Una de las formas de controlar de forma remota un sistema NAS, al igual que ocurre con un servidor doméstico, es a través de SSH. Esto nos permite tomar el control, en modo texto, del terminal del sistema pudiendo controlar su estado mediante herramientas como htop o modificar ciertos archivos internos que, de otra forma, son inaccesibles para los usuarios. En este tutorial vamos a ver cómo activar y configurar el servidor SSH en un NAS Synology.
Habilitar el servidor SSH en un NAS es muy sencillo, sin embargo, debemos realizar unos pasos intermedios para poder utilizarlo. Esto se debe a que, por seguridad, los usuarios convencionales creados en el NAS no tienen acceso al terminal. Por ello, para poder conectarnos con un usuario distinto a «admin» o «root» vamos a tener que modificar el archivo passwd del sistema operativo de nuestro NAS para que el usuario que elijamos sí que pueda tener acceso al terminal (tanto local como remoto por SSH), pudiendo hacer uso de este protocolo sin problemas.
Habilitar el servidor SSH en DSM del NAS Synology
DSM, el sistema operativo por defecto de los NAS Synology, cuenta con un servidor SSH nativo que nos permite controlar el NAS de forma remota desde terminal, sin embargo, por motivos de seguridad, este servidor está desactivado por defecto.
Para habilitar este servidor, simplemente debemos entrar en nuestro Web Manager desde el navegador y, en el Panel de Control > Terminal y SNMP habilitaremos la casilla de servicio SSH.
Por defecto, el puerto que utilizaremos será el 22, pero si necesitamos utilizar cualquier otro podemos cambiarlo fácilmente desde la casilla que nos aparece. También es posible habilitar desde este apartado el servicio Telnet, aunque es recomendable hacer uso de SSH ya que es un protocolo más seguro y completo que este otro.
Es recomendable haber cambiado la contraseña del usuario admin para evitar que cualquier usuario no autorizado pueda conectarse de forma remota a nuestro NAS.
Permitir a otros usuarios conectarse por SSH
Ya tenemos nuestro servidor SSH habilitado, sin embargo, si hemos cambiado de usuario por motivos de seguridad, este no funcionará. Para comprobarlo simplemente debemos intentar conectarnos con nuestro usuario desde un cliente SSH y veremos cómo nos rechaza la conexión.
Esto se debe a que, por defecto, el servidor SSH solo permite la conexión a los usuarios «admin» o «root«, usuarios creados por defecto en el NAS. Si queremos permitir a otro usuario que se conecte a través de este protocolo a nuestro servidor debemos modificar el archivo de configuración de SSH para permitirlo. Si hemos seguido los tutoriales anteriores y hemos deshabilitado la cuenta «admin» debemos volver a habilitarla temporalmente para poder llevar a cabo esta tarea.
Nos conectaremos desde cualquier cliente SSH (nosotros utilizamos MobaXterm en Windows) con el usuario «root» (sin comillas) y la contraseña del usuario admin (que es la misma que la de root) de manera que logremos tomar el control remoto del terminal de nuestro NAS.
En resumen, lo que vamos a hacer a continuación es permitir a nuestro usuario «ruvelro» (en nuestro caso) que tenga acceso al terminal de NAS y poder así conectarnos de forma remota a él con este usuario, pudiendo dejar a «admin» deshabilitado.
Para ello, conectados al SSH remoto, escribiremos:
vi /etc/passwd
Veremos una lista con todos los usuarios del NAS y los parámetros de cada uno de ellos.
Si nos fijamos sobre nuestro usuario concreto, «ruvelro», podemos ver cómo al final de su línea de parámetros tenemos uno llamado «/sbin/nologin». Este parámetro indica que el usuario no tiene acceso al terminal y, por lo tanto, no puede establecer conexiones SSH.
Si queremos habilitar las conexiones SSH para nuestro usuario, debemos cambiar «/sbin/nologin» por «/bin/sh», quedando de la siguiente forma:
Guardamos los cambios pulsando la tecla ESC seguido de dos puntos y wq (código en vi para guardar cambios y salir) e Intro para confirmar. Podemos volver a abrir el archivo para comprobar que, efectivamente, se ha cambiado la línea.
Todo listo, ya podemos intentar conectarnos con nuestro usuario convencional (ruvelro, en nuestro caso) y comprobar cómo, efectivamente, ahora sí que tiene acceso al terminal SSH y podemos controlar el NAS desde él.
Ya podemos volver a desactivar la cuenta «admin» por seguridad, aunque siempre que tengamos que realizar cualquier tare administrativa deberemos volver a activarla, recordando que la contraseña de esta cuenta siempre será la misma que la de la cuenta de root.