Skip to main content

dirkstr

SSH auf dem Synology-Router

SSH absichern ist mit Umwegen verbunden

2 min read

Unter kommt man nur als root auf den Router unter . Dies ist keine günstige Einstellung für einen sicheren SSH-Server, den generell sollte der Root sich nicht am SSH-Server anmelden dürfen.

Dafür gibt es drei Schritte zu lösen.

1. Ein "normaler" Account kann sich per SSH am anmelden.

2. Der angemeldete Account kann per su den Nutzer root erreichen.

3. Der Nutzer Root kann sich nicht anmelden.

Als Grundlage diente mir die Anleitung: Enable SSH User Login Other Than Root

Dabei ist zu beachten, dass der Synology Router etwas anders arbeitet. Das Homeverzeichnis findet ihr unter: /var/services/homes/XXX

Damit der SSH-Server neu gestartet werden kann, dient der Befehl:

synoservicectl --reload sshd

aus: Configure Synology NAS SSH Key-based authentication

Um sich mit den Schlüsseln am SSH-Server zu authentifizieren - hier scheiterte ich anfangs. Doch beim genauen Lesen der sshd_config unter /etc/ssh/ findet sich die Lösung:

AuthorizedKeysFile      /etc/ssh/keys/%u/authorized_keys

Also habe ich dort das Verzeichnis 'keys' erstellt und die öffentlichen Schlüssel in das jeweilige Verzeichnis verschoben.

Dann der Befehl PubkeyAuthentication yes gesetzt in der sshd_config und PermitRootLogin nosowie PasswordAuthentication no.

Und nicht vergessen: Das Password für root ist dasselbe wie für den Account admin. Falls jemand scheitert, dann kann man in der grafischen Verwaltung des Routers Telnet aktivieren. Dann lassen sich die Fehleinstellung bearbeiten über die Konsole.