====== DSM - SSH via Schlüssel-Authentifizierung ======

Natürlich können für die **<color #2f8989>SSH-Verbindung</color>** zur [[https://amzn.to/3sWcI4N|DiskStation ]][[https://amzn.to/3sWcI4N|{{fa>amazon?12}}]] auch **<color #2f8989>Schlüsselpaare</color>** verwendet werden.
In diesem Artikel werde ich Euch zeigen, wie Ihr dies einrichtet.

===== Voraussetzung =====
Voraussetzung für die Verwendung der **<color #2f8989>Public-Key Authentifizierung</color>** ist, dass Ihr in Eurer **<color #2f8989>DiskStation</color>** **<color #2f8989>SSH</color>** eingerichtet habt. Eine Anleitung dazu findet Ihr unter [[wiki:synology-diskstation:dsm-ssh]].
Des Weiteren müsst Ihr die Benutzer angelegt, einen Key generiert und diesen übertragen haben. Dies ist in der Anleitung [[wiki:linux:konnektivitaet:linux-ssh-key]] beschrieben.
In diesem Beispiel, heißen die Benutzer **<color #2f8989>rsb</color>**.

==== Information zur Umgebung ====
Das Ganze wurde auf einem [[https://amzn.to/3sTgtb6|Raspberry Pi 4 ]][[https://amzn.to/3sWcI4N|{{fa>amazon?12}}]] mit **<color #2f8989>Ubuntu Mate 20.10</color>** durchgeführt.
Bei der **<color #2f8989>DiskStation</color>** handelt es sich um eine ältere **<color #2f8989>DS215j mit aktuellem DSM 6.2.3</color>**. Die Umsetzung ist jedoch auch mit einer aktuellen **<color #2f8989>DiskStation</color>** und jeglicher Linux-Distribution möglich. Nur die Befehle können hier abweichen.

===== Anpassungen =====
Die **<color #2f8989>DiskStation</color>** hat hier ein paar seltsame Eigenheiten. Um die Schlüssel mit der **<color #2f8989>DiskStation</color>** verwenden zu können, müssen noch ein paar Anpassungen durchgeführt werden, nachdem Ihr den Key übertragen habt.


==== Berechtigungen anpassen ====

Das Home-Verzeichnis des Benutzers auf der **<color #2f8989>DiskStation</color>** benötigt die Rechte **<color #2f8989>711</color>**, diese passen wir mit dem Befehl **<color #892F2F>chmod</color>** an.

<WRAP center round rsbrot 60%>
rsb@PortRoyal:~$ cd ..\\ 
rsb@PortRoyal:/var/services/homes$ ls -la | grep rsb \\ 
drwxrwxrwx   4 rsb          users 4096 Mar  6 19:46 rsb\\ 
rsb@PortRoyal:/var/services/homes$ chmod 711 rsb\\ 
rsb@PortRoyal:/var/services/homes$ ls -la | grep rsb \\ 
drwxrwxrwx   4 rsb          users 4096 Mar  6 19:46 rsb\\ 
</WRAP>

**Zur Erklärung** 
| **Befehl** | **Beschreibung** |
| cd .. | Wechsel ins höhere Verzeichnis, hier /var/services/home |
| <code>ls -la | grep rsb</code> | Anzeigen der Berechtigung des Ordners rsb (hier Berechtigung 777) |
| chmod 711 rsb | Anpassen der Berechtigung des Ordners rsb |
| <code>ls -la | grep rsb</code> | Erneutes Anzeigen der Berechtigung des Ordners rsb (jetzt 711) |

Die gleiche Berechtigung setzen wir für den Ordner **<color #2f8989>.ssh</color>**

<WRAP center round rsbrot 60%>
rsb@PortRoyal:~$ cd ~\\ 
rsb@PortRoyal:~$ ls -la | grep .ssh\\ 
drwxrwxrwx  2 rsb  users 4096 Mar  6 19:28 .ssh\\ 
rsb@PortRoyal:~$ chmod 711 .ssh\\ 
rsb@PortRoyal:~$ ls -la | grep .ssh\\ 
drwx--x--x  2 rsb  users 4096 Mar  6 19:28 .ssh\\ 
</WRAP>

Und Abschließend die Berechtigung **<color #2f8989>600</color>** für die Datei **<color #2f8989>authorized_keys</color>**
<WRAP center round rsbrot 60%>
rsb@PortRoyal:~$ cd .ssh\\ 
rsb@PortRoyal:~/.ssh$ ls -la | grep authorized_keys \\ 
-rwxrwxrwx 1 rsb users  734 Mar  6 19:28 authorized_keys\\ 
rsb@PortRoyal:~/.ssh$ chmod 600 authorized_keys \\ 
rsb@PortRoyal:~/.ssh$ ls -la | grep authorized_keys \\ 
-rw------- 1 rsb users  734 Mar  6 19:28 authorized_keys\\ 
</WRAP>

Hier nochmal die Befehle kurz und Knapp in der Übersicht
<WRAP center round rsbrot 60%>
chmod 711 ../rsb\\ 
chmod 711 .ssh/\\ 
chmod 600 .ssh/authorized_keys \\ 
</WRAP>

==== SSH-Konfiguration anpassen ====
Anschließend müssen wir noch die **<color #2f8989>SSH-Konfiguration</color>** in der **<color #892F2F>/etc/ssh/sshd_config</color>** anpassen und die Authentifizierung via Schlüssel erlauben.

<WRAP center round rsbrot 60%>
sudo vim /etc/ssh/sshd_config
</WRAP>

Hier kommentieren wir folgende Zeilen ein und speichern die Datei mit **<color #892F2F>wq!</color>**
<WRAP center round rsbgruen 60%>
PubkeyAuthentication yes \\
AuthorizedKeysFile  .ssh/authorized_keys \\
</WRAP>

=== Neustart ===
Damit die Änderungen wirksam werden, müssen wir den **<color #2f8989>SSH-Dienst</color>** neu starten
<WRAP center round rsbrot 60%>
sudo synoservicectl --restart sshd
</WRAP>

===== SSH-Test mit Schlüssel =====

Nun können wir die Verbindung mit **<color #892F2F>ssh rsb@10.10.10.20</color>** testen.
Nun sollte nicht mehr nach dem Benutzerkennwort, sondern nach dem Kennwort für den Schlüssel gefragt werden und nach Eingabe die Verbindung hergestellt werden.

===== Fazit =====
Durch die Eigenheiten der [[https://amzn.to/3sWcI4N|DiskStation ]][[https://amzn.to/3sWcI4N|{{fa>amazon?12}}]] mit der Vollberechtigung des **<color #2f8989>Home-Verzeichnisses</color>** und der nicht aktivierten **<color #2f8989>PubkeyAuthentication</color>** ist hier etwas Handarbeit zur Einrichtung notwendig.

Euer RSB

----
{{page>impressum:ausschluss#Haftungsausschluss}}

----


~~DISCUSSION~~