Alle Beiträge von Don Matteo

lebt in der Schweiz, ist System Engineer MCP bei A-Enterprise GmbH. Mitglied des UNBLOG Network. Author und Blogger zu den Themen, Linux und Open Source. Tutorials für Windows, VMware, Synology, Fortinet.
Synology Tutorials

Nano auf Synology NAS Installieren

Home
3 Kommentare

Nano Editor im Synology DSM Terminal Shell anwenden

Dieser Beitrag zeigt wie man Nano auf einer Synology DiskStation bereitstellt, für das editieren in der Synology Shell über SSH. Für Anwender die des VIM Editors nicht bemächtigt sind, gibt es Abhilfe in dem man den oft bevorzugten Editor Nano installiert, da Nano einfacher anzuwenden ist als VIM. Erfreulicherweise lassen sich zum Synology NAS problemlos zusätzliche Software-Repositorys hinzufügen um so Nano und weitere Tools, wie den Midnight Commander zu installieren.

Nano wird nicht von Synology selbst bereitgestellt oder verwaltet, kann jedoch aus dem SynoCommunity-Repository abgerufen werden. Die SynoCommunity bietet kostenlose Pakete für Synology NAS-Geräte.

So fügt man das SynoCommunity-Repository hinzu

Synology Main Menu

Aus DSM öffnet man das Hauptmenü mit dem Symbol oben Links, dort findet sich das Paket-Zentrum.

Synology Package Center

Mit klick auf das Icon Paket-Zentrum dieses öffnen, dann auf Schaltfläche Einstellungen.

Synology Paket-Zentrum

Im nun geöffneten Fensterabschnitt Allgemein unter Vertrauensebene, die Option „Synology Inc. und vertrauenswürdige Herausgeber“ aktivieren.

Synology Inc. und vertrauenswürdige Herausgeber

Dann zum Abschnitt Paketquellen gehen.

Synology Packetquellen

Die Schaltfläche Hinzufügen klicken und die Paketquelle hinzufügen, als Name SynoCommunity eintragen und bei Ort die URL https://packages.synocommunity.com/ einfügen und auf OK klicken.

Synology Paketquellen Hinzufügen

Nun können Pakete installiert werden. Das Paket SynoCli File Tools bietet die folgenden Befehlszeilen-Dienstprogramme: less, tree, ncdu, jdupes, rhash, mc (midnight-commander), nano, file, detox, rmlint, rnm, pcre2, zstd. Nano war früher ein separates Paket, ist nun jedoch nur über das SynoCli File Tools-Paket verfügbar.

Synocli File Tools

Jetzt kann man sich mit einem Terminal wie PuTTY zur DiskStation verbinden und in der Shell mit nano Dateien editieren, beispielweise die SSH-Server Konfigurationsdatei.

diskstation:/$ sudo nano /etc/ssh/sshd_config

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password:

Mit dem Admin Passwort was sudo verlangt, wird hier die Datei sshd_config in den Editor geladen.

use_nano_in_synology_dsm

Nach dem editieren drückt man die Tasten Ctrl + X, dabei fragt Nano ob die Änderung gespeichert werden soll, was ggf. mit Y bestätigt werden kann, ansonsten kann N gewählt werden.

  Denke daran, Änderungen an Systemdateien verlangen Kenntnisse über die Funktion und deren Auswirkungen.

Synology DSM SSH-Dienst aktivieren

Damit der Terminal Zugang über SSH möglich wird, muss in der DSM Systemsteuerung, unter Terminal & SNMP der SSH-Dienst aktiviert werden, um das Icon Terminal & SNMP sichtbar zu machen, wird rechts oben Erweiterter Modus gewählt.

synology systemsteuerung terminal

Anschlissend im Fenster Terminal die Option SSH-Dienst aktivieren.

synology systemsteuerung ssh-dienst
Workaround Tutorials

Lets Encrypt-Zertifikat mit ACME2 auf Windows Server

Home
Schreibe einen Kommentar

Installation des Lets Encrypt-Zertifikat mit ACME2 auf Windows Server

Let’s Encrypt ist ein Aussteller für freie SSL-Zertifikate, Ende 2015 in Betrieb gegangen, erfreut sich die CA Zertifizierungsstelle für kostenlose Zertifikate grosser Beliebtheit, anfänglich für Linux, gibt es sie nun auch für Windows. Mit ACME 2 lässt sich zudem das Management von SSL/TLS-Zertifikate weitgehend auto­matisieren.

Installation von ACMEv2

win-acme-pluggable

ACMEv2 beinhaltet kein Setup zur Installation, das win-acme Paket wird von hier auf den Server herunter­geladen und in ein beliebiges Verzeichnis entpackt. Das Verzeichnis sollte danach nicht mehr verändert werden, da der Pfad für die Rezertifizierung benötigt wird.

Wie bei der früheren Version handelt es sich bei der aktuellen Version um ein in der Kommando­zeile geführtes Tool mit Menüs, so dass es sich etwa auch unter Server Core ausführen lässt. Gestartet wird win-acme über den Aufruf von wacs.exe.

Lets Encrypt Zertifikat anfordern

Bei der interaktiven Anforderung eines Zertifikats mit win-acme über den Simple Mode ist der Vorgang weitgehend gleich wie mit der vorgänger Version 1. In diesem Beispiel wird ACME 2 auf einem Windows Server 2019 mit der IIS-Rolle ausgeführt.

Für die Verifizierung der Domäne wird hier die Bindung konfiguriert, aus dem Internetinformationsdienste (IIS)-Manager – InetMgr.exe.

Internetinformationsdienste (IIS)-Manager
Abbildung: Internetinformationsdienste (IIS)-Manager

Nach ausführen von wacs.exe wählt man die Option N, um ein neues Zertifikat mit den Standard­einstellungen zu erzeugen. Dabei sucht win-acme nach den Bindungen im IIS. Sind keine Bindungen konfiguriert bricht win-acme den Vorgang ab.

Lets encrypt acme Console bei Windows - letsencrypt.exe

Im nächsten Schritt wählt man die IIS-Website aus, für die man das Zertifikat anfordern und ausstellen möchte.

Im Schritt darauf ist zu entscheiden, ob alle Bindungen oder nur bestimmte IIS-Websites verwendet werden sollen. Im zweiten Fall wählt man diese über einen Filter aus.

Nach einer weiteren Bestätigung startet die Zertifikats­anforderung. Um die Autorität der Domain zu verifizieren, nutzt win-acme die Methode http-01. Dabei erhält der Client von Let’s Encrypt ein Token, diesen er in eine Datei auf dem lokalen Server schreibt, die danach von Let’s Encrypt ausgelesen wird.

   Let’s Encrypt erwartet den Token über HTTP aus der Datei auszulesen. Daher erfordert win-acme auf der Firewall die Freigabe für Port 80 zum Server.

Das Zertifikat befindet sich nach dem erfolgreichen Abschluss des Vorgangs im Zertifikatsspeicher des Servers. Zusätzlich speichert win-acme das Zertifikat im PEM und PFX-Format unter folgendem Pfad ab.

C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org

Die Autorität der Domäne, für die man ein Zertifikat anfordert, muss man nicht nur bei der Erst­ausstellung nachweisen, sondern auch alle 3 Monate für die Erneuerung des Zertifikats.

In den häufigsten Situationen ist es nicht erwünscht, dass ein Server nur für die Anforderung eines Zertifikates ohne Schutz dauerhaft auf Port 80 aus dem Internet erreichbar ist. Hier wäre die Nutzung eines Proxys oder einer temporären Port Freigabe zu erwägen.

Um das Freigeben von Port 80 auf der Firewall zu umgehen, gibt es die Möglichkeit, statt http-01 den Challenge zu wechselen. Hier bietet sich vor allem DNS-01 an, dabei wird das Token als TXT-Record im DNS eingetragen.

_acme-challenge.<MEINE_DOMAIN>

Diese Methode hat zudem den Vorteil, dass sich damit Wildcard-Zertifikate ausstellen lassen. Voraus­setzung für DNS-01 ist natürlich, dass die betreffende Domain extern gehostet wird und somit für Let’s Encrypt zugänglich ist.