어떤 경우에는 거의 완전히 업데이트된 DSM 버전을 실행하는 Synology RackStation 장치를 다루고 있습니다. Synology에 익숙하다면 세부 사항을 아는 것이 좋지만 사용자 정의 Linux 배포판일 뿐이므로 꼭 알 필요는 없습니다.
첫째, 그들은 "관리자" 그룹에 속한 사람들만이 SSH를 사용할 수 있도록 어떻게든 SSH를 잠갔습니다. 정확히 무슨 일이 일어나고 있는지 잘 모르겠습니다. PAM이 의심되지만 PAM을 비활성화하고 Match의 절을 사용해 보았지만 sshd_config동작이 바뀌지 않았습니다. 플래그를 ssh사용하여 실행 하면 -vvv인증이 성공하고 연결이 종료되는 것 같습니다.그 다음에.
그래서 첫 번째 질문은 연결이 종료된 위치와 이유를 추적하는 방법입니다.
이와 무관하게 Amazon S3와의 동기화 문제가 발생하여 문제 해결 및 디버깅을 위해 Synology의 도움이 필요했습니다. 지원을 받기 위해 그들은 종종 원격 액세스를 요청합니다. 이 경우에는 보안상의 이유로 제공할 수 없습니다. 그래서 보호해야 할 데이터를 제외한 모든 것에 마운트를 바인딩하는 chroot 환경을 설정할 수 있다고 생각했습니다.
실제로 이는 테스트에서는 잘 작동했지만 SSH가 제대로 작동하려면 Synology 원격 액세스 계정이 administrators그룹의 일부여야 하며, 그렇다면 그룹에 대한 전체 액세스 권한이 있어야 합니다. 사용자는 WebUI 애플리케이션을 통해 장치의 파일에 표면적으로 액세스할 수 있습니다.
그래서 이것은 나에게 문제를 안겨줍니다. 저는 Synology와 그 직원을 신뢰하지만 기존 프로토콜은 신뢰, 관계 및 평판에 관심이 없습니다. 그들은 승인 없이는 누구도 데이터에 접근할 수 없다고 말합니다.
원격 사용자가 귀하가 소유한 장치에 대해 공개적으로 액세스해야 하지만 데이터에 대한 전체 액세스 권한을 부여하지 않거나 심지어 자신의 권한을 변경할 수 있는 권한도 부여하지 않는 경우 이 문제를 어떻게 해결합니까?
답변1
저장되어 있는 데이터를 심각하게 보호하고 싶다면 누군가가 NAS를 훔쳐갔을 경우 어떤 일이 일어날지 생각해 보아야 합니다. 데이터를 보호하는 유일한 방법은 디스크에서 데이터를 암호화하는 것입니다. 시놀로지 제공가이드이를 위해.
귀하의 경우에는 "수동 암호 해독"을 선택하고 키 파일을 별도의 시스템에 저장하여 부팅할 때마다 암호 해독 여부를 선택할 수 있습니다. 내가 이해한 바에 따르면 Synology는 ecryptfs이 메커니즘을 사용하므로 "자동 암호 해독"이 키 파일을 유지한 다음 원격 디버깅 액세스가 허용될 때 이를 수동으로 일시적으로 삭제하는 방법도 확인할 수 있습니다.