TS-119 SFTP aktivieren und verbinden?

Hallo,

leider habe ich keine Antwort auf meine frage gefunden, von daher versuche ich mal
mein Problem zu schildern, evtl. hat ja jemand eine Lösung parat?

Habe auf meinem TS-119 firmware version: 3.1.0 Build 0627T
unter den Eintsellungen "FTP" und "FTP with SSL/TLS (Explicit)" und
ausserdem noch das "Telnet - Allow SSH connection" aktiviert.

Jedoch bekomme ich mit keinem User zugriff per SFTP.
Ist auch egal ob ich es Unter Winodws mit Winscp, putty
oder unter Linux mit einem Dateimanager versuche.

Der einzugste SFTP-Zurigff den ich erfolgreich hinbekomme habe
ist unter Linux (mit dem Krusader) die anmeldung als admin.
Bei den anderen User bekommt man immer nur eine Fehlermeldung
"unbekannter Fehler".....

Hallo,

ja da wäre ich echt Dankbar, den wie gesagt, bekomme nur als Benutzer Admin
zugriff auf den Qnap per SFTP

Habe dann auch den FTPS ausprobiert, aber das Protokoll wird ja nicht gerade
von sehr vielen Deiteimanager Unterstützt.

Habe ja auch einige Freunde die ich auf die der Box zugreifen lassen will.
Aber mit SFTP geht halt nett, und mit FTPS gibt als Probleme, das scheint
doch ein erheblicher Mehraufwand für Windowsuser zu sein, sich richtig
die OpenSSL einzubinden und dann kann das nicht jedes Tool.

SFTP wäre mir also wohl am besten.
Intern in meinem eigenen Netzwerk löse ich das ja mittels NFS.

Mein Problem ist leider nur das ich fast kein Englisch kann und für die Thematik
beim Qnap kaum was gefunden habe, und wenn doch dann nur in Englisch :?

Wäre Dir also echt Dankbar wenn das klappen würde

Hallo creg,

Zitat von "creg"

(der Weg ist zwar lang - aber dafür lohnend.)

Hmm, das freut mich zu lesen und vielen Dank für deine Hilfe

Zitat von "creg"

1. Installiere die aktuelle openssh-Version über ipkg (ich denke, das ist die 5.2..)

Hier gab es das erste kleiner Problem, ist aber gelöst.
http://forum.qnapclub.de/viewtopic.php?f=71&t=4557

[~] # ipkg install opensshInstalling openssh (5.2p1-2) to root...

Zitat von "creg"

2. Erstelle einen neuen Benutzer für den Chroot-Zugriff

Das war eine der wohl leichteren Aufgaben ist auch kein Problem...

Zitat von "creg"

3. Jetzt braucht der neue Benutzer ein Homeverzeichnis.
Hierzu editierst Du die /etc/passwd - Datei.

Hmm, das ist schon etwas schwerer, ich als Mouse verwöhnter Bengeln
kann nicht mit Vi oder Vim umgehen, aber daszu nehme ich mein Krusader
mit SFTP-Adminzugang und mache das direkt mit dem eingebauten Editor meines Dateimanager
(verwende ja Kubuntu-Linux als Basissystem)

Hmm, okay ich sehe dabei auch folgendes:

/etc/passwd ist ein Symlink der auf /etc/config/passwd zeigt.
Das verzeichnis /etc/config ist auch nur ein Symlink das auf /mnt/HDA_ROOT/.config zeigt.
In /mnt/HDA_ROOT/.config finde ich also die echte passwd

Ist aber erledigt:

admin:x:0:0:administrators:/root:/bin/shguest:x:65534:65534:guest:/tmp:/bin/shtest-user:x:500:100:Linux User,,,:/home/test-user:/bin/sh

Zitat von "creg"

(jetzt wird das Home-Verzeichnis in Form eines SymLinks (also einer Verknüpfung) angelegt)

cd /home
ln -s /home/usr-freund /share/HDA_DATA/home/usr-freund

(Du musst Dir vorstellen, dass das eigentliche Home-Verzeichnis unter /share/HDA_DATA/home/usr-freund und nicht unter /home/usr-freund liegt. Sollte das eigentliche Home-Verzeichnis bei Dir anderswo liegen, dann musst Du das entsprechen anpassen)

Hmm, das mit den Symlink versteh ich ja da ich schon etwas wenig Übung mit Linux habe (besitze auch Dreamboxen).
Aber ich finde nirgends Irgendwelche Homeverzeichnise der angelegnten User, das bedeutet ja ich müsste
ja erstmal ein Reales verzeichnis erstellen, bevor ich in /home einen Symlink erstellen kann.

Kann das sein das es keine Realen Home-Verzeichnisse der angelegten User gibt?
Hmm, also wenn ich nun das reale Homeverzeichnis auf /share/HDA_DATA/home erstelle,
sollte ich dann dieses wohl für alle Sichtbar machen (chmod 755 oder chmod 777) ?

Das User Home Verzeichnis selbst /share/HDA_DATA/home/test-user sollte dann wohl nur für
den entsprechenden User selbst die vollen Rechte haben?

Wenn ich den Gedanken weiter Spinne....
Da ich keine Realen Homeverzeichnise meiner angelegten User finde könnte ich ja auch gleich
direkt in /home die entsprechende Verzeichnise anlegen, da das /home ja nur ein Symlink auf
/mnt/ext/home ist. Hmm, das scheint aber wohl im Flashspeicher zu liegen?
Da ich hier keinen weiteren Symlink entdecke....

Okay einen Gedanken weiter....
Unter einem Normalen (PC-Linux) hatte ich am Anfang bei extremen Problemen schon dies getestet:

Da ist es so das wenn ich das entsprechende Homeverzeichnis löschte es nach einem Neustart selbst
wieder im Grundausgang erstellt wird wie bei einem neu angelegten User.
Wenn ich also in der /etc/passwd gleich dies eintrage:

[code]admin:x:0:0:administrators:/root:/bin/sh
guest:x:65534:65534:guest:/tmp:/bin/sh
test-user:x:500:100:Linux User,,,:/share/HDA_DATA/home/test-user:/bin/sh

Erstellt mir die Qnap bei einem Reboot dann evtl. gleich selbst das entsprechende
Homeverzeichnis auf der Platte oder wären dann alle Daten weg, da ich ja nicht weiß
was die beim Reboot wieder evtl. alles Überschreibt???

Hallo creg,

nochmals vielen Dank.
Habe das Verzeichnis angelegt und die Konfigs nun soweit editiert.
Bin nun bei Punkt 6 angekommen...

Zitat von "creg"

6. Ersetzen des qnap eigenen ssh-daemons auf den openssh-daemon

mount -t ext2 /dev/mtdblock5 /tmp/config
cd /tmp/config/

(Folgende Zeilen in das autorun.sh-Skript einfügen)

Hmm, nun such ich verzweifelt eine autorun.sh.....

[/] # mount -t ext2 /dev/mtdblock5 /tmp/config
[/] # cd /tmp/config/
[/tmp/config] # ls
BOOT_COUNT            lost+found/
board_level_test.cfg  uLinux.conf
[/tmp/config] #

Hier gibt es keine und in /etc und in /etc/init.d auch keine habe auch in den andere
Verzeichnise keine entdecken können :-/

Muss ich diese erst selbst anlegen, und wenn ja wo soll die liegen?

Gruß EgLe

Hallo creg,

so habe die ganzen Schritte nun durch und neu gebootet.

der Zugriff über den Terminal per ssh funktioniert mit dem User "admin".
Mit den beiden anderen Testuser funktioniert dies leider nicht

Kann zumindest mit den Usern eine Verbindung zum NAS herstellen,
aber bekomme dann immer die Meldung:

egle@AMD64-X2-6000:~$ ssh test-user@192.168.0.5 -vOpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007debug1: Reading configuration data /etc/ssh/ssh_configdebug1: Applying options for *debug1: Connecting to 192.168.0.5 [192.168.0.5] port 22.debug1: Connection established.debug1: identity file /home/egle/.ssh/identity type -1debug1: identity file /home/egle/.ssh/id_rsa type -1debug1: identity file /home/egle/.ssh/id_dsa type -1debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2debug1: match: OpenSSH_5.2 pat OpenSSH*debug1: Enabling compatibility mode for protocol 2.0debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1.2debug1: SSH2_MSG_KEXINIT sentdebug1: SSH2_MSG_KEXINIT receiveddebug1: kex: server->client aes128-cbc hmac-md5 nonedebug1: kex: client->server aes128-cbc hmac-md5 nonedebug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sentdebug1: expecting SSH2_MSG_KEX_DH_GEX_GROUPdebug1: SSH2_MSG_KEX_DH_GEX_INIT sentdebug1: expecting SSH2_MSG_KEX_DH_GEX_REPLYdebug1: Host '192.168.0.5' is known and matches the RSA host key.debug1: Found key in /home/egle/.ssh/known_hosts:1debug1: ssh_rsa_verify: signature correctdebug1: SSH2_MSG_NEWKEYS sentdebug1: expecting SSH2_MSG_NEWKEYSdebug1: SSH2_MSG_NEWKEYS receiveddebug1: SSH2_MSG_SERVICE_REQUEST sentdebug1: SSH2_MSG_SERVICE_ACCEPT receiveddebug1: Authentications that can continue: publickey,password,keyboard-interactivedebug1: Next authentication method: publickeydebug1: Trying private key: /home/egle/.ssh/identitydebug1: Trying private key: /home/egle/.ssh/id_rsadebug1: Trying private key: /home/egle/.ssh/id_dsadebug1: Next authentication method: keyboard-interactivedebug1: Authentications that can continue: publickey,password,keyboard-interactivedebug1: Next authentication method: passwordtest-user@192.168.0.5's password:debug1: Authentications that can continue: publickey,password,keyboard-interactivePermission denied, please try again.test-user@192.168.0.5's password:debug1: Authentications that can continue: publickey,password,keyboard-interactivePermission denied, please try again.test-user@192.168.0.5's password:debug1: Authentications that can continue: publickey,password,keyboard-interactivedebug1: No more authentication methods to try.Permission denied (publickey,password,keyboard-interactive).egle@AMD64-X2-6000:~$

In der /share/HDA_DATA/custom/sshd_config habe ich die Allowuser
so eingetragen, hoffe das dies stimmt?

AllowUsers admin test-user

Denke das aber aber irgendwo noch was mit den Rechten nicht stimmt.
Da ja diese Ausgabe wohl von Bedeutung ist:

test-user@192.168.0.5's password:
Permission denied, please try again.

Hallo creg,

also hier ist die ssh_config aus /share/HDA_DATA/custom:

#	$OpenBSD: sshd_config,v 1.74 2006/07/19 13:07:10 dtucker Exp $# This is the sshd server system-wide configuration file.  See# sshd_config(5) for more information.# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin# The strategy used for options in the default sshd_config shipped with# OpenSSH is to specify options with their default value where# possible, but leave them commented.  Uncommented options change a# default value.#Port 22#Protocol 2,1Protocol 2#AddressFamily any#ListenAddress 0.0.0.0#ListenAddress ::# HostKey for protocol version 1#HostKey /etc/ssh/ssh_host_key# HostKeys for protocol version 2HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_dsa_key# Lifetime and size of ephemeral version 1 server key#KeyRegenerationInterval 1h#ServerKeyBits 768# Logging# obsoletes QuietMode and FascistLogging#SyslogFacility AUTH#LogLevel INFO# Authentication:#LoginGraceTime 2m#PermitRootLogin yes#StrictModes yes#MaxAuthTries 6#RSAAuthentication yes#PubkeyAuthentication yes#AuthorizedKeysFile	.ssh/authorized_keys# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts#RhostsRSAAuthentication no# similar for protocol version 2#HostbasedAuthentication no# Change to yes if you don't trust ~/.ssh/known_hosts for# RhostsRSAAuthentication and HostbasedAuthentication#IgnoreUserKnownHosts no# Don't read the user's ~/.rhosts and ~/.shosts files#IgnoreRhosts yes# To disable tunneled clear text passwords, change to no here!#PasswordAuthentication yes#PermitEmptyPasswords no# Change to no to disable s/key passwords#ChallengeResponseAuthentication yes# Kerberos options#KerberosAuthentication no#KerberosOrLocalPasswd yes#KerberosTicketCleanup yes#KerberosGetAFSToken no# GSSAPI options#GSSAPIAuthentication no#GSSAPICleanupCredentials yes# Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and# PasswordAuthentication.  Depending on your PAM configuration,# PAM authentication via ChallengeResponseAuthentication may bypass# the setting of "PermitRootLogin without-password".# If you just want the PAM account and session checks to run without# PAM authentication, then enable this but set PasswordAuthentication# and ChallengeResponseAuthentication to 'no'.#UsePAM no#AllowTcpForwarding yes#GatewayPorts no#X11Forwarding no#X11DisplayOffset 10#X11UseLocalhost yes#PrintMotd yes#PrintLastLog yes#TCPKeepAlive yes#UseLogin noUsePrivilegeSeparation no#PermitUserEnvironment no#Compression delayed#ClientAliveInterval 0#ClientAliveCountMax 3#UseDNS yes#PidFile /var/run/sshd.pid#MaxStartups 10#PermitTunnel no# no default banner path#Banner /some/path# override default of no subsystemsSubsystem	sftp	/usr/libexec/sftp-serverAllowUsers admin test-user# Example of overriding settings on a per-user basis#Match User anoncvs#	X11Forwarding no#	AllowTcpForwarding no#	ForceCommand cvs server

Hmm, habe aber nun selbst nochmals alles von Anfang an durchgeschaut.
Dabei nun nach dem

mount -t ext2 /dev/mtdblock5 /tmp/configcd /tmp/config/

Eben festgestellt, das die autorun.sh selsamerweise nicht ausführbar war,
warum weiß ich nicht, hatte zwischendurch mehrere reboot gemacht....
So also wieder neu ausführbar gemacht mittels

chmod +x autorun.sh

Und nun klappt das ganze auch

egle@AMD64-X2-6000:~$ ssh test-user@192.168.0.5 -vOpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007debug1: Reading configuration data /etc/ssh/ssh_configdebug1: Applying options for *debug1: Connecting to 192.168.0.5 [192.168.0.5] port 22.debug1: Connection established.debug1: identity file /home/egle/.ssh/identity type -1debug1: identity file /home/egle/.ssh/id_rsa type -1debug1: identity file /home/egle/.ssh/id_dsa type -1debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2debug1: match: OpenSSH_5.2 pat OpenSSH*debug1: Enabling compatibility mode for protocol 2.0debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1.2debug1: SSH2_MSG_KEXINIT sentdebug1: SSH2_MSG_KEXINIT receiveddebug1: kex: server->client aes128-cbc hmac-md5 nonedebug1: kex: client->server aes128-cbc hmac-md5 nonedebug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sentdebug1: expecting SSH2_MSG_KEX_DH_GEX_GROUPdebug1: SSH2_MSG_KEX_DH_GEX_INIT sentdebug1: expecting SSH2_MSG_KEX_DH_GEX_REPLYdebug1: Host '192.168.0.5' is known and matches the RSA host key.debug1: Found key in /home/egle/.ssh/known_hosts:1debug1: ssh_rsa_verify: signature correctdebug1: SSH2_MSG_NEWKEYS sentdebug1: expecting SSH2_MSG_NEWKEYSdebug1: SSH2_MSG_NEWKEYS receiveddebug1: SSH2_MSG_SERVICE_REQUEST sentdebug1: SSH2_MSG_SERVICE_ACCEPT receiveddebug1: Authentications that can continue: publickey,password,keyboard-interactivedebug1: Next authentication method: publickeydebug1: Trying private key: /home/egle/.ssh/identitydebug1: Trying private key: /home/egle/.ssh/id_rsadebug1: Trying private key: /home/egle/.ssh/id_dsadebug1: Next authentication method: keyboard-interactivedebug1: Authentications that can continue: publickey,password,keyboard-interactivedebug1: Next authentication method: passwordtest-user@192.168.0.5's password:debug1: Authentication succeeded (password).debug1: channel 0: new [client-session]debug1: Entering interactive session.debug1: Sending environment.debug1: Sending env LANG = de_DE.UTF-8[test-user@QNAP-TS119 ~]$

Hmm, ich denke die OpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007
wird die von meinem Kubuntu-Linux Hardy 8.04 sein, steht ja eigentlich da: 8ubuntu1.2

Von dem Befehl ps sehe ich zumindest nicht welches OpenSSH aus läuft???

[~] # ps
  PID  Uid     VmSize Stat Command
    1 admin       620 S   init
    2 admin           SW< [kthreadd]
    3 admin           SWN [ksoftirqd/0]
    4 admin           SW< [events/0]
    5 admin           SW< [khelper]
   34 admin           SW< [kblockd/0]
   37 admin           SW< [khubd]
   57 admin           SW  [pdflush]
   58 admin           SW  [pdflush]
   59 admin           SW< [kswapd0]
   60 admin           SW< [aio/0]
   61 admin           SW< [cifsoplockd]
   62 admin           SW< [cifsdnotifyd]
  188 admin           SW< [scsi_eh_0]
  189 admin           SW< [scsi_eh_1]
  203 admin           SW< [mtdblockd]
  233 admin           SW< [kcryptd/0]
  315 admin           SW< [md9_raid1]
  352 admin           SW< [md13_raid1]
  409 admin           SW< [kjournald]
  424 admin       708 S   /sbin/daemon_mgr
  436 admin       940 S   /sbin/hotswap
  508 admin       468 S < qWatcodogd: keeping alive every 5 seconds...
  544 admin           SW< [kjournald]
  555 admin           SW< [md1_raid1]
  678 admin       536 S   /sbin/modagent
  715 admin           SW< [kjournald]
  725 admin       864 S   /sbin/qsmartd -d
  888 admin       564 S N /usr/sbin/mDNSResponderPosix -f /etc/config/mDNSResponderPosix.conf -b
 1049 admin      1168 S   /usr/local/sbin/_thttpd_ -p 8080 -nor -nos -u admin -d /home/httpd -c **.*
 1063 admin      1156 S   /usr/local/sbin/Qthttpd -p 80 -nor -nos -u admin -d /home/Qhttpd -c **.*
 1090 admin      2784 S   /usr/local/samba/sbin/smbd -l /var/log -D -s /etc/config/smb.conf
 1091 admin      1048 S   /usr/local/samba/sbin/smbd -l /var/log -D -s /etc/config/smb.conf
 1094 admin      1936 S   /usr/local/samba/sbin/nmbd -l /var/log -D -s /etc/config/smb.conf
 1101 guest      4320 S   proftpd: (accepting connections)
 1108 1           440 S   /usr/bin/portmap
 1121 admin       388 S   /usr/sbin/rpc.rquotad
 1130 admin       512 S   /usr/sbin/rpc.mountd
 1134 admin           SW  [lockd]
 1135 admin           SW< [nfsd4]
 1136 admin           SW< [rpciod/0]
 1137 admin           SW  [nfsd]
 1138 admin           SW  [nfsd]
 1139 admin           SW  [nfsd]
 1140 admin           SW  [nfsd]
 1141 admin           SW  [nfsd]
 1142 admin           SW  [nfsd]
 1143 admin           SW  [nfsd]
 1144 admin           SW  [nfsd]
 1147 admin      1044 S   /usr/sbin/rpc.statd
 1159 guest       544 S   /sbin/ImRd -d
 1190 admin       724 S   /usr/sbin/crond -l 9
 1213 admin       496 S   /usr/sbin/ntpdated
 1222 admin      2484 S   /usr/sbin/stunnel /etc/stunnel/stunnel.conf
 1297 admin       808 S   /bin/utelnetd -p 13131
 1321 admin      1672 S   /sbin/ietd --port=3260
 1347 admin      1180 S   /sbin/bcclient
 1362 admin      1032 S   /sbin/picd
 1366 admin       924 R   /sbin/gpiod
 1370 admin       704 S   /usr/sbin/upsutil
 1384 admin       876 S   /usr/bin/rsyncd --daemon --sever-mode=1
 1410 admin      1068 S   /sbin/hd_util
 1424 admin       584 S   /sbin/gen_bandwidth eth0
 1487 admin           SW< [iscsi_eh]
 1502 admin           SW< [qnap_et]
 1508 admin       452 S   /sbin/iscsid --config=/etc/config/iscsi/sbin/iscsid.conf --initiatorname=/etc/iscsi/initiatorname.iscsi
 1513 admin      2192 S < /sbin/iscsid --config=/etc/config/iscsi/sbin/iscsid.conf --initiatorname=/etc/iscsi/initiatorname.iscsi
 1519 admin      1168 S   qLogEngined: Write log is enabled...
 1525 admin       760 S   /sbin/qsyslogd
 1531 admin       804 S   /sbin/qShield
 1563 admin       536 S   /usr/sbin/upsd -u admin
 1641 admin      1052 S   /usr/sbin/sshd -f /etc/ssh/sshd_config -p 22
 1660 admin      1304 S   /sbin/upnpd eth0 eth0
 1674 admin       576 S   /sbin/getty 115200 ttyS0
 1708 admin      2604 R   sshd: admin@pts/0
 1709 admin      1300 S   -sh
 1715 admin       880 R   ps
[~] #

Aber der erste Teil scheint also abgeschlossen zu sein :thumb:

PS: Der SFTP-Zugriff mit dem Dateimanager funktioniert nun auch,
nur kann man da natürlich nun überall nun rumschauen, denke wohl das der zweite Teil
dann darum geht die Verzeichnisrechte einzuschränken

Hallo creg,

habe die ssh_config in /share/HDA_DATA/custom nach deinen Angaben editiert und gespeichert.

Habe dann mit dem "test-user" eine SFTP-Verbindung zum TS-119 gemacht.
Diese funktionierte aber auch....
Nur komme ich nun hier raus:

sftp://test-user@192.168.0.5:22/

Im Verzeichnis in dem ich gerade bin sehe ich einen Symlink auf ein Verzeichnis "test-user"
das auf /share/HDA_DATA/home/test-user verweist, aber ich habe keine Möglichkeit aus dem vorgegebenen
Verzeichnis herraus zu kommen, auch nicht mal wenn ich versuche in den Symlink zu gehen.
Bin also darin gefangen!

Dann habe ich es mal per Terminal probiert

egle@AMD64-X2-6000:~$ ssh test-user@qnap -v
OpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to qnap [192.168.0.5] port 22.
debug1: Connection established.
debug1: identity file /home/egle/.ssh/identity type -1
debug1: identity file /home/egle/.ssh/id_rsa type -1
debug1: identity file /home/egle/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2
debug1: match: OpenSSH_5.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'qnap' is known and matches the RSA host key.
debug1: Found key in /home/egle/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/egle/.ssh/identity
debug1: Trying private key: /home/egle/.ssh/id_rsa
debug1: Trying private key: /home/egle/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
test-user@qnap's password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = de_DE.UTF-8

So hier bleibt die Ausgabe dann stehen, und kann da auch nichts machen ausser eben mittels exit beenden

Hallo creg,

so habe mal ein jungfreuliches Windows gebootet zum testen.
Das Ergebnis ist wie unter Linux gleich.
Habe mal noch ein paar User angelegt zum testen.

Und mit dem Winscp und putty nun versucht mich anzumelden.

Ergebnis: anmeldung geht ist user ist aber gefangen, und kann nichts machen....

Die rechte des Verzeichnis sieht man ja im Screenshot von Winscp müttse 755 oder sogar 777 sein...

Falls wir das nicht bis heute Abend abgeschlossen haben, kann ich erst ab Sonntag oder Montag weitermachen.
Fahre heute Abend so gegen 19:30 Uhr in einen Kurzurlaub und kann da nicht mehr Online kommen

Gruß EgLe

Hallo creg,

so bin zurück von meinem Urlaub

Habe nun mal nach deinen Anweisungen ein wenig experimentiert....
Das ganze sieht ja im gesamten so aus:

Ich hatte/habe ja per Webinterface einige User und Gruppen angelegt und denen auch
gewisse schreib und Leserechte vergeben.

Wenn möglich würde ich denen das ganze auch als SFTP so einrichten.

Habe jetzt mal mit dem "user" monika der der Gruppe freunde angehört
im Homeverzeichnis einen Ordner test erstellt.

diesem habe ich dann folgende rechte eingerichtet:

mkdir testchown -R monika:freunde testchmod 755 test

es ist nun so das der Benutzer monika in diesem Ordner nun auch
vollen zugriff Lese und schreibrechte hat und auch selbst nun per SFTP
darin eigene Ordner usw. erstellen kann.

Vom restlichen System ist er aber voll abgeschnitten...

Das ist also schon mal Super

Über das Webinterface der Qnap hatte ich ja schon z.B. einen Ordner Audio
im Verzeichnis /share/HDA_DATA/Qmultimedia/Audio erstellt.
Das Webinterface hatte mir ja so wie ich es dort verlangte auch einen Symlink Audio
unter /share/Audio erstellt damit man beim einloggen per Https eben das Audio-Verzeichnis gleich sieht.

Nun habe ich versucht im Homeverzeichnis /home/monika einen Symlink
auf das Audio zu legen, einmal auf den Symlink /share/Audio und
auch einmal probiert mit dem realen Pfad /share/HDA_DATA/Qmultimedia/Audio.

So bei einem SFTP-Zugriff des Users monika sieht man nun zwar den Symlink
im Homeverzeichnis doch kann man darauf nicht zugreifen.
Bekomme egal wie ich es mache immer diese Meldung im DateiManager:

sftp://monika@192.168.0.5:22/audio kann nicht gelesen werden.

Gibt es dafür eine logische Erklärung?

Hallo Eraser-EMC2,

Zitat von "Eraser-EMC2-"

Hast du den Symlink auch groß geschrieben (Audio) ?
Bei Linux mußt du auf die Groß- und Kleinschreibung beachten,...

Ja habe ich, geht nicht und wurde ja oben soweit auch geschildert warum (Jail)
Wenn man sich normal als Admin anmeldet funktioniert dann auch der Symlink

Hallo creg,

Danke für deinen weiteren wichtigen Hinweis.

mount --bind /share/HDA_DATA/Qmultimedia/Audio /home/monika/Media/Audio

Ist genau was ich brauche und funktioniert damit perfect

Habe das ganze und ein Paar mounts mehr in die autorun.sh geschrieben
und die Qnap dann mttels reboot neu gestartet.

Geht alles einwandfrei, Also der User monika macht jetzt genau was er soll :thumb:
Wenn ich nun bei Dir in HongKong wäre würde ich Dir glatt ein Essen und Bier bezahlen :mrgreen:

Doch eine klitze kleine Frage (bestätigung) habe ich noch bevor wir mit der Verschlüsselung weitermachen....
Damit andere da evtl. auch besser durchsteigen.

Diese Betrifft mehrere User anlegen und einrichten:

1. /mnt/HDA_ROOT/.config/passwd

wenn man da nun mehrere User anlegt nach deinem Beispiel müsste die ja dann so aussehen:

admin:x:0:0:administrators:/root:/bin/shguest:x:65534:65534:guest:/tmp:/bin/shrainer:x:500:100:Linux User,,,:/home/rainer:/bin/shjochen:x:501:100:Linux User,,,:/home/jochen:/bin/shalex:x:502:100:Linux User,,,:/home/alex:/bin/shegle:x:503:100:Linux User,,,:/home/egle:/bin/shwerner:x:504:100:Linux User,,,:/home/werner:/bin/shmonika:x:505:100:Linux User,,,:/home/monika:/bin/sh

Das denke ich sollte ja wohl richtig sein?

2. /share/HDA_DATA/custom/sshd_config

In der /share/HDA_DATA/custom/sshd_config habe ich die Allowuser
so eingetragen, hoffe das dies stimmt?

Subsystem    sftp    internal-sftpAllowUsers admin egle monika rainer alex jochen werner

So danach wurde für jeden User einen Match-Eintrag geschrieben

Match User monika        ForceCommand internal-sftp       ChrootDirectory /home/monika        AllowTcpForwarding no        X11Forwarding noMatch User rainer        ForceCommand internal-sftp       ChrootDirectory /home/rainer        AllowTcpForwarding no        X11Forwarding noMatch User alex        ForceCommand internal-sftp       ChrootDirectory /home/alex        AllowTcpForwarding no        X11Forwarding noMatch User jochen        ForceCommand internal-sftp       ChrootDirectory /home/jochen        AllowTcpForwarding no        X11Forwarding no

Denke das sollte dann wohl auch so sein?

3. Symlinks für User-Homeverzeichnisse anlegen

cd /homeln -s /share/HDA_DATA/home/alex alexln -s /share/HDA_DATA/home/jochen jochenln -s /share/HDA_DATA/home/rainer rainer....

4. Verzeichnisse innerhalb der User anlegen wie im Beispiel User "monika"
ggf. mittels mount --bind bereits erstellte Verzeichnisse außerhalb der Jail einbinden.

Verzeichnisse erstellen und rechte einrichten:

mkdir  Mediamkdir Publicchown -R monika:freunde Mediachown -R monika:freunde Publicchmod 755 Mediachmod 755 Public

Danch können die entsprechende User mittels SFTP auf deren Verzeichnisse zugreifen
und haben aber nur die Möglichkeit innerhalb von Media und [/B]Public[/B] sich
zu bewegen und auch nur dort können Sie zugreifen.

Um den mount --bind zu benutzen muss erst die autorun.sh gemountet werden:

mount -t ext2 /dev/mtdblock5 /tmp/config

Nun kann in /tmp/config die autorun.sh editiert werden.

# Für monikamount --bind /share/HDA_DATA/Qmultimedia/Audio /home/monika/Media/Audiomount --bind /share/HDA_DATA/Qmultimedia/HDTV-Movie /home/monika/Media/Filme/HDTVmount --bind /share/HDA_DATA/Qmultimedia/Video /home/monika/Media/Filme/Videomount --bind /share/HDA_DATA/Qmultimedia/dreambox /home/monika/Media/Filme/Dreamboxmount --bind /share/HDA_DATA/Bilder /home/monika/Media/Bildermount --bind /share/HDA_DATA/Public /home/monika/Public# Für rainermount --bind /share/HDA_DATA/Qmultimedia/Audio /home/rainer/Media/Audiomount --bind /share/HDA_DATA/Qmultimedia/Video /home/rainer/Media/Filme/Videomount --bind /share/HDA_DATA/Public /home/rainer/Public# Für alexmount --bind /share/HDA_DATA/Qmultimedia/Audio /home/alex/Media/Audiomount --bind /share/HDA_DATA/Qmultimedia/Video /home/alex/Media/Filme/Videomount --bind /share/HDA_DATA/Public /home/alex/Public# Für jochenmount --bind /share/HDA_DATA/Qmultimedia/Audio /home/jochen/Media/Audiomount --bind /share/HDA_DATA/Qmultimedia/Video /home/jochen/Media/Filme/Videomount --bind /share/HDA_DATA/Public /home/jochen/Public

Danach dann das ganze wieder unmounten mittels:

cd /
umount /dev/mtdblock5

So habe soweit alles für die ganzen User eingerichtet abgespeichert und neu gebootet.
Also das ganze funktioniert auch, denke wir können mit der Public-Private-Key-Geschichte weitermachen :thumb:

PS: meinen Usernamen habe ich aber nicht in einer Jail gesteckt, damit ich überall zugriff habe...

Gruß EgLe