Winscp连接群晖Nas为登录用户增加root管理员权限

Posted 2023-04-06

参考技术A 一般服务器为了安全禁止ssh下root账号登录，此时使用sftp登录管理服务器只能使用普通账号登录，给管理带来诸多不便，可以设置为特定普通SSH用户添加sudo权限

默认的登录是没有root权限的 ，在winscp使用scp方式登录后，想打开如root文件夹或想修改服务器文件时会出现没有权限的提示然后修改失败，如下图：

无权访问，错误码：3  服务器返回的错误信息：Permission denied 权限不允许

1.产生在群晖Nas中设置打开终端 启动 Ssh功能

2.使用putty 或win10 命令行 ssh 登录 ssh
   ssh root@192.168.0.8    其中 192.168,0.8 为你群晖nas的IP

    密码为你管理员的密码  

     root@MyNas:/etc# sudo -i     #切换为管理员身份

 现输入 你管理员的密码

     root@MyNas:/etc# cd etc   #转换到etc 目录

     root@MyNas:/etc# cp sudoers  sudoers.bak  #先备份sudoers 这个文件，以防万一

     root@MyNas:/etc# vi sudoers   #修改 sudoers 文件   进入后，按i 进入编辑插入状态

     找到这一行  

      # Allow members of group administrators to execute any command

     %administrators ALL=(ALL) ALL

     将其改为 ：%administrators ALL=(ALL) NOPASSWD: ALL

      然后按esc 键，再输入 :wq! 保存

      因为sudoers 为只读文件，如果只用:wq 保存，会提示这是只读（readonly) 无法保存，所以要wq! 强制保存

      3.然后在winscp 会话管理中进行这样的修改

       在登录窗口的点击“高级”进入高级设置：

           点 编辑 修改 站点，点高级，SCP/Shell  中修改默认为  sudo su -  

       然后保存就可以了

      4. winscp 再打开群晖Nas 的ssh, 就可以进入root的目录 及进行管理员的相关操作了

如修改文件，删除文件等

    特别注意： 为了保证安装，在不再使用winscp 时，建议最好改回sudoers 文件的内容或恢复备份文件，并且关闭 群晖 终端机 的 ssh功能  （端口也可改一下）这样保证群晖nas的安全。

查看sftp-server执行文件目录：

  cat /etc/ssh/sshd_config|grep sftp  Subsystem  sftp    /usr/libexec/openssh/sftp-server

编辑/etc/sudoers为特定用户添加执行sftp sudo权限：

  #useradmin  user ALL=NOPASSWD:  /usr/libexec/openssh/sftp-server

后续如果登录失败日记显示：

sorry, you must have a tty to run sudo ; TTY=unknown

需在/etc/sudoers内注释此行：

#Defaults    requiretty

sftp客户端设置登录以sudo权限执行sftp，下图以winscp为例：

sudo /usr/libexec/openssh/sftp-server

此时用winscp登录就是root权限了，对整个系统的文件都拥有控制权！

群晖Docker安装Portainer

参考技术A 群晖自带的Docker面板无法添加 docker.sock ，在控制面板终端机开启SSH。

登录群晖切换root用户，执行：

附：
也可以root登录后开启docker远程访问，Docker API的方式进行链接。