tener control root con usuarios nuevos
#1
Muy buenas:

Desde hace tiempo por recomendación de qnap deshabilité la cuenta admin del nas, pero el problema es que he creado clientes como administrador y no "lo son del todo", osea que no puedo cambiar los permisos de las carpetas mediante ftp por ejemplo. o cuando quiero hacer "gestiones" desde ssh tengo que estar poniendo el comando sudo para por ejemplo hacer chmod 777 a un archivo.

La pregunta es  ¿como puedo hacer mi nuevo usuario totalmente root? Huh
Saludos
  Responder
#2
Hola
Solo se me ocurre que lo actives temporalmente, luego asignes la propiedad a otro usuario del grupo administradores y vuelvas a desactivar al admin.
Así luego ese propietario puede gestionar esas carpetas y conceder accesos a otros.[emoji848]


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w) Ʀɐɯ0η
  Responder
#3
(03-05-2022, 05:55 PM)Ganekogorta escribió: Hola
Solo se me ocurre que lo actives temporalmente, luego asignes la propiedad a otro usuario del grupo administradores y vuelvas a desactivar al admin.
Así luego ese propietario puede gestionar esas carpetas y conceder accesos a otros.[emoji848]


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)

Muy buenas:

Eso fué lo que hice, osea desde la cuenta admin creé 2 usuarios nuevos con categoría admin (osea con todos los permisos), pero no se traslada tal cuál (o yo no he visto forma de hacerlo) con nivel de root que tiene la cuenta admin por defecto (privilegio root total)

Cuando tengo que hacer cualquier cosa que implique nivel (el simple hecho de un chmod 777 a un archivo) no te lo permite, tienes que usar la cuenta admin que qnap indica que se debe de deshabilitar por la cuestión de seguridad.

Entonces la pregunta es  ¿como hacer que los usuarios tenga los mismos privilegios que la cuenta por defecto admin?
Saludos
  Responder
#4
Hola,
justo acabo de toparme estos días con el mismo problema, es bastante frustrante tener que andar habilitando el "admin". Por suerte no suele ser habitual tener que tocar esas cosas. Supongo que por eso no se pensó en principio que los usuarios de los NAS tuvieran que necesitar tanto control sobre el SO.

Yo sólo he conseguido "acercarme" lo máximo al "admin" mediante acciones de pura administración de sistemas desde la consola:

1. asignar al nuevo usuario admin el grupo principal "administrators" (QTS por defecto al crear el nuevo usuario administrador le asigna "everyone")
Código:
usermod -g administrators <usuario>

2. incluirlo, como comentas, en sudo en /usr/etc/sudoers.d (de manera persistente)
Código:
<usuario> ALL=(ALL) NOPASSWD:ALL


Con esto, y por ahora, no he encontrado nada que se me resista, al menos desde QTS, a nivel de comandos seguro que hay algo, pero de momento he trasteado bastante y no he encontrado obstáculos  Angel
No obstante, veo debate en los foros acerca de si es recomendable el deshabilitar el "admin" real, aunque no se aportan situaciones concretas ni reales. Está claro que un admin es siempre un admin. Crucemos los dedos  Exclamation Big Grin
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#5
(04-05-2022, 02:41 PM)adrolmar escribió: Hola,
justo acabo de toparme estos días con el mismo problema, es bastante frustrante tener que andar habilitando el "admin". Por suerte no suele ser habitual tener que tocar esas cosas. Supongo que por eso no se pensó en principio que los usuarios de los NAS tuvieran que necesitar tanto control sobre el SO.

Yo sólo he conseguido "acercarme" lo máximo al "admin" mediante acciones de pura administración de sistemas desde la consola:

1. asignar al nuevo usuario admin el grupo principal "administrators" (QTS por defecto al crear el nuevo usuario administrador le asigna "everyone")
Código:
usermod -g administrators <usuario>

2. incluirlo, como comentas, en sudo en /usr/etc/sudoers.d (de manera persistente)
Código:
<usuario> ALL=(ALL) NOPASSWD:ALL


Con esto, y por ahora, no he encontrado nada que se me resista, al menos desde QTS, a nivel de comandos seguro que hay algo, pero de momento he trasteado bastante y no he encontrado obstáculos  Angel
No obstante, veo debate en los foros acerca de si es recomendable el deshabilitar el "admin" real, aunque no se aportan situaciones concretas ni reales. Está claro que un admin es siempre un admin. Crucemos los dedos  Exclamation Big Grin


Perfecto... voy a hacer lo que indicas a ver si tengo suerte y me deja borrar archivos etc sin problemas.

he realizado el primer paso y me indica lo siguiente

Código:
usermod: no changes
Entiendo pues que ya estaba como administrador como indicaba en mi primer post y no está en everyone, pero igualmente no tiene permisos root.

En cuanto al 2 punto... ese archivo no me aparece.. he ido hasta la carpeta usr/etc/   y no veo el archivo sudoers.d
En etc he puesto el comando que me has indicado pero me sale el siguiente error

Código:
-sh: syntax error near unexpected token `('
TS-453BE
  Responder
#6
Tiene algo de truco, te comento.
https://wiki.qnap.com/wiki/Running_Your_...at_Startup

Entras por ssh y montas la partición base, ya que si lo creas a pelo se perderá con el siguiente reinicio (no será persistente). Con "admin" ejecutas:
Código:
mount $(/sbin/hal_app --get_boot_pd port_id=0)6 /tmp/config

Editas el fichero /tmp/config/autorun.sh y añades el contenido. Yo tengo algo como lo siguiente:
Código:
# cambiar el PS1 por defecto
sed -i "s/PS1=.*/PS1='[\\\u@\\\h \\\w] # '/" /root/.profile

# incluir al usuario "pepito" en el sudoers
mkdir /usr/etc/sudoers.d && echo "pepito ALL=(ALL) NOPASSWD:ALL" > /usr/etc/sudoers.d/pepito

El subdirectorio "/usr/etc/sudoers.d" no existe por defecto, pero así lo creas y metes el contenido de una vez. Evita la tentación de modificar directamente el /usr/etc/sudoers (es muy mala praxis y es posible que se pierdan los cambios en un upgrade del SO). Tampoco hay que modificar nada más en ningún otro fichero de /etc. Cuidado con esto.

Le das permisos de ejecución
Código:
chmod +x /tmp/config/autorun.sh

Luego pruebas a reiniciar el NAS y los cambios deberían ser persistentes. Para comprobar, lógate a la consola con el nuevo admin (yo he usado "pepito" de ejemplo) tras el reinicio:
Código:
sudo -l

Deberías obtener una salida como esta:
Código:
User pepito may run the following commands on NAS:
    (ALL) NOPASSWD: ALL

Básicamente quiere decir que te va a permitir ejecutar cualquier comando como si fueras "admin", sin pedir su contraseña y sin importar desde qué sistema te hayas conectado via ssh.

Ahora  deberías poder prescindir del usuario "admin" y ejecutar cualquier comando administrativo anteponiendo la palabra "sudo", por ejemplo:
Código:
sudo reboot

Ten en cuenta que si generas ficheros/directorios con "sudo" se crearán con los permisos efectivos de "admin".

Ya nos dices si te funciona.
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#7
Añado información que puede ser relevante sobre este tema. Básicamente otro "desliz" de Qnap con el tema de los nuevos usuario administradores, que nunca llegan a ser verdaderos "admin"  Angry

Únicamente el usuario "admin" original tiene permiso para visualizar el contenido de dispositivos externos, al menos con discos duros externos, pendrives, etc, no sé qué ocurrirá con impresoras. Lo he descubierto al intentar modificar un job de Hybrid Backup Sync, que tengo para realizarse en cuanto se conecte un disco duro externo, y el tema es que no me aparecía el contenido de las carpetas del disco, aunque me salía notificación en QTS de que se había conectado el disco. File Station tampoco me mostraba el disco externo conectado.

Para solucionarlo es bien fácil, vamos a la vista donde otorgamos permisos para las carpetas compartidas y, con el disco duro pinchado, nos aparece como si fuera una carpeta compartida más. Le damos permisos al usuario requerido y listo  Dodgy
https://forum.qnap.com/viewtopic.php?t=162621



(09-05-2022, 02:03 PM)cupra escribió: Perfecto... voy a hacer lo que indicas a ver si tengo suerte y me deja borrar archivos etc sin problemas.

he realizado el primer paso y me indica lo siguiente

Código:
usermod: no changes
Entiendo pues que ya estaba como administrador como indicaba en mi primer post y no está en everyone, pero igualmente no tiene permisos root.

En cuanto al 2 punto... ese archivo no me aparece.. he ido hasta la carpeta usr/etc/   y no veo el archivo sudoers.d
En etc he puesto el comando que me has indicado pero me sale el siguiente error

Código:
-sh: syntax error near unexpected token `('

Pudiste probar lo que te comenté?
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder




Usuarios navegando en este tema: 1 invitado(s)