場合によっては、ほぼ完全に更新されたDSMバージョンを実行するSynology RackStationデバイスを扱っています。 Synologyに精通している場合は、詳細を知っておくことをお勧めしますが、カスタムLinuxディストリビューションにすぎないので、必ずしも知る必要はありません。
まず、彼らは「管理者」グループに属する人々だけがSSHを使用できるように、何とかSSHをロックしました。正確に何が起こっているのか分かりません。 PAMが疑われますが、PAMを無効にしてのMatch節を試しましたが、sshd_config動作は変わりませんでした。フラグをssh使用して実行すると、-vvv認証が成功し、接続が終了するようです。それから。
だから最初の質問は、接続が終了した場所と理由を追跡する方法です。
これに関係なく、Amazon S3 との同期の問題が発生し、トラブルシューティングとデバッグに Synology のサポートが必要でした。サポートを受けるために、彼らはしばしばリモートアクセスを要求します。この場合、セキュリティ上の理由で提供することはできません。そのため、保護する必要があるデータを除くすべてにマウントをバインドするchroot環境を設定できると思いました。
実際、これはテストではうまく機能しましたが、SSHが正しく機能するためには、Synologyリモートアクセスアカウントがグループのadministrators一部である必要があり、その場合はグループへのフルアクセス権が必要です。ユーザーはWebUIアプリケーションを介してデバイス上のファイルに表面的にアクセスできます。
だからこれは私に問題を与えます。私はSynologyとその従業員を信頼していますが、既存のプロトコルは信頼、関係、評判には興味がありません。彼らは、承認なしには誰もデータにアクセスできないと言います。
リモートユーザーが自分の所有するデバイスに公的にアクセスする必要がありますが、データへのフルアクセスを許可しない場合、または自分の権限を変更する権限も付与しない場合は、この問題をどのように解決しますか?
答え1
保存されているデータを深刻に保護したい場合は、誰かがNASを盗んだ場合に何が起こるのかを考えてください。データを保護する唯一の方法は、ディスクからデータを暗号化することです。シノロジー提供ガイドこのために。
あなたの場合は、「手動復号化」を選択し、キーファイルを別のシステムに保存して起動するたびに復号化するかどうかを選択できます。私が理解しているように、Synologyはecryptfsこのメカニズムを使用しているため、「自動復号化」がキーファイルを保持し、リモートデバッグアクセスが許可されたときに手動で一時的に削除する方法も確認できます。