Connexion ssh avec clé, le mot de passe est toujours demandé ?

[Grptj]

Bonjour, je souhaite me connecter au NAS (version : DSM 7.1-42661 Update 3) en ssh avec échange de clés.

J'ai suivi le tuto en ligne, ajout de .ssh/authorized_keys  mod 644, copie de la clé publique de mon poste

Modif sshd_config : PubkeyAuthentication yes  et   AuthorizedKeysFile      .ssh/authorized_keys     

systemctl restart sshd

Mais depuis mon executable fichier.sh ssh root@ip_nas   demande toujours le mot de passe root ...

Qu'est-ce que j'aurais oublié 😉

merci pour votre aide 

[Grptj]

Bonjour, Je vois que je dois me connecter en ssh avec root mais le mot de passe admin est refusé pour root.

je ne peux me connecter que en admin, que faire ?

 

[Grptj]

j'ai fait ssh-copy-id sur mon user ayant droits admin à défaut de root

la clé du client est bien copiée dans homes/monuser/.ssh/authorized_keys

mais ssh monuser@NAS demande toujours le mot de passe ...

[.Shad.]

Seul root et les utilisateurs faisant partie du groupe administrateurs peuvent se connecter en SSH.
Il y a moyen de contourner cette restriction, mais à ma connaissance ça ne survit pas à une montée de version majeure, ou montée de version touchant au serveur SSH.

Ceci étant dit :

Le 30/05/2023 à 10:53, Grptj a dit :

mod 644

Normalement un fichier authorized_keys c'est 600, seul l'utilisateur est sensé y avoir avoir, et 700 pour le dossiers .ssh en amont.

Ta clé publique est bien présente dans le fichier authorized_keys ?

Pour te connecter en root, c'est dans /root/.ssh/ que doit se trouver le fichier authorized_keys.
Pour un utilisateur admin, dans son dossier /volume1/homes/<admin_user>/.ssh

Je n'ai jamais eu de problème pour me connecter avec une clé sur 3 NAS différents que j'ai eus.

Modifié le 8 juin 2023 par .Shad.

[CoolRaoul]

Le 08/06/2023 à 10:33 AM, .Shad. a dit :

Seul root et les utilisateurs faisant partie du groupe administrateurs peuvent se connecter en SSH.
Il y a moyen de contourner cette restriction, mais à ma connaissance ça ne survit pas à une montée de version majeure, ou montée de version touchant au serveur SSH.

Franchement je ne comprends pas la raison de cette limitation
En imposant cette contrainte ça encourage quelque part les utilisateurs à utiliser à la place la connexion SSH en root (ce qui est pourtant encore moins secure on en conviendra) puis faire un "su -" (ou "sudo -i").

Citation

Il y a moyen de contourner cette restriction, mais à ma connaissance ça ne survit pas à une montée de version majeure, ou montée de version touchant au serveur SSH.

Je ne retrouve plus ce moyen. Sur mon NAS précédent, en DSM 7.1, je pouvais le connecter en SSH sur mon compte perso non privilégié. Sur mon nouveau rien à faire (je précise que remplacer le shell /sbin/nologin dans /etc/passwd ne suffit pas)

Et je précise que le port SSH n'est pas ouvert sur internet via ma box, j'ai juste besoin de disposer d'un accès SSH à partir de mon LAN.

Modifié le 8 février 2024 par CoolRaoul

[CoolRaoul]

Ça ne s'arrange pas

Je clarifie le contexte : j'utilisais jusqu'alors sur le NAS un compte volontairement non privilégié qui me servait à exécuter quelques outils persos qui n'ont aucunement besoin de droits élevés. (je ne vais quand même pas à monter une VM ou un container pour y faire tourner quelques scripts shell !).

Pour la mise au point et l'édition à distance de ces derniers je m'y connecte depuis mon LAN en SSH donc.

À la suite de cette restriction inexplicable de Synology, hier, je me suis résolu à mettre ce compte dans le groupe des administrateurs. Et j'ai donc retrouvé le SSH sur ce compte.

Voilà t'y pas que ce matin, sans rien avoir changé : "Permission denied, please try again."

J'ai vérifié, les droits sur le $HOME et $HOME/.ssh de ce compte sont strictement identique à mon compte admin (pas celui de base, désactivé, mais un autre créé à l'occasion) qui continue à bien pouvoir se connecter en SSH lui.

Et bien entendu rien de particulier dans les logs pour expliquer

En désespoir de cause j'ai retiré ce compte du groupe des administrateurs et l'ai remis immédiatement dans la foulée

Et il a immédiatement retrouvé son accès SSH!

Alors vraiment ça me la coupe !

 

[CoolRaoul]

Le 19/02/2024 à 8:42 AM, CoolRaoul a dit :

En désespoir de cause j'ai retiré ce compte du groupe des administrateurs et l'ai remis immédiatement dans la foulée

Et il a immédiatement retrouvé son accès SSH!

Explication trouvée (bizarre mais confirmé en testant) : pour que accès SSH sur un compte soit possible il n'est pas suffisant qu'il soit dans le groupe des administrateurs, son shell doit être "/bin/sh" (j'avais mis bash)