TrueNAS 12.1 und ssh

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo Leute,
ich weiß wie man auf dem TrueNAS den Zugriff per ssh mit Passwort-Autentifizierung aktiviert.
Aber in welcher Datei auf dem NAS wird der entsprechende Eintrag vorgenommen?
Ich habe mich auf der shell durchgeklickt, kann es aber nicht herausfinden...
Danke und Gruß
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
Weshalb willst Du das wissen? Änderungen an der Datei sind nicht persistent, die werden bei jedem Reboot aus der Konfigurations-Datenbank neu geschrieben. Daher ist es ziemlich irrelevant, welche Datei das ist.
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo Patrick,
ich versuche zu verstehen wie soetwas funktioniert und wo es im System steht. Ich lerne so (an Beispielen).
Ich habe auf dem TrueNAS nextcloud in einer jail installiert. Den Zugriff per https habe ich dort eingerichtet aber ein Zugriff per ssh mit Passwortautentifizierung gelingt mir nicht. (auf nextcloud)
Also wollte ich mir das in der Konfiguration im NAS ansehen um dann zu wissen wie es im jail funktionieren könnte.
Mehr nicht.
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
In dem Nextcloud-Jail steht die Config in /etc/ssh/sshd_config. Die kannst Du auch ändern und das ist auch dauerhaft. Nur auf dem NAS selbst hat iXsystems so gut wie das ganze Startup-System geändert und die ganzen Parameter werden bei jedem Neustart aus der Datenbank neu generiert. Daher ist die Datei letztendlich wurst.

Ein Jail ist quasi eine eigene virtuelle Maschine. Das was da drin läuft, hat mit der Konfiguration des NAS nichts zu tun ...

PermitRootLogin ist der Parameter, den Du suchst. Am Anfang der Zeile steht noch ein '#' - das musst Du entfernen. Und dann "no" in "yes" ändern.
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Und ich habe jetzt 2 Tage herumgewurstelt und bin keinen Schritt weiter gekommen...
Herzlichen Dank für Deine Ausführungen.
Gruß
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
"ssh root login" googeln hat nicht geholfen?

BTW: ändere doch mal den Thread-Titel, bitte. Das doppelte S macht ja Augenkrebs ;)
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Wenn man weiß wonach man suchen muss....
Ich hoffe Deinen Augen geht es jetzt besser ;-)
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo Patrick,
ich habe "PermitRootLogin" frei gestellt und auf yes gesetzt, weiterhin auch die Zeile: "PasswordAuthentication" yes.
Zur Erinnerung, ich habe Nextcloud installiert.
Der Admin ist ncadmin.
Weder mit ncadmin und seinem Passwort noch mit dem für NC existierenden User kann ich mit ssh auf die Nextcloud-Jail zugreifen. Natürlich über die gültige IP des Nextcloud.
Einzig mit root des TrueNAS und seinem Passwort kann ich mit ssh über die IP des NC oder (logischerweise über die IP des NAS) auf das NAS zugreifen, lande aber im Homeverzeichnis von root im NAS nicht im Jail.
Habe ich einen Denkfehler?
Ich hatte erwartet, das ich mit ssh ncadmin@"IPvon NC" direkt im Jail lande. denkste
Danke für Deine Zeit
und Gruß
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
Nein, nein ... :smile:

Du wechselst als root auf dem NAS mit iocage console <jailname> in das Jail. Dann setzt Du mit passwd das Passwort für root im Jail. Und dann kannst Du evtl. nach einem Neustart des Jails, damit der sshd etc. neu gestartet werden, ssh root@<jail-ip>.

Das Jail ist eine vom NAS komplett unabhängige virtuelle Umgebung. Eigene Benutzer, eigener SSH-Server, ...
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo Patrick,
ich habe ein wenig gelernt und kann jetzt über einen publick-Key per ssh auf das Nass zugreifen.
Um das System zu härten wollte ich, wenn ein anderer Login klappt, diesen für root in der sshd_config deaktivieren.
Bei der Einrichtung eines Users auf dem NAS bin ich aber auf folgende Probleme gestoßen.
Ich habe diesen in der primären Gruppe: wheel und in den Hilfsgruppen: sshd, "mein User", buildin_users eingetragen und ebenso den öffentlichen Schlüssel von meinem PC.
In der sshd_config habe ich AllowUsers "mein User", AllowGroups "mein User" eingetragen.
Das home-Verzeichnis liegt in /mnt/NAS/iocage. Wechsele ich in /iocage ist dort aber kein home-Verzeichnis für "mein User" zu sehen.
Ebenso kann ich nicht mit: ssh "mein User"@192.x.y.z auf das NAS zugreifen. Mit ssh root@192.x.y.z klappt es nach wie vor. Hier wird dann nur die Passphrase abgefragt.
Kann es sein, dass es nicht funktioniert weil das home-Verzeichnis von "mein User" auf dem NAS nicht angelegt wurde?
Bei "Builtin" steht in der Benutzerübersicht ein no.
Im User Guide habe ich jedenfalls nichts dazu gefunden???
Ich wäre Dir dankbar wenn Du mir hilfst
Gruß Mario
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Nachdem ich jetz 4 Stunden herumexperimentiert habe kann ich plötzlich mit: ssh "mein User"@192.x.y.z auf das NAS zugreifen....
Dabei gab es keine Veränderung.
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
Ich habe Deine ganzen Schritte nicht ganz verstanden - was möchtest Du überhaupt erreichen? Du kannst Dich doch als root auf dem NAS per SSH einloggen. Wozu brauchst Du noch einen User für SSH?
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Wenn ich die sshd_config editiere und das System neu starte und ich mir danach die sshd_config erneut ansehe sind meine Eintragungen überschrieben.
Ist das so gewollt?
danke und Gruß
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
"Ich habe Deine ganzen Schritte nicht ganz verstanden"
Zu Deiner Frage Patrick: Ich habe gelesen das empfohlen wird den Login als root zu unterbinden um die Sicherheit des Systems zu erhöhen.
Oder ist das nicht nötig wenn mann einen Login per ssh mit einem Key gesichert hat?
root ist ja der Standardbenutzer und damit öffentlich bekannt.
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
Du machst SSH ja nicht für's Internet auf, oder? In dem Fall finde ich das vertretbar. Hinterleg einfach den Key und schalt die Passwort-Authentifizierung ab. Und, ja, das mit der Config-Datei ist gewollt, die wird für das NAS vom UI gewchrieben. Hatte ich in meinem ersten Beitrag in diesem Faden auch geschrieben.

Innerhalb des Jails ist eine andere Geschichte ... willst Du jetzt auf das NAS oder in Dein Jail per SSH?
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Doch, ich möchte das ssh für das Internet aufmachen. Eigentliches Ziehl ist nicht das NAS selbst sondern das Jail.
Ich arbeite noch nicht an einem produktiven System, es dient zum Üben.
Wenn ich alles verstanden habe und es funktioniert möchte ich dann bei meinem Produktivsystem nur auf das Jail per ssh über das Internet zugreifen.
Das heißt, ich muss dann im Jail einen Benutzer anlegen und für ihn eine Gruppe, beiden den Zugang per ssh erlauben, in .ssh dieses Users den öffentlichen Key des Client hinterlegen und dann sollte es klappen. (root-Zugang deaktivieren und ssh-Port ändern, IP-Bereich einschränken, Passwort-Authentifizierung abschalten ...)
 

Patrick M. Hausen

Hall of Famer
Joined
Nov 25, 2013
Messages
7,740
Dann darfst Du den Benutzer aber doch nicht auf dem NAS anlegen ... schrieb ich aber auch schon: das Jail ist ein komplett eigenständiger Server, der mit dem NAS nichts zu tun hat. Die Benutzer da drin sind nicht die, die Du in der NAS-Oberfläche siehst.
Du musst
1. Dich als root auf dem NAS einloggen.
2. In das Jail wechseln: iocage console <jailname>.
3. Dann da drin den Benutzer per Kommandozeile anlegen - für das Jail gibt es kein UI. Es gibt aber ein adduser Kommando.
4. Den SSH-Key hinterlegst Du, indem Du im Homeverzeichnis des Benutzers (nochmal: im Jail, Kommandozeile, macht Dir das adduser automatisch!) ein Unterverzeichnis namens .ssh anlegst, Mode 700, und da drin eine Datei namens authorized_keys und da Deinen Key reintust. Mit einem Editor auf der Kommandozeile. Ich wiederhole mich :wink:
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Danke Patrick,
wie gesagt das war Schritt eins auf dem NAS nur zum üben ob ich überhaupt die Grundlagen verstanden habe. Jetz folgt Schritt 2 wie Du es gerade beschrieben hast. (das entspricht dem was ich davor geschreiben habe: "Das heißt, ich muss dann im Jail einen Benutzer anlegen und für ihn eine Gruppe, beiden den Zugang per ssh erlauben, in .ssh dieses Users den öffentlichen Key des Client hinterlegen und dann sollte es klappen. (root-Zugang deaktivieren und ssh-Port ändern, IP-Bereich einschränken, Passwort-Authentifizierung abschalten ...))
Das ist alles reines Hobby von mir. Beruflich habe ich mit IT nichts zu tun. Macht aber Spaß wenn man Neues lernt.
Danke noch einmal.
 

micneu

Patron
Joined
Mar 23, 2019
Messages
473
@fanifeey bitte nicht böse nehmen, aber du solltest dich erstmal durch die grundlagen LESEN. google mal themen wir, linux, grundlagen, ssh, administration, benutzer verwaltung. ich denke du hast es noch nicht so verstanden, und was @Patrick M. Hausen schon geschriben hat, du solltest die texte schon genau und aufmerksam lesen.

- wenn du die grundlagen von linux angeeigent hast, schau dir noch die eigenheiten von freebsd an, das sind kleine unterschiede.
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Warum sollte ich böse sein. Ich will kein Admin werden. Aber mich interessieren diese Themen und so lese ich sehr viel, wie Du schon vorschlägst und wenn ich glaube ich habe es gefressen probiere ich es anzuwenden. Klappt es nicht, lese ich....
Wenn ich dann an einen Punkt komme wo ich keinen Rat mehr weiß, frage ich.
Ich denke das sollte erlaubt sein. Denn ich denke das ist ein Forum für Interessierte nicht für Profis.
Ich denke so lernen die Meisten hier. Ein NAS aufzusetzen mit einer nextcloud -Instance drauf für die ganze Familie, sicher über das Internet erreichbar, ist mir nicht in den Schoß gefallen.
Aber ich habe es mit viel Fleiß, Zeit und viel geduldiger Hilfe von Menschen Patrick geschafft. Dafür bin ich sehr, sehr dankbar.
Danke an alle und beste Grüße.
 
Top