Pour des besoins de sauvegarde, j’ai besoin d’ouvrir l’accès à mon NAS via SSH de manière automatique. Nous allons donc voir dans ce tutoriel comment mettre en place une authentification SSH par clé sur les NAS Synology.

Pour des raisons de sécurité évidente, nous allons ici créer un nouvel utilisateur. Il parait logique de ne pas utiliser l’utilisateur root de votre NAS pour autre chose que des opérations d’administration. Ceci implique quelques modifications supplémentaires puisque par défaut, le NAS n’autorise que l’utilisateur root à se connecter en SSH.

Pour les besoins de ce tutoriel, nous allons assumer que vous possédez un NAS Synology accessible ou non depuis l’extérieur. L’exemple de connexion SSH avec authentification par clé sera quant à lui présenté depuis un serveur Linux distant.

Création de l’utilisateur sur le NAS

Commencez par vous connecter à l’interface d’administration de NAS et rendez-vous dans le panneau de configuration. Tout en bas, dans le menu Terminal & SNMP, assurez-vous que le service SSH est bien activé et choisissez un port personnalisé.

SSH par clé NAS Synology

Nous allons ensuite modifier un le paramètre Accueil Utilisateur dans le menu Utilisateur. L’activation de cette option permet la création automatique d’un espace de stockage pour chaque nouvel utilisateur créé. Celui nous servira notamment à stocker les clés pour l’authentification.

SSH par clé NAS Synology

Vous pouvez maintenant créer l’utilisateur en question dans le menu utilisateur. Choisissez un mot de passe suffisamment fort et laissez les autres paramètres par défaut.

SSH par clé NAS Synology

Notre utilisateur est maintenant créé. Nous allons maintenant effectuer quelques modifications en ligne de commande afin de lui permettre de se connecter en SSH.

Autoriser la connexion SSH

Depuis DSM 6, les NAS Synology n’acceptent plus la connexion SSH aux autres utilisateurs que root. Nous allons donc devoir nous connecter en SSH avec cet utilisateur root et modifier le fichier /etc/passwd.

Nous allons donc modifier le fichier en question :

Repérez la ligne qui correspond à votre utilisateur (« save » dans cet exemple) :

Et modifiez-la de cette façon :

[learn_more caption= »Utilisation de vi »]

Si vous n’êtes pas habitué à l’éditeur vi, voici comment vous en sortir…

Une fois le fichier ouvert, appuyez sur la touche « i » pour activer le mode insertion.

Faites vos modifications comme expliqué dans le tutoriel puis appuyer sur la touche « Echap ».

Vous êtes maintenant en mode commande et il vous suffit de taper : « :wq! » et valider avec « Entrée ».[/learn_more]

À partir de là, la connexion par SSH est autorisée pour votre utilisateur. Vous pouvez tout de suite tester cela depuis Putty ou un autre serveur avec les identifiants que vous avez choisi à la création de l’utilisateur. N’oubliez pas de préciser le port que vous avez spécifié dans les options de  votre NAS.

SSH par clé NAS Synology

La connexion SSH pour le nouvel utilisateur est maintenant fonctionnelle. Nous allons maintenant mettre en place une authentification par clé sur un serveur distant pour automatiser le processus de connexion.

Mise en place de la clé sur le serveur distant

Connectez-vous à votre serveur en SSH et exécutez ces commandes pour générer la clé associée à votre serveur :

Nous allons ensuite copier cette clé sur notre le NAS en nous connectant en SSH avec l’utilisateur que nous avons créé précédemment :

Il vous suffit d’entrer le mot de passe de l’utilisateur pour que la clé soit ajoutée aux hôtes de confiance sur le Synology. Si vous êtes toujours connecté en root sur votre NAS, vous pouvez effectuer cette commande pour vérifier que la clé a bien été mise en place :

Si vous recevez une erreur ou que rien ne s’affiche, c’est que la clé n’a pas été ajoutée. Reprenez les étapes précédentes ou créez manuellement le fichier en récupérer la clé publique depuis le serveur directement.

Configuration du NAS

Il nous reste quelques modifications à effectuer sur le NAS pour que l’authentification par clé fonctionne.

Tout d’abord, les permissions sur les répertoires doivent être configurées de manières très précises. Je me suis pris la tête un bon moment avant de comprendre que le NAS n’acceptait pas la connexion avec clé si les permissions ne sont pas conformes.

Nous allons ensuite modifier la configuration du serveur SSH du NAS pour autoriser l’authentification par clé. Pour cela, nous allons éditer le fichier /etc/ssh/sshd_config

Et modifier/dé-commenter les lignes suivantes :

Nous utilisons encore vi ici, reportez-vous aux explications données plus haut pour bien enregistrer le fichier. Dès que les modifications auront été effectuées, l’authentification par clé devrait être fonctionnelle sur votre NAS. Félicitations !

14
Poster un Commentaire

avatar
8 Comment threads
6 Thread replies
3 Followers
 
Most reacted comment
Hottest comment thread
11 Comment authors
SABOTEdouard PatoutNiffoJulien DoclotKeiro Recent comment authors

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment vos données de commentaires sont traitées.

  Subscribe  
Me notifier des
BaBeuloula
Invité

Salut,

Sauf erreur de ma part, avec DSM 6 tous les utilisateurs du groupe administrators ont accès en SSH

Christophe
Invité
Christophe

C’est juste je me suis fait la même réflexion.

Julien Doclot
Invité
Julien Doclot

Salut,

Merci pour cette réflexion. En effet, je viens de tester sur mon NAS et c’est le cas.

Jean-Marie Abatecola
Invité
Jean-Marie Abatecola

Merci pour l’article, ça fonctionne à merveille !

Jean-Marie Moes
Invité

Excellent, ça fonctionne à merveille, merci beaucoup !

Julien Doclot
Invité

Avec plaisirs ! Content de voir que nos tutoriels servent

Keiro
Invité
Keiro

Sous Vim pour enregistrer et quitter faire
😡

Julien Doclot
Admin

Le :wq fonctionne très bien 😉

Niffo
Invité
Niffo

De mon côté, pour que ça fonctionne, il a fallu que je rajoute :
chmod 644 authorized_keys

trackback

[…] autre article qui détaille précisément la […]

SABOT
Invité
SABOT

Bonjour,
Pouvez-vous me confirmer que l’accès SSH avec clé sera configuré uniquement pour l’utilisateur créé ? (PubkeyAuthentication yes)
La connexion restera possible en ssh avec le compte root sans clé ?

Merci pour votre aide

trackback

[…] sshfs/ssh key sur Synology Borg backup commands + script […]