• 0
Sign in to follow this  
akadem

Проблема с web мордой и ssh ban

Question

Здравствуйте, возникла проблема с web мордой, отображается белый экран, окошка авторизации нет, до этого был забит раздел /dev/root, очистка места проблему не решила, куда копать?

И где синолоджи хранит файл блокировок по ip адресу, интересует именно файл настроек, чтобы поправить по ssh (так как вэб морда в данный момент недоступна)

2019-02-26-10-23-44-Window.png

Share this post


Link to post
Share on other sites

12 answers to this question

Recommended Posts

  • 1

Был такой случай, что я сам себе закрыл доступ к web морде, испуг получил нормальный. Но маленько успокоившись, проблему решил так:

 

Цитата

Джини написал: ↑

Четверг, 25 августа 2016 г., 10:45

Я случайно заблокировал себя на рабочем столе DSM, удалив «групповые привилегии по умолчанию» и не устанавливая явно разрешения для своего пользователя. 

Потратив довольно много времени этим утром, пытаясь вернуться в свой DSM, я подумал, что поделюсь "исправлением". 

 

Требуется доступ по SSH и знание того, как использовать SQLite. 

 

во-первых, найдите свой идентификатор пользователя (замените гостя своим именем пользователя)

 

user@host:~$ sudo grep guest /etc/passwd
guest:x:1025:100:Guest:/nonexist:/usr/bin/nologin

Ваш userID - это первое число (1025) для вышеперечисленного. 

 

во-вторых, откройте базу данных App Privilege с помощью SQLite:

sudo sqlite3 synoappprivilege.db

 

Затем выясните, есть ли у вашего пользователя права доступа:

sqlite> SELECT * FROM AppPrivRule WHERE ID=1026 AND App='SYNO.Desktop';0|1026|SYNO.Desktop|0.0.0.0|0000:0000:0000:0000:0000:FFFF:0000:0000||

 

Если у вашего пользователя нет доступа, используйте следующее, чтобы добавить его (замените <userid> идентификатором пользователя, который вы нашли выше)

INSERT INTO AppPrivRule VALUES(0,<userid>,'0.0.0.0','0000:0000:0000:0000:0000:0000:FFFF:0000:0000','','');

 

Если вашему пользователю уже назначены привилегии, используйте следующее, чтобы «разблокировать» его. (замените <идентификатор пользователя> идентификатором пользователя, который вы нашли выше)

 

UPDATE AppPrivRule SET AllowIp='0.0.0.0',AllowIPStd='0000:0000:0000:0000:0000:0000:FFFF:0000:0000',DenyIp='',DenyIpStd='' WHERE ID=<userid>;

Ваш доступ теперь восстановлен.

 

If the 'users' _group_ is not allowed to desktop, and we want to enable, just run this sql:

update AppPrivRule set type = 0 WHERE type = 1 AND id = 100 AND App='SYNO.Desktop';

 

Источник

Share this post


Link to post
Share on other sites
  • 0
4 hours ago, akadem said:

где синолоджи хранит файл блокировок по ip адресу

записи автоблокировок сидят в /etc/synoautoblock.db в SQLite-формате.

если заблочилось автоматикой по IP - просто поменяй временно свой IP-адрес на компе, чтоб зайти и штатно из админки почистить.

Share this post


Link to post
Share on other sites
  • 0

Да, записи ip мы уже нашли, так как web интерфейс не доступен то выкачали по ssh и поменяли через SQLite менеджер.

Share this post


Link to post
Share on other sites
  • 0

При обращении к вэб морде в /var/log/kern.log сыпятся ошибки 

 

Feb 27 12:20:39 server4 kernel: [ 6406.206148] type=1400 audit(1551255639.560:12): apparmor="DENIED" operation="mkdir" parent=24598 profile="/usr/syno/synoman/webman/index.cgi" name="/usr/syno/synoman/synohdpack/tmp/" pid=
24632 comm="mkdir" requested_mask="c" denied_mask="c" fsuid=0 ouid=0
Feb 27 12:20:41 server4 kernel: [ 6407.942797] type=1400 audit(1551255641.296:13): apparmor="DENIED" operation="mkdir" parent=24645 profile="/usr/syno/synoman/webman/index.cgi" name="/usr/syno/synoman/synohdpack/tmp/" pid=
24679 comm="mkdir" requested_mask="c" denied_mask="c" fsuid=0 ouid=0
Feb 27 12:20:42 server4 kernel: [ 6409.359473] type=1400 audit(1551255642.713:14): apparmor="DENIED" operation="mkdir" parent=24691 profile="/usr/syno/synoman/webman/index.cgi" name="/usr/syno/synoman/synohdpack/tmp/" pid=
24725 comm="mkdir" requested_mask="c" denied_mask="c" fsuid=0 ouid=0

 

Share this post


Link to post
Share on other sites
  • 0
12 часа назад, Sh_Renat сказал:

Был такой случай, что я сам себе закрыл доступ к web морде, испуг получил нормальный. Но маленько успокоившись, проблему решил так:

 

Сюдя по статье, это у него произошло с 6 версией DSM, не знаю получилось бы так с пятой. Нам помогла именно эта статья по миграции с 5.2 на 6 версию и проблема вместе с обновлением решилась.

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, akadem сказал:

 

Сюдя по статье, это у него произошло с 6 версией DSM, не знаю получилось бы так с пятой. Нам помогла именно эта статья по миграции с 5.2 на 6 версию и проблема вместе с обновлением решилась.

 

Я эту проблему исправлял на 6.1.7, все прошло успешно

Share this post


Link to post
Share on other sites
  • 0
Posted (edited)
В 27.02.2019 в 23:00, Sh_Renat сказал:

 

If the 'users' _group_ is not allowed to desktop, and we want to enable, just run this sql:

update AppPrivRule set type = 0 WHERE type = 1 AND id = 100 AND App='SYNO.Desktop';

Помогло, спасибо!

Какая-то странная у них схема доступа.

Разрешаю группе админов все, запрещаю группе юзеров вебморду, себе даю все права - в итоге у меня нет прав на морду. как так то?

Хочется админам все (мой юзер входит в эту группу), остальным юзерам только файлы и качалку. никак не могу победить..

sqlite> select * from appprivrule where app='SYNO.Desktop';

2|0|SYNO.Desktop|0.0.0.0|0000:0000:0000:0000:0000:FFFF:0000:0000||

0|101|SYNO.Desktop|0.0.0.0|0000:0000:0000:0000:0000:FFFF:0000:0000||

1|100|SYNO.Desktop|||0.0.0.0|0000:0000:0000:0000:0000:FFFF:0000:0000

1|101|SYNO.Desktop|0.0.0.0|0000:0000:0000:0000:0000:FFFF:0000:0000||

0|1026|SYNO.Desktop|0.0.0.0|0000:0000:0000:0000:0000:FFFF:0000:0000||

upd

разобрался. создал новую группу, в которой запретил все что надо, и дал обычным юзерам

 

Кстати дома прокинул ssh в роутере, с работы зашел на https://tools.bartlweb.net/webssh/ и все починил :)

Edited by lemon55

Share this post


Link to post
Share on other sites
  • 0
Posted (edited)
1 час назад, lemon55 сказал:

 

Кстати дома прокинул ssh в роутере, с работы зашел на https://tools.bartlweb.net/webssh/ и все починил :)

 

Для таких целей, чтобы не открывать порт SSH наружу, я пользуюсь VPN.

На работе если надо подключиться к серваку по SSH, подключаюсь к нему по VPN, а там уже на внутренний IP адрес сервера через Putty. Безопасность прежде всего. А на просто открытый порт 22 ломятся боты, потом будешь майнить на какого нибудь китайца.

 

Рад был помочь.

Edited by Sh_Renat

Share this post


Link to post
Share on other sites
  • 0
8 минут назад, Sh_Renat сказал:

Для таких целей, чтобы не открывать порт SSH наружу, я пользуюсь VPN.

А я виртуалку в vmm, в нее по https, а из  нее в локалку.

Share this post


Link to post
Share on other sites
  • 0
Posted (edited)
9 минут назад, Olegin сказал:

А я виртуалку в vmm, в нее по https, а из  нее в локалку.

 

Это попахивает паранойей :-)

OpenVPN рулит.

Плюс его в том, что можно назначить любой порт на VPN, хоть TCP хоть UDP. Это прокатило на работе, а так у нас тоже запрещено. Никто ничего не заметил.

Edited by Sh_Renat

Share this post


Link to post
Share on other sites
  • 0
Только что, Olegin сказал:

А я виртуалку в vmm, в нее по https, а из  нее в локалку.

у меня так же, поднимаю по необходимости. только вот вебморда заблокировалась пришлось через ssh нестандартными портами ходить))

 

10 минут назад, Sh_Renat сказал:

 

Для таких целей, чтобы не открывать порт SSH наружу, я пользуюсь VPN.

На работе если надо подключиться к серваку по SSH, подключаюсь к нему по VPN, а там уже на внутренний IP адрес сервера через Putty. Безопасность прежде всего.

 

Рад был помочь.

согласен, vpn надо бы освоить. однако на рабочем компе все запрещено, в т.ч. левые порты. так что выбор не большой

Share this post


Link to post
Share on other sites
  • 0
13 минуты назад, Sh_Renat сказал:

Это попахивает паранойей :-)

OpenVPN рулит.

Не, не попахивает, мне так сподручней. VPN тоже есть для резерва.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this