours refusée par le serveur.
Ce qui est bizarre c'est que sur les NAS, il n'y a aucun problèmes à ce niveau.

Je n'ai jamais essayé ce genre de connexion, je préfère entrer mon mot de passe, car si on fait avec le couple clés privée+publique, je trouve que ça peut être dangereux...
Avec le mot de passe, j'arrive sur le prompt de mon USER-ADMIN du NAS, et je dois entrer à nouveau le mot de passe après la commande sudo -i pour être en root. Ça m'oblige certes à entrer deux fois le mot de passe admin, mais au moins je suis pas direct dessus, ça me motive à être motivé pour y accéder... Bref, je suis plus rassuré ainsi 😉

(je sais pas si j'ai réussi à traduire mon ressenti avec des mots...)

il y a une heure, oracle7 a dit :

Sinon, j'arrive à désactiver sans problème le compte admin par défaut du routeur.

Moi aussi, mais faut qu'il soit activé le compte admin, sinon...

 

il y a une heure, oracle7 a dit :

Autre constat, il faut impérativement désactiver les plugins du type "uBlock Origin" dans le navigateur (FF) utilisé pour se connecter à SRM sinon, on reçoit des messages comme quoi l'utilisateur courant n'est pas autorisé pour valider par ex une modification dans le pare-feu du routeur. Va comprendre ???

Mon AdGuard du navigateur est désactivé sur les IP du LAN. Par contre, Bitdefender Antitracker non, mais ça ne pose pas de soucis, enfin j'en ai jamais eu avant...

 

il y a une heure, oracle7 a dit :

Au final, je me demande si ces problèmes ne font pas suite à la mise à jour du paquet VPN Plus Server qui a eut lieu il y à 3 semaines même si le rapport avec n'est pas évident. En tous cas, c'est bizarre ????

Hmmm, je sais pas...

Je t'avoue qu'en ce moment je ne me sers pas du tout du VPN... vu que je suis confié chez moi depuis plusieurs mois... 

 

@.Shad. Dans le fichier /etc/ssh/sshd_config j'ai ça :

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

Du coup, pas besoin de modifier 😉

 

Lien à poster
Partager sur d’autres sites

@MilesTEG1

Bonjour,

il y a 53 minutes, MilesTEG1 a dit :

Je n'ai jamais essayé ce genre de connexion, je préfère entrer mon mot de passe, car si on fait avec le couple clés privée+publique, je trouve que ça peut être dangereux...

J'ai simplement suivi le TUTO : Accès SHH et ROOT via DSM6. Je penses que le couple clés privée+publique est plus sécurisant qu'un simple MdP même long. Mais ce n'est que mon avis ...

il y a une heure, MilesTEG1 a dit :

Dans le fichier /etc/ssh/sshd_config j'ai ça :

Je ne préfère pas modifier ce type de fichier car à la première MàJ de DSM il est réinitialisé automatiquement et avant de penser qu'il l'a été, on risque fort de chercher longtemps si un dysfonctionnement apparaît à ce niveau avant d'y penser.

En tous cas, j'espère que @.Shad. aura une idée à suggérer vis à vis de la clé réfusée par le routeur lors de la connexion WinSCP ou puTTY car il me semble bien que cela fonctionnait correctement les mois précédents.

Cordialement

oracle7😉

Lien à poster
Partager sur d’autres sites

@MilesTEG1 @oracle7 Rien n'empêche de faire une identification par clé + mot de passe.

il y a 6 minutes, oracle7 a dit :

En tous cas, j'espère que @.Shad. aura une idée à suggérer vis à vis de la clé réfusée par le routeur lors de la connexion WinSCP ou puTTY car il me semble bien que cela fonctionnait correctement les mois précédents.

Tu as toi aussi vérifié ce que j'ai dit concernant le PermitRootLogin à @MilesTEG1 ?
Sinon je n'ai pas de RT donc je peux difficilement vérifier, mais bon le fichier de configuration de SSH du RT est de souvenir très classique.

Lien à poster
Partager sur d’autres sites

@.Shad.

Bonjour,

il y a 3 minutes, .Shad. a dit :

Tu as toi aussi vérifié ce que j'ai dit concernant le PermitRootLogin à @MilesTEG1 ?

Oui, il est en standard identique à ce qu'a dit @MilesTEG1 précédemment : non commenté et positionné à Yes.

J'ai par ailleurs comparer les fichiers /etc/ssh/sshd_config du routeur et d'un de mes NAS :

  • Sur le routeur j'ai la ligne active : AuthorizedKeysFile    /etc/ssh/keys/%u/authorized_keys
  • Alors que sur le NAS la "même ligne" est commentée et pointe ailleurs : #AuthorizedKeysFile    .ssh/authorized_keys
  • Sur le RT et le NAS j'ai la même chose pour : #PubkeyAuthentication yes

Etonnant, non ?

Cordialement

oracle7😉

Lien à poster
Partager sur d’autres sites
il y a 3 minutes, oracle7 a dit :

Sur le routeur j'ai la ligne active : AuthorizedKeysFile    /etc/ssh/keys/%u/authorized_keys

Il y a un utilisateur root dans /etc/ssh/keys ?

Lien à poster
Partager sur d’autres sites

@.Shad.

Bonjour,

NON, j'ai bien pensé créer un répertoire keys/root/ dans /etc/ssh/ et y mettre le fameux fichier "authorized_keys" mais toujours le même problème : cela ne survivra pas à une MàJ de SRM. Donc j'ai oublié l'idée.

Cordialement

oracle7😉

Lien à poster
Partager sur d’autres sites
Il y a 4 heures, MilesTEG1 a dit :

@Diabolomagic

C'est vraiment naze comme système ça... devoir réactiver le compte admin pour se connecter en SSH est contre-intuitif pour la sécurité...

Y a pas une autre solution ? (en tout cas, moi je ne vois pas comment...)

Je suis exactement dans ton cas sauf que je me suis aperçu que même si le compte admin par défaut est désactivé cela ne m’empêche pas de me connecter en SSH avec l'utilisateur root. Dans putty je renseigne le login root@192.168.x.x et ça fonctionne !

Modifié par Diabolomagic
N'avait pas vu la page 2 avant de répondre ... Pardon.
Lien à poster
Partager sur d’autres sites
Il y a 3 heures, Diabolomagic a dit :

Je suis exactement dans ton cas sauf que je me suis aperçu que même si le compte admin par défaut est désactivé cela ne m’empêche pas de me connecter en SSH avec l'utilisateur root. Dans putty je renseigne le login root@192.168.x.x et ça fonctionne !

J'y arrive aussi avec le compte root, même si le compte admin est désactivé.
Par contre, avec mon compte USER-ADMIN, là quoiqu'il arrive, je peux pas le connecter.

Lien à poster
Partager sur d’autres sites

@MilesTEG1 @Diabolomagic @oracle7

Bonsoir,

Pour la connexion ssh en root c'est "normal" SRM est basé sur DSM5 et a un fonctionnement différent de DSM6

https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_login_to_DSM_with_root_permission_via_SSH_Telnet#anchor2

Modifié par maxou56
Lien à poster
Partager sur d’autres sites

@maxou56 Sérieux ? Sur DSM5 ?
Et beh... ils auraient pu faire une MAJ où il y avait du DSM6 sous le capot...
Espérons qu'on passera directement sur une version DSM7 en sous-main...

DSM6 est sorti quand déjà ? Que je vois si j'ai beaucoup utilisé DSM5 😄 Mon 1er syno a été un DSS212.

Lien à poster
Partager sur d’autres sites

@maxou56

Bonjour,

MERCI beaucoup pour le tuyau.

Maintenant, je souhaiterai faire la "même chose" mais avec une paire de clé privée+publique (RSA) plutôt que de taper un MdP pour me connecter à SRM et surtout qui soit reconnue et acceptée.

Cà doit exister, non ?

Cordialement

oracle7😉

Modifié par oracle7
Lien à poster
Partager sur d’autres sites

@Diabolomagic

Bonjour,

Dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉

Lien à poster
Partager sur d’autres sites

Bon et bien ça fait 2 jours que j'arrive à me connecter au NAS sans que le 2FA ne pose soucis...
J'ai changé le serveur NTP pou un par défaut (pool.ntp.org).
Je continuerais d'essayer régulièrement (vu que je ne laisse plus la case cochée pour garder la session ouverte ^^)

Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.