OPENSSH - Rechtevergabe auf /home/"user" dauerhaft setzen

  • Liebe Forengemeinde


    Ich möchte via ssh auf ein QNAP TS-212 zugreifen, ohne dass ein Password eingegeben werden muss. Der Zugriff soll nicht mit dem Benutzer ADMIN erfolgen.
    Dazu habe ich nun einen neuen "User" erstellt und diesen der Administratoren-Gruppe zugewiesen.
    Die Option "Erweiterte Ordnerzugriffsrechte aktivieren" ist nicht gesetzt.


    Für den Zugriff via ssh müssen die Rechte auf den entsprechenden Ordner und Dateien korrekt gesetzt sein, und das sieht wie folgt aus:

    • Den neuen "user" grundsätzlich berechtigt, damit er sich via ssh am QNAP anmelden darf.
    • /homes/"user" 755 -- Gruppe administrators
    • .ssh 700
    • authorized_keys 600
    • id_rsa 600

    Die Rechte auf dem Verzeichnis "User" habe ich via Filestation gesetzt.


    Mit diesen Einstellungen kann ich nun via WINSCP ohne Passwordeingabe auf das QNAP zugreifen.


    Jetzt habe ich aber die Situation, dass bei einem weiteren Zugriff der Schlüssel nicht akzeptiert wird und eine Password Eingabe verlangt wird.
    Mit der Passwordeingabe kann ich mich an das QNAP anmelden und auch darauf zugreifen.


    Wenn ich nun das Verzeichnis /homes/"user" anschaue, sind die Rechte auf 777 gesetzt. Somit ist klar, dass der Schlüssel abgewiesen wird.


    Für mich stellt sich nun die Frage:

    • was für ein Mechanismus ändert die Rechte von 755 auf 777? und
    • wie kann ich das verhindern?

    Wenn ich wieder auf 755 ändere funktioniert der "automatische" Zugriff wieder.


    In diesem Zusammenhang noch eine weitere Frage:
    Kann ich ausser der Gruppe Administratoren und everyone auch eine andere Gruppe bei den Rechten setzen?


    Gruss Daniel

  • Das mit dem SAMBA-Dienst ist mir nicht ganz verständlich.
    Deshalb möchte ich nochmals das Verhalten des QNAP aufzeigen.

    • Dabei wird das Programm WINSCP verwendet.
    • Das QNAP ist "remote".
    • Anmelden via SSH als "user"
    • Password eingeben.
    • Home-Verzeichnis des "user" auf 775 ändern.
    • Erneutes anmelden als "user" funktioniert ohne Passwordeingabe.
    • Anmelden als admin
    • Password eingeben. --> Das Verzeichnis /homes/admin steht auf 777 (Berechtigungen nicht ändern)
    • Erneutes Anmelden als Admin funktioniert ohne Passwordeingabe.
      Status von /home/admin/ wird in der Filestation mit 777 ausgewiesen.
      Mit dieser Berechtigung dürfte ssh mit pub-Key eigentlich nicht funktionieren.

    Bei welchem dieser Schritte wird der SAMBA-Dienst (neu) gestartet?


    Aufgrund obigem Verhalten ziehe folgende Schlüsse:

    • ssh ohne Passwordeingabe funktioniert nur als admin
    • ein anderer User als der admin kann ssh nur mit Passwordeingabe nutzen.

    Ist diese Schlussfolgerung korrekt?

  • SAMBA hat in dem Fall nichts direkt mit dem OpenSSH zu tun, aber beim Neustart des NAS mit den HomeFoldern "/homes/*", da das Startscript von SAMBA die Berechtigungen vom homes-Ordner verändert.