在某些情况下,我正在处理运行接近完全更新版本的 DSM 的 Synology RackStation 设备。如果您熟悉 Synology,那么很高兴了解其具体信息,但没有必要,因为它只是一个定制的 Linux 发行版。
首先,他们以某种方式锁定了 SSH,以便只有“管理员”组的人员才能使用它。我不确定到底是怎么回事 - 我怀疑 PAM,但是当我禁用它并尝试使用Match中的子句时sshd_config,这并没有改变行为。当我ssh使用-vvv标志运行时,似乎身份验证成功,然后连接终止然后。
所以,我的第一个问题是如何跟踪连接终止的位置和原因。
与此无关的是,我们在与 Amazon S3 同步时遇到了问题,需要让 Synology 参与故障排除和调试。为了获得他们的支持,他们经常要求远程访问。在这种情况下,出于安全考虑,我无法将其提供给他们。所以我想我可以设置一个 chroot 环境,绑定安装到除需要保护的数据之外的所有内容。
事实上,这在测试中效果很好,但显然为了让 SSH 正常工作,Synology 远程访问帐户必须是该administrators组的一部分,如果是这样,他们就可以完全访问该组。用户表面上可以通过 WebUI 应用程序访问设备上的文件。
所以这给我带来了一个问题。我信任 Synology 及其员工,但现有协议并不关心信任、关系和声誉。他们只是说,未经授权的任何人都无法访问数据,就这样。
如果远程用户需要对您拥有的设备进行相当开放的访问,但又不授予他们对您的数据的完全访问权限,甚至不授予他们更改自己权限的权限,您将如何解决这个问题?
答案1
如果您认真保护静态数据,您应该已经考虑过如果有人偷了您的 NAS 会发生什么。保护数据的唯一方法是在磁盘上对其进行加密。 Synology 提供指导为了这。
对于您的情况,您可以选择“手动解密”并将密钥文件保存在单独的计算机上,以便在每次启动时选择是否解密。据我了解,Synology 使用ecryptfs这种机制,因此您也可以找到“自动解密”如何保留密钥文件,然后在允许远程调试访问时手动暂时删除它。