Articles avec le tag ‘SSH’

Installation de GateOne : nouveau client SSH en HTML5

J’ai déjà parlé dans un précédent article d’ajaxterm, un client SSH web, et de la manière de l’intégrer à Apache.

Un nouveau client SSH web vient de sortir : GateOne. Grosse différence : il est en HTML5 ! Enfin, il y a toujours du python derrière, mais le client, dans un navigateur, utilise bien l’HTML5. Par contre, il est encore en beta, et j’ai des soucis avec le clavier français par exemple (ce qui n’est pas très pratique, notamment pour les mots de passe…). Bon, c’est très prometteur, et ces bugs de jeunesse devraient être corrigés assez rapidement.

Procédure d’installation (sur Debian, mais ça devrait être à peu près pareil sur d’autres distributions, au gestionnaire de paquets près) :

1) Mise à jour de la distribution :

apt-get update
apt-get upgrade

2) Installation des prérequis :

apt-get install python-pip dtach python-pyopenssl python-kerberos python-dev git build-essential
pip install tornado pyopenssl

3) Téléchargement des sources :

git clone https://github.com/liftoff/GateOne.git

4) Installation :

cd GateOne/
python setup.py install

5) Lancement de GateOne :

cd /opt/gateone/
./gateone.py

Si, comme moi, vous avez déjà quelque chose qui tourne sur le port 443 (apache, à priori…) vous aurez l’erreur suivante :

Traceback (most recent call last):
File "./gateone.py", line 1212, in
main()
File "./gateone.py", line 1203, in main
http_server.listen(options.port, options.address)
File "/usr/local/lib/python2.6/dist-packages/tornado/netutil.py", line 100, in listen
sockets = bind_sockets(port, address=address)
File "/usr/local/lib/python2.6/dist-packages/tornado/netutil.py", line 265, in bind_sockets
sock.bind(sockaddr)
File "", line 1, in bind
socket.error: [Errno 98] Address already in use

En effet, GateOne écoute sur le port 443 par défaut. Le fichier de configuration est généré à la première utilisation, mais on peut maintenant l’éditer :

vim server.conf

Remplacer le port spécifié par un port libre. Vous pouvez maintenant relancer GateOne, et y accéder à l’adresse : https://ip.de.votre.serveur:port

Une dernière astuce : je conseille de lancer GateOne avec la commande nohup, histoire qu’il continue de fonctionner après que vous ayez quitté le terminal dans lequel vous l’avez lancé :

nohup ./gateone.py &

Pour l’arrêter, il faudra par contre killer le process du coup.

Voilà, on attend maintenant la correction des quelques bugs qui restent!

 

Sources :
http://korben.info/client-ssh-html5.html
http://tiennot.fr/romain/index.php?post/2011/10/15/Installer-Gate-One-Client-SSH-en-HTML5
https://github.com/liftoff/GateOne
http://liftoff.github.com/GateOne/About/index.html

Le ssh pour tous les utilisateurs sur les NAS Synology

Deuxième article sur mon NAS Synology DS411j, cette fois ci simplement pour passer outre une limitation mise en place par Synology : l’accès en ssh est réservé à l’utilisateur root (ou admin).

Cette limitation a sans doute du être mise en place dans un souci de simplicité pour le grand public, limitant ainsi l’accès au propriétaire du NAS, qui est supposé savoir ce qu’il fait s’il a activé l’accès ssh.

Cependant, cette limitation pose 2 problèmes :
– Tout d’abord, il est déconseillé d’activer l’accès ssh en root à une machine GNU/Linux, pour des raisons de sécurité. Cette limitation va complètement à l’encontre de ce principe élémentaire.
– En plus, dans l’optique de l’utilisation de rsync sur le protocole ssh, ce que je veux mettre en place pour mon futur système de sauvegarde (ça fera l’objet d’un autre article), il faut absolument que chaque utilisateur ait un accès ssh au NAS

La procédure n’est pas très compliquée, mais il faut faire attention à ce que l’on fait car on peut très vite tout casser (et ne plus pouvoir se connecter en ssh du tout par exemple…).

1) Créer un utilisateur ordinaire depuis l’interface web du NAS.

Appelons le julien dans la suite. Je l’ai configuré pour appartenir au groupe « users ».

2) Se connecter en root au NAS.

Il faut bien sûr activer le service ssh au préalable, par l’interface web du NAS. Je conseille d’également activer le telnet pour la durée des manipulations décrites ici, cela permettra un accès de secours au NAS si on casse le SSH…
Pour se connecter en ssh, c’est comme toujours, depuis un terminal Linux :

ssh root@ip.de.votre.nas

Le mot de passe est le même que celui de l’administrateur dans l’interface web.

3) Créer le profil de l’utilisateur.

Je conseille la création d’un dossier /volume1/users/ avec dans ce dossier un dossier par utilisateur « standard », qui permettra de mettre tout ce qui est administration des utilisateurs dans ce dossier et non pas dans /volume1/homes/ car ce dossier sera accessible directement par le navigateur de fichier de l’interface web (FileStation). Les fichiers « d’administration » de l’utilisateur (le .profile en l’occurrence) y seront visibles. Cependant, si vous préférez, vous pouvez vous passer de ce nouveau dossier et utiliser /volume1/homes/.
Ensuite, il faut créer (dans le dossier /volume1/users/julien donc) le fichier .profile de julien, sur la base de celui de root.
C’est parti :

mkdir /volume1/users
mkdir /volume1/users/julien
cp /root/.profile /volume1/users/julien
chown -R julien:users /volume1/users/julien/
vi /volume1/users/julien/.profile

Changer la ligne suivante :

HOME=/root

Par celle-ci :

HOME=/volume1/homes/julien

4) Adapter le fichier /etc/passwd.

Sauvegarder le fichier /etc/passwd original et adapter sa copie :

cp /etc/passwd /etc/passwd.sauv
vi /etc/passwd

Modifier la ligne suivante (elle peut varier légèrement chez vous) :

julien:x:1026:100::/var/services/homes/julien:/sbin/nologin

Pour cette ligne là :

julien:x:1026:100::/volume1/users/julien:/bin/sh

Le dossier « /volume1/users/julien » indique le dossier dans lequel se placer quand l’utilisateur se connecte. C’est aussi dans ce dossier que sera cherché le fichier .profile, pensez donc à adapter ce dossier si vous avez mis votre .profile ailleurs.

5.a) Configurer la lecture du .profile du nouvel utilisateur

Ici, il y a 2 cas de figures.

– Vous avez choisi de n’avoir qu’un seul dossier pour l’utilisateur (/volume1/homes/julien à priori) et le fait de voir le fichier .profile trainer dans l’interface de FileStation ne vous gène pas : passez à l’étape 6).

– Vous avez choisi de suivre ma configuration, avec un dossier « technique » (/volume1/users/julien), dans lequel vous avez mis le .profile, et un dossier « utilisateur » (/volume1/homes/julien) : il faut bidouiller un peu pour s’en sortir. Si vous voulez juste appliquer ce que je dis sans trop comprendre le problème, passez au 5.b).

Sinon je vous explique le problème : il faut que le fichier .profile ne soit pas dans le dossier de connexion de l’utilisateur (configuré dans le /etc/passwd). En effet, FileStation utilise le dossier configuré dans /etc/passwd comme dossier « racine » pour l’utilisateur et on fini par tourner en rond :

– soit on a /volume1/users/julien/ dans /etc/passwd et lors de la connexion en ssh tout se passe bien, le fichier .profile est pris en compte mais dans FileStation on se retrouve aussi dans ce dossier /volume1/users/julien/ alors qu’on voulait être dans /volume1/homes/julien/ (et en plus on voit le fichier .profile du coup ^^ )

– soit on a /volume1/homes/julien/ dans /etc/passwd et on est au bon endroit dans FileStation, mais à la connexion en ssh le .profile sera cherché dans /volume1/homes/julien/, ne sera pas trouvé, et le profile par défaut sera appliqué. On sera bien connecté dans /volume1/homes/julien/ mais la variable $HOME vaudra par exemple « /root », ce qui fait que lorsqu’on passe la commande suivante, on n’a pas vraiment le résultat espéré :

julien@linux:~$ ssh julien@ip.de.votre.nas
julien@ip.de.votre.nas\'s password:


BusyBox v1.16.1 (2010-10-23 01:00:23 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Discovery> pwd
/volume1/homes/julien
Discovery> cd
Discovery> pwd
/root
Discovery>

Inattendu hein? :p
L’astuce consiste en fait à modifier le fichier de profile par défaut : /etc/profile. J’explique cela dans le paragraphe suivant.

5.b) Modifier le fichier /etc/profile

Au final, nous voulons donc avoir le dossier /volume1/homes/julien/ comme dossier de connexion par défaut, aussi bien pour le ssh que pour FileStation, tout en prenant en compte le fichier de profile /volume1/users/julien/.profile.
Cela se fait en modifiant le fichier /etc/profile de la manière suivante (ajout des 3 dernières lignes) :

#/etc/profile: system-wide .profile file for ash.
PATH="$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/syno/bin:/usr/syno/sbin:/usr/local/bin:/usr/local/sbin"
umask 022
#This fixes the backspace when telnetting in.
#if [ "$TERM" != "linux" ]; then
#        stty erase
#fi
PGDATA=/var/service/pgsql
export PATH PGDATA
HOME=/root
export HOME
TERM=${TERM:-cons25}
export TERM
PAGER=more
export PAGER
PS1="`hostname`> "
alias dir="ls -al"
alias ll="ls -la"
ulimit -c unlimited
PATH=/opt/bin:/opt/sbin:$PATH
if [ -f "/volume1/users/$USER/.profile" ]; then
. "/volume1/users/$USER/.profile"
fi

6) Vérifier la bonne configuration de l’utilisateur.

Exécuter les commandes suivantes :

NAS> whoami
root
NAS> cd /
NAS> pwd
/
NAS> su - julien


BusyBox v1.16.1 (2010-10-23 01:00:23 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

NAS> whoami
julien
NAS> pwd
/volume1/users/julien
NAS> echo $HOME
/volume1/homes/julien
NAS> cd
NAS> pwd
/volume1/homes/julien
NAS> exit
NAS> pwd
/
NAS>

Le résultat de toutes ces commandes est très important. La seule chose qui doit changer chez vous est « julien ». Vous remarquerez que comme le dossier de connexion configuré (/volume1/users/julien) est différent de la valeur attribuée à la variable $HOME à l’étape 3 (/volume1/homes/julien), la commande cd ne nous met pas dans notre répertoire de connexion, mais bien dans notre home. Vous pouvez bien sur mettre un autre dossier dans $HOME à l’étape 3 (comme le dossier /volume1/users/julien, je ne l’ai pas fait parce que je veux garder ce dossier strictement administratif).

7) Configurer sshd.

Commencer par sauvegarder la configuration originale :

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.sauv

Puis adapter la configuration à votre convenance. Les points essentiels sont les suivants :
– Changer la ligne « #Protocol 2,1″ pour « Protocol 2″ (désactivation de ssh v1) si ce n’est pas fait
– Changer la ligne « #PermitRootLogin yes » pour « PermitRootLogin no » pour interdire la connexion en ssh de root (conseillé d’un point de vue sécurité, je ne l’ai pas fait pour des raisons pratiques pour le moment)

Vous pouvez également adapter les 2 lignes suivantes en fonction de ce qui vous parait raisonnable d’un point de vue sécurité :
– « #LoginGraceTime 2m » (par défaut, 2 minutes) : Le serveur se déconnecte après ce délai si l’utilisateur ne s’est pas connecté. Si la valeur est 0, il n’y a aucune limite de temps.
– « #MaxAuthTries 6″ (par défaut, 6 essais) : Nombre maximum d’essais de mot de passe pour la connexion.
– Pour les autre options : « man ssh » dans google =)

8) Redémarrer le démon sshd.

Avant de redémarrer sshd, je vous conseille encore une fois d’activer (provisoirement si vous voulez) le telnet sur votre NAS.
Le démon sshd peut être redémarré de plusieurs manières. La plus simple est de désactiver puis de réactiver le service ssh dans l’interface web. Déconnectez vous avant de faire ça. Sinon, vous pouvez utiliser la commande suivante :

/usr/syno/etc.defaults/rc.d/S95sshd.sh

Ou alors, plus brutal, vous pouvez éteindre et rallumer votre NAS.

9) Tester que ça fonctionne!

Se connecter en tant que julien pour voir si ça fonctionne, depuis votre poste Linux :

ssh julien@ip.de.votre.nas

Si vous avez bien tout suivi, ça devrait fonctionner. Sinon, vous pouvez toujours tenter de me poser une question, je ferai ce que je peux pour vous aider…

Attention

J’ai vu sur le net que le fait de modifier les caractéristique des utilisateurs pour lesquels on a activé le ssh par l’interface web remettait la configuration par défaut et que du coup le ssh ne fonctionnait plus. Si c’est le cas, il vous suffit de ré-appliquer la procédure ci-dessus, ça devrait fonctionner. Au pire, faites les manips en vous connectant via telnet en root. Cela dit, je n’ai pas encore essayé ceci. Synology a peut-être corrigé ce problème maintenant.

Sources utilisées pour cet article

http://bernhard.hensler.net/blog/synology-enable-ssh-user-login-other-than-root/
http://www.delafond.org/traducmanfr/man/man1/ssh.1.html
http://unixhelp.ed.ac.uk/CGI/man-cgi?ssh+1

NAS Synology : go root n00b!! (et faites un truc utile tant qu’à faire)

J’ai fini par craquer, et je me suis acheté un nouveau jouet : un NAS Synology DS411j \o/
Voilà la bête (la photo est plus moche que toutes celles que vous trouverez sur le net mais c’est moi qu’a fait!) :
DS411j

Bref. Tout ça pour dire que je suis vraiment pas déçu de l’engin. Silencieux (ou pourrait dormir à coté je pense), compact pour un 4 baies, et surtout niveau fonctionnalités, c’est un festival. Voici donc un premier article dédié au DS411j, sachant que bien sûr tout ce que je dis dois s’appliquer à n’importe quel NAS Synology à priori. Il y en aura surement d’autres, au fur et à mesure que je casserai bidouillerai des trucs. Dans cet article :
– accès root en SSH au NAS
– installation d’un gestionnaire de paquets : ipkg
– utilisation de base d’ipkg et exemple d’installation de quelques logiciels

Accès root en SSH :

Pour commencer, il faut activer le SSH dans le panneau de configuration du NAS. Ca se passe dans Panneau de configuration -> Terminal, cochez la case « Activer le service SSH ». Le SSH sera alors actif pour l’utilisateur « admin » (celui créé à l’initialisation du NAS) et pour l’utilisateur « root ». Le mot de passe de root est le même que celui que vous avez mis pour admin. Il est sans doute possible d’utiliser le SSH avec d’autres utilisateurs, mais j’ai pas tout compris à la gestion des utilisateurs encore, donc pour le moment ça sera root. De toutes façons, on en a besoin pour la suite.
C’est tout, le SSH est activé.

Installation d’un gestionnaire de paquets : ipkg

Le seul manque que j’ai remarqué pour le moment est l’absence d’un gestionnaire de paquet installé de base. Mais comme il est possible (et pas trop compliqué) d’en mettre un, pour les quelques geek qui s’en serviront, c’est pas très gênant.
Apparemment, le gestionnaire de paquets « officiel » de Synology est ipkg. Son utilisation ressemble beaucoup à l’apt-get de Debian. Il est peut-être possible d’en installer un autre, mais ça doit être un peu (beaucoup?) plus compliqué. Le processus d’installation d’ipkg est donné sur le wiki de Synology, mais je vous en fait une version française.
– Vérifiez quel type de CPU est installé sur votre NAS : ici
– Connectez vous en SSH (utilisateur root) à votre NAS
– Téléchargez le bootstrap (script d’installation d’ipkg) qui correspond à votre CPU : ici. Conseil, faites le avec wget. Par exemple, pour le DS411j :

wget http://ipkg.nslu2-linux.org/feeds/optware/cs08q1armel/cross/unst
able/syno-mvkw-bootstrap_1.2-7_arm.xsh

– Exécutez le script que vous venez de télécharger. Exemple, pour les CPU de type ARM :

sh syno-mvkw-bootstrap_1.2-7_arm.xsh

– Enjoy !

Utilisation de base d’ipkg et exemple d’installation de quelques logiciels

2 commandes de base, qui sont les mêmes que pour apt-get :
– Mise à jour de la table répertoriant les paquets disponibles :

ipkg update

– Mise à jour de tous les paquets ipkg installés sur votre NAS dans leur dernière version
Et pour installer un paquet, c’est encore comme apt-get :

ipkg install <nom du paquet>

Deux exemples :
– Parce que ça peut servir ^^ (ça aurait pu y être de base d’ailleurs…) :

ipkg install man

– Parce que vi c’est bien, et vim c’est mieux :

ipkg install vim

Conclusion (provisoire!)

Le premier truc qui me vient à l’esprit : franchement, il est bien cool ce NAS. Si vous hésitez entre plusieurs marques, je recommande donc sans aucune hésitation Synology (après le modèle à vous de voir ce dont vous avez besoin, les fonctionnalités sont globalement les mêmes sur tous). Et la suite est plus que prometteuse ! To be continued !