Stübis Blog

Home » Blog Full - Seite 3

Ich möchte mich als User backup von der NAS auf meinem Raspberry mit root per ssh anmelden ohne ein Passwort einzugeben (das ist aus Sicherheitsgründen mit dem User root natürlich eine schlechte Idee) um z.B. Dateien jeden Tag von dem Raspberry auf die NAS zu kopieren.

Root Login per SSH erlauben

Melde Dich auf dem Raspberry mit dem User pi an (Default Passwort lautet raspberry). Als erstes änderst Du das Passwort vom User root.

pi@raspbery:~ $ sudo passwd root
New password: 
Retype new password:

Anschließend musst Du die Datei Datei /etc/ssh/sshd_config editieren. Suche in der Datei nach dem Eintrag PermitRootLogin. Ersetze den Parameter mit yes. Sollte der Eintrag fehlen, dann füge diesen hinzu.

pi@raspbery:~ $ sudo vi /etc/ssh/sshd_config

Ausschnitt aus der sshd_config.

# Authentication:
PermitRootLogin yes

Jetzt noch sshd mit sudo service sshd reload neu starten. Jetzt solltest Du dich mit ssh@raspberry an Deinem Raspberry anmelden können.

SSH Login ohne Passwort

Da ich mich von meiner NAS mit dem User backup auf dem Raspberry mit User root ohne Passwort anmelden möchte, muss ein Zertifikat austauschen.

Prüfe als User backup auf der NAS ob es eine Datei ~/.ssh/id_rsa_pub gibt. Ist das nicht der Fall. Dann führe folgenden Befehl aus.

backup@nas:~ $ ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (~/.ssh/id_rsa): 
Created directory '~/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in ~/.ssh/id_rsa.
Your public key has been saved in ~/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:ez0m+hyjHk0at/kWbfYkgtFTJkj9hTQ90oPyFnm98tw 
backup@nas
The key's randomart image is:
+---[RSA 4096]----+
|         ..o .*o.|
|          ..o=+*+|
|           .o=+.+|
|          . o+.. |
|        S oo.o+ .|
|         B.+o =oE|
|        + O += + |
|         * *..  .|
|       .+.o..    |
+----[SHA256]-----+

Jetzt hast Du einen Private und Public Key im ~/.ssh/ Verzeichnis auf der NAS für den Benutzer backup erstellt. Als nächstes muss der Inhalt der id_rsa.pub auf den Rasperry in die Datei ~/.ssh/authorized_keys‘ kopiert werden.

backup@nas:~ $ ssh root@pi 'mkdir -p ~/.ssh'
backup@nas:~ $ cat ~/.ssh/id_rsa.pub | ssh root@pi 'cat >> ~/.ssh/authorized_keys'

Ab sofort kannst Du Dich nun von der NAS als Benutzer backup auf dem Raspberry als User root ohne Passwort anmelden.

backup@nas:~ $ ssh root@backup
pi@raspbery:~ $

Installiere das Raspberry Lite Image. Dafür musst Du dieses downloaden und auf eine SD Karte schreiben. Auf dem Mac kannst Du dieses z.B. dem Tool ApplePi-Baker erledigen. Hast Du das Image erstellst und Du hast wie ich keinen Monitor und keine Tastatur für den Raspberry, erstelle auf der SD Karte im Verzeichnis boot eine leere Datei mit Namen ssh . Jetzt hast Du die Möglichkeit dich später per SSH auf den Raspberry anzumelden.

Starte den Raspberry und melde Dich über den Mac mit ssh pi@<raspberry-ip> auf dem Raspberry an. Username ist pi und das default Passwort ist raspberry.

Du kannst anschließend die Einstellungen wie z.B. das Passwort im Anschluss mit dem Befehl sudo raspi-config ändern. Rufe dafür die Konfiguration auf dem Raspberry auf.

Nun musst Du den Downloadlink UniFi Network Controller X.YY.ZZ for Debian/Ubuntu Linux and UniFi Cloud Key kopieren. Den Link findest Du auf der Seite https://www.ui.com/download/unifi/

Normalerweise ist die JDK oracle-java8-jdk zu installieren. Die Version steht aber nicht mehr zur Verfügung. Ich konnte ohne Probleme auf dem Raspberry die JDK Version 9 oder 11 installieren. Damit ließ sich der Unifi Controller nur nicht starten. Abhilfe schuf die Installation der openjdk-8-jre (JRE) statt oracle-java8-jdk (JDK). Damit läuft der Unifi Controller auf dem Raspberry.

Beim ausführen von dpkg -i unifi_sysvinit_all.deb kommt es vielleicht zu Fehlern, da Pakete wie Mongo DB nicht installiert sind. Der Befehl apt-get -f install installiert anschließend die fehlenden Pakete.

~ $ sudo apt update
~ $ sudo apt install openjdk-8-jre
~ $ cd /usr/local/src
~ $ sudo wget https://dl.ui.com/unifi/5.12.22/unifi_sysvinit_all.deb
~ $ dpkg -i unifi_sysvinit_all.deb
~ $ sudo apt-get -f install

Nun sollte der Unifi Controller nach der Installation starten. Sollte das nicht der Fall sein, kann der Controller auch manuell mit sudo systemctl start unifi gestartet werden. Jetzt den Link

Wozu benötigen wir ein Wildcard Zertifikat

Auf der Synology kann man Let’s Encrypt Zertifikate für seine Domain und Aliase (Hostnamen) erstellen. Dafür stehen 255 Zeichen zur Verfügung. Einfacher als verschiedene Aliase anzugeben ist ein ein Wildcard Zertifikat. D.h. ein Zertifikat welches für alle Hostnamen deiner Domain gültig ist. Unter Sicherheitsaspekten ist es natürlich besser jeden einzelnen Hostnamen im Zertifikat aufzunehmen!

Wenn ich über die Synology das Let’s Encrypt Zertifkat erneuere, muss ich jedesmal alle betroffenen Hosts die in dem Zertifikat stehen, aus dem Reverse Proxy auf der Synology austragen. Dann nutze ich noch ein MACVLAN, welches ich deaktivieren muss. Also eine extreme aufwändige Prozedur die ich alle 3 Monate wiederholen darf. Auch muss ich immer meine öffentlichen DNS-IP-Adresse bei der Zertifikatserstellung bei meinem Provider ändern die dann auf die Synology verweist. Sonst schlägt die automatische Erneuerung leider fehl. Außerdem gibt es noch eine Beschränkung von 255 Zeichen im Textfeld der Synology für die zu zertifizierenden Hosts.

Das beschriebenes Vorgehen ist alle 3 Monate manuell zu wiederholen. Das ist sehr aufwändig und zeitintensiv.

So erstellst Du ein Wildcard Zertifikat auf Deiner Synology NAS

Wir erstellen das Wildcard Zertifikat mit dem Skript acme.sh. Für die Authentifizierung des Domainnamens verwenden wir die DNS-Option. Melde Dich auf Deiner Synology mit Deinem User (nicht root) per ssh an. Lege das Skript acme.sh in Deinem Homeverzeichnis in dem Verzeichnis bin ab.

mkdir ~/bin
 cd ~/bin
 wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh 
chmod 755 acme.sh

Als nächstes erstellen wir das Zertifikat. Ersetze *.stueben.de durch Deine eigene Domain. Um eine Top-Level-Domain oder eine Multi-Domain hinzuzufügen, füge „-d yourdomain“ hinzu.

cd ~/bin
 ./acme.sh --issue -d *.stueben.de --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

Folgende Rückmeldung solltest Du erhalten:

[Sun Oct 27 08:18:12 CET 2019] Create account key ok. 
[Sun Oct 27 08:18:12 CET 2019] Registering account [Sun Oct 27 08:18:14 CET 2019] Registered [Sun Oct 27 08:18:14 CET 2019] ACCOUNT_THUMBPRINT='OuqqNc4VNtutodAx0lwSenoimHXamOGq7hst8UhbNlM' 
[Sun Oct 27 08:18:14 CET 2019] Creating domain key 
[Sun Oct 27 08:18:15 CET 2019] The domain key is here: /home/thorsten/.acme.sh/*.stueben.de/*.stueben.de.key 
[Sun Oct 27 08:18:15 CET 2019] Single domain='*.stueben.de' 
[Sun Oct 27 08:18:15 CET 2019] Getting domain auth token for each domain 
[Sun Oct 27 08:18:17 CET 2019] Getting webroot for domain='*.stueben.de' 
[Sun Oct 27 08:18:17 CET 2019] Add the following TXT record: [Sun Oct 27 08:18:17 CET 2019] Domain: '_acme-challenge.stueben.de' 
[Sun Oct 27 08:18:17 CET 2019] TXT value: 'xyzPdaswererfdsf_v9xdfsdfHdsfhHLWEFldsfsf' 
[Sun Oct 27 08:18:17 CET 2019] Please be aware that you prepend _acme-challenge. before your domain 
[Sun Oct 27 08:18:17 CET 2019] so the resulting subdomain will be: _acme-challenge.stueben.de 
[Sun Oct 27 08:18:17 CET 2019] Please add the TXT records to the domains, and re-run with --renew. 
[Sun Oct 27 08:18:17 CET 2019] Please add '--debug' or '--log' to check more details. 
[Sun Oct 27 08:18:17 CET 2019] See: https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

Nun merkst Du Dir die beiden Einträge unter „Add the following TXT record:“. I meinem Fall:

Domain: ‚_acme-challenge.stueben.de‚
TXT value: ‚xyzPdaswererfdsf_v9xdfsdfHdsfhHLWEFldsfsf‚

Jetzt rufst Du bei Deinem Provider die DNS Einstellungen auf und fügst für Deine Domain einen TXT Eintrag hinzu. Bei meinem Provider 1und1 sieht das für die Domain stueben.de wie folgt aus:

Nun rufst Du das Skript acme.sh wie oben, nur mit dem Parameter –renew statt –issue auf.

cd ~/bin
./acme.sh --renew --force -d *.stueben.de --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

Die Ausgabe sollte ungefähr wie folgt aussehen.

[Sun Oct 27 08:21:21 CET 2019] Renew: '*.stueben.de' 
[Sun Oct 27 08:21:23 CET 2019] Single domain='*.stueben.de'
 [Sun Oct 27 08:21:23 CET 2019] Getting domain auth token for each domain 
[Sun Oct 27 08:21:23 CET 2019] Verifying: *.stueben.de 
[Sun Oct 27 08:21:28 CET 2019] Success [Sun Oct 27 08:21:28 CET 2019] Verify finished, start to sign. 
[Sun Oct 27 08:21:28 CET 2019] Lets finalize the order, Le_OrderFinalize: https://acme-v02.api.letsencrypt.org/acme/finalize/1324234324/234324323423 
[Sun Oct 27 08:21:30 CET 2019] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/24234abc42dd2983dabcfe24 
[Sun Oct 27 08:21:31 CET 2019] Cert success. 
[Sun Oct 27 08:21:31 CET 2019] Your cert is in /home/thorsten/.acme.sh/*.stueben.de/*.stueben.de.cer 
[Sun Oct 27 08:21:31 CET 2019] Your cert key is in /home/thorsten/.acme.sh/*.stueben.de/*.stueben.de.key 
[Sun Oct 27 08:21:31 CET 2019] The intermediate CA cert is in /home/thorsten/.acme.sh/*.stueben.de/ca.cer 
[Sun Oct 27 08:21:31 CET 2019] And the full chain certs is there: /home/thorsten/.acme.sh/*.stueben.de/fullchain.cer 
[Sun Oct 27 08:21:32 CET 2019] It seems that you are using dns manual mode. please take care: The dns manual mode can not renew automatically, you must issue it again manually. You'd better use the other modes instead. 
[Sun Oct 27 08:21:32 CET 2019] Call hook error.

Du kopierst die Zertifikate in einen Ordner auf der NAS den Du um das Let’s Encrypt Zertifikat zu importieren öffnen darfst. Das funktioniert nicht aus dem .acme.sh Verzeichnis wegen des führendem . im Namen.

mkdir /home/thorsten/certs  
cp /home/thorsten/.acme.sh/\*.stueben.de/\*.stueben.de.cer /home/thorsten/certs/stueben.de.cer 
cp /home/thorsten/.acme.sh/\*.stueben.de/\*.stueben.de.key /home/thorsten/certs/stueben.de.key 
cp /home/thorsten/.acme.sh/\*.stueben.de/ca.cer /home/thorsten/certs/ca.cer 
cp /home/thorsten/.acme.sh/\*.stueben.de/fullchain.cer /home/thorsten/certs/fullchain.cer

Nun öffnest Du auf der Synology NAS die Systemsteuerung, wählst den Punkt Sicherheit aus und oben in der Menüleiste Zertifikate und importierst die eben erstellten Zertifikate aus dem Verzeichnis.

Damit ist das Wildcard Zertifikat erstellt. Dieses sieht wie folgt aus:

Am einfachsten ist es den ioBroker Docker Container von Andre Buanet über die grafische Docker Oberfläche der Synology NAS zu installieren. Eine genaue Beschreibung dazu findet Ihr bei Andre auf der Seite unter https://buanet.de/2017/09/iobroker-unter-docker-auf-der-synology-diskstation/.

Leider bietet die Synology Docker Oberfläche nur eingeschränkte Einstellungsmöglichkeiten. Wenn man weitere Optionen nutzen möchte um z.B. auf Devices der NAS, wie z.B. ein ZWAVE oder ZIGBEE USB Stick zuzugreifen kommt man nicht um die manuelle Erstellung einer Docker Instanz herum. Auch kann ich so, einen DNS Server, feste IP Adresse und festen Hostnamen dem Docker Container mitgeben.

Docker Container mit Option Device

# Docker Container Name iobroker-new 
# Hostname des Containers: iobroker-test
# IP-Adresse von iobroker-test = 192.168.20.82
# DNS Server = 192.168.20.80
# DNS Search = stueben.local
# Eintrag in /etc/hosts : 192.168.20.80 nas nas.stueben.local
# Zugriff auf USB Device /dev/ttyACM0
# Docker Image: buanet/iobroker:latest


docker run -d --name iobroker-new --restart=always --hostname=iobroker-test --ip 192.168.20.82 --dns=192.168.20.80 --dns-search=stueben.local --add-host="nas nas.stueben.local:192.168.20.80" --net=mac0 --device=/dev/ttyACM0 -v /volume1/docker/iobroker-test/opt/iobroker:/opt/iobroker -it buanet/iobroker:latest

Nachteil ist, sollte sich der Devicename ändern z.B. von /dev/ttyACM0 nach /dev/ttyACM1 läßt sich der Docker Container nicht mehr starten. Mit der Option privileged statt device kann man alle Devices der NAS dem Docker Container bekanntgeben. Das kann man über die Synology Docker Oberfläche einstellen. Ich persönlich würde aber davon abraten, da der Docker Container damit weitereichende Berechtigungen auf der NAS hat und auf alle Devices zugreifen kann.

# Docker Container Name iobroker-new  
# Hostname des Containers: iobroker-test 
# IP-Adresse von iobroker-test = 192.168.20.82 
# DNS Server = 192.168.20.80 
# DNS Search = stueben.local 
# Eintrag in /etc/hosts : 192.168.20.80 nas nas.stueben.local 
# Docker Image: buanet/iobroker:latest


docker run -d --name iobroker-new --restart=always --hostname=iobroker-test --ip 192.168.20.82 --dns=192.168.20.80 --dns-search=stueben.local --add-host="nas nas.stueben.local:192.168.20.80" --net=mac0 --privileged -v /dev/bus/usb:/dev/bus/usb -v /volume1/docker/iobroker-test/opt/iobroker:/opt/iobroker -it buanet/iobroker:latest

SSH Login ohne Passwort auf dem Raspberry

Root Login per SSH erlauben

SSH Login ohne Passwort

Unifi Controller auf dem Raspberry

Let’s Encrypt Wildcard Zertifikat auf der Synology NAS

Wozu benötigen wir ein Wildcard Zertifikat

So erstellst Du ein Wildcard Zertifikat auf Deiner Synology NAS

ioBroker Docker Container über Kommandozeile starten