Ubuntu (Linux) と QNAP (NAS) 間で rsync - その 3 / 3

rsync は SSH 越しでも行えるので、QNAP の SSH サーバーをセットアップすれば、「VPN を経由した NFS による rsync」(👉 その 2)という少々器用な真似をせずに済むようになる。

※ただし、QNAP の SSH は admin しかログインできない点には留意する。以下の作業ではすべて、admin で SSH 接続するためのものである。

QNAP の SSH 環境を整備する

  1. 自機側で RSA キーペアを作成する。ssh-keygen -t rsa -C "作成するキーペアに関するコメント情報"
  2. 作成したキーペアのうち、公開鍵(id_rsa.pub)の方を QNAP (NAS) へ scp コマンドで転送する。当然、この際は、QNAP 側の SSH サービスはオンにしておく必要があり、admin アカウントとパスワード認証で scp の処理を実行することになる。
    scp ~/.ssh/id_rsa.pub admin@(NAS IP Address):~ (admin にとっての ~ へコピー)
  3. SSH で QNAP に admin でログインし、~/id_rsa.pub を ~/.ssh/authorized_keys へ(追記)コピーする
    cat id_rsa.pub >> .ssh/authorized_keys
    chmod 600 .ssh/authorized_keys
    rm id_rsa.pub
    以上で、QNAP 側の準備は終わり。
  4. SSH から一旦ログアウトし、再び SSH で QNAP にログインすると、(自機側によって)パスフレーズを尋ねられる。問題なければ、ログインに成功する。これでパスワード認証ではなく、公開鍵認証によるログインができるようになった。
  5. ※自機にある作成したキーペアはちゃんと管理しておくこと(セキュリティ面と、バックアップ面の両面において)

一応、SSH を利用するための作業としては以上である。SSH というのは、公開鍵をサーバー側にアップロードしておいて(公開鍵をアップロードできるのは、本人であるという前提による)、その公開鍵(サーバー側)と暗号鍵(本人側)をペアで使って、本人認証を行うというのが基本コンセプト。

ただし実用上の問題として、QNAP ではパスワード認証によるログインの方も依然として可能な状態のままなので、セキュリティ的に好ましい状態ではない。

QNAP の SSH でパスワード認証を潰しておく

これをやろうとすると、実は結構、複雑。ネットでもいくつか情報が見つかるが、少し古かったりするせいか、そのままでは動かなかったり、また他の情報をツギハギしたような情報だったりで、イマイチ洗練されていなかったりしたので、それなりに納得行く方法に辿り着くために、工夫を要した。

1. qpkg.conf の編集

/etc/config/qpkg.conf に自動起動アプリのエントリーを追記する:1) 自機にダウンロード(scp)して、2) 編集し、3) QNAP の /etc/config にコピー(scp)して戻す。

[autorun]
Name = autorun
Version = 1.0
Author = scaredeer
Date = 2016-07-15
Shell = /share/homes/admin/autorun.sh
Install_Path = /share/homes/admin
QPKG_File = autorun.qpkg
Enable = TRUE

※起動スクリプトは、wiki の説明にあるような複雑怪奇な path に置く必要はなく、admin の home フォルダに置けばよい。この方が普通に FTP などで更新できるので、全然スマート。

2017-08-30 追記:最近、QTS をアップデートしたところ、autorun が無効になり、SSH のパスワード認証が自動で無効化されなくなった。すぐに解決方法がわからなかったので、そのまま放置していたら、今日、SSH に対する brute force 攻撃が発生し、NAS から警告メールが 5 分毎に送信され続けた(ログイン異常は 5 分間 ban する設定)。とりあえず、攻撃元の IP を永久 ban して対応したものの、やはり SSH のパスワード認証が有効なのが気になり、今日、改めて調べたら、「QNAP QTS4.3.3で自作QPKGがブロックされたので対処」という完全に一致するケースのナイスな記事を見付け出すことができ、上の qpkg.conf の QPKG_File = autorun.qpkg のエントリーを追加することで、解決した。

2. autorun.sh

下のような autorun.sh を自機で作成し、/share/homes/admin に置き(FTP、scp を使うなどする)、パーミッションを適切に設定(chmod +x)する。


#!/bin/sh

echo "Shutting down SSHd services:" 
/sbin/daemon_mgr sshd stop /usr/sbin/sshd
/usr/bin/killall sshd
rm -f /var/lock/subsys/sshd
echo "SSHd"
/bin/sed -i -e 's/#PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config
echo "Disabled SSHd Password Authentication in config file: /etc/ssh/sshd_config"
echo "Restarting SSHd services:" 
/sbin/daemon_mgr sshd start '/usr/sbin/sshd -f /etc/ssh/sshd_config -p $(/sbin/getcfg LOGIN "SSH Port" -d 22)'
echo "SSHd"

(Ref. How do I disable password access for the default SSHd?)

※1 この起動スクリプトは、sed コマンドの実行を前提とする。Entware-ng をインストールするなどして、sed が使える状態を整えておく必要がある。

※2 この起動スクリプトでは、ssh の常駐アプリを一旦停止してから、sshd_config の該当する 1 行(PasswordAuthentication)を yes から no に変更している。これもやはり、情報元では一部が間違っていてそのままでは動かなかったので、適切な形に修正してある。

3. 確認

NAS をリブートし、自機からパスワード認証ではログインできないことを確認する。

通常では、公開鍵認証で SSH が接続されてしまうので、公開鍵認証を禁止してパスワード認証で接続させるには、自機の SSH コマンド実行時に、以下のようなオプションで実行する:


ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no admin@XXX.XXX.XXX.XXX

※ポートをデフォルトの 22 から変更している場合は、ポート番号も指定する必要があることに留意する。

パスワード認証によるログインが拒絶されると、次のようなメッセージとなる。


Permission denied (publickey,keyboard-interactive).

SSH のポートの変更

以上までの作業が成功したら、最後にセキュリティのため、SSH のポートをデフォルトの 22 から変更する(QNAP の Web UI から設定する。上の autorun.sh の中での SSH Port の値は 22 のままでも、Web UI から設定したポート番号で問題なく稼動するようだ)。例えば 50022 であれば、ssh では -p 50022 という風にオプションを追加すればいいし、rsync においても -e 'ssh -p 50022' という風にすれば、ポートを指定できる。


ssh admin@XXX.XXX.XXX.XXX -p 50022

注意

最初に注記したように、以上はすべて admin アカウントで QNAP にログインすることが前提となっている。アカウントを admin 以外で行う方法は、ない(sshd_config をいじっても無理;任意のユーザーアカウントを使って SSH でログインできるようにするには、QNAP デフォルトの SSH ではなく、OpenSSH を別途インストールして使うしか方法はない)。この点はセキュリティ面での潜在的リスクであることは、よく認識しておく必要がある。QNAP のセキュリティ設定のネットワークアクセス保護機能を使うなどして、潜在的リスクに対して備えておくこと。

そして rsync

以上で、rsync から直接、SSH 経由で同期できる。NFS はもはや必要ないし、SSH をポートマップして公開すれば、VPN を経由する必要もない(さらに myQNAPcloud の機能を使えば、XXX.XXX.XXX.XXX の部分を ???.myqnapcloud.com にできる。)。


rsync -e 'ssh -p 50022' -auv --delete --progress src_folder admin@remote_address:dest_path

コメント

コメントを投稿

このブログの人気の投稿

清水俊史『上座部仏教における聖典論の研究』

清水俊史さんという仏教学者(佛教大学出身)が、東大教授(花園大学卒→東大編入 or 再入学?)の馬場紀寿氏と論争の末、アカハラ被害に遭い、さらには出版妨害に遭った(参考: 日本テーラワーダ仏教教会 事務局長 佐藤哲朗さんの YouTube 動画 )という、問題作であるこの本を読んだ。 佐藤さんが紹介している Amazon の書評リンク にもある通り、この清水さんの本は、馬場氏の(今の東大教授としての地位へとつながる博士論文を母体とした)デビュー作『上座部仏教の思想形成――ブッダからブッダゴーサへ』の内容を完全否定するものである。 主に、清水さんの本の 3 部構成のうちの第 1 部がそれ(馬場説の完全否定劇)に該当する。 総括 第 1 部では、ブッダゴーサやダンマパーラに帰せられる著作群を主な材料として、小部の成立を軸とした三蔵の形成過程を考察した。以上をまとめれば、仏滅後からブッダゴーサを経てダンマパーラに至るまでに、三蔵は次のような段階を経て成立したと推定される。 仏滅後に残された様々な教えは、仏弟子たちによって、その内容に応じて律蔵と『長部』『中部』『相応部』『増支部』という経蔵四部とに収められ、僧団内にいる長部誦者や持律師と呼ばれる専門家たちがこれを伝承していった。この律蔵・四部から漏れた様々な種類の経典(主に偈頌経典)は、他の四部に比してより在家的・通俗的な蔵外文献として伝承され、『ジャータカ』と『ダンマパダ』の例外を除いて専門の誦者や伝持者は僧団内に存在しなかった。 これら四部の外側に累積していった蔵外文献(主に偈頌経典)は、 後に経蔵の第五部「小部」として三蔵内に組み込まれるが、経蔵が五部に再編成された後も小部の構成は固定的ではなく流動的であった。そのため、小部のうちには、成立が早いとされる『スッタニパータ』『ダンマパダ』といった韻文経典のみならず、成立が遅いと考えられ る『義釈』『無礙解道』といった教理書も収められている。このような編纂事情ゆえに、上座部における小部の伝持形態は、「小部」というーまとまりのセットで伝持するという意識が希薄であり、各々の文献単位で別個に伝持されていった。 また、小部の成立だけでなく、阿毘達磨蔵七書と律蔵附随の成立も遅いことが考えられるが、これら小部・阿毘達磨蔵・律蔵附随の成立の具体的な先後関係は不明であ
続きを読む

シークエンスパパともの先見の明

イメージ
先日、シンクロニシティ的に、故・シークエンスパパともが 2 年前に行った未解決事件に対する霊視が、ギャル霊媒師飯塚唯氏が最近行った霊視と、互いに補完し合うような内容であるということを ブログに 認 したた めた ばかりである。 ところで、さらにもう一つの、パパともの霊能力に関する(僕にとって)シンクロニシティ的なタイミングで到来した情報が発生した。 シークエンスはやとものチャンネルの動画などを観るようになったのがきっかけで、YouTube のお勧めに、オカルト系のチャンネルが多数表示されるようになってきたのだが、その一つに「都市ボーイズ」という都市伝説を中心としたオカルト系チャンネルがあった。こういうものを観だしたらキリがないので、基本はスルーしていたのだが、その都市ボーイズ(放送作家の岸本誠と早瀬康広のコンビ)がチャンネルにはやともがゲストで出演して生霊鑑定を行っていたのを観たので、そこから芋蔓式に都市ボーイズのチャンネルの動画も何本か観たりするようになった。 都市ボーイズはやせの黒魔術 当初は、はやせ(早瀬康広)に「黒い呪いのようなものがまとわりついている」という、はやともの生霊鑑定の結果を深掘りすべく、関連する動画を追った。はやせは、呪物コレクターであり、その上、最近(約 10 ヶ月前に公開された動画)、「呪いを飼い馴らして、黒魔術的な力を自分のものにする」という修行というか通過儀礼を行っていたというのである。 儀式を無事に終えて台湾系の呪術師に合格が認められたはやせは、「数年以内に自動的に能力が開花し、自分で自覚するだろう」と言われたという。 都市ボーイズはやせを怒らせた霊能者 そのようなはやせを擁する都市ボーイズだが、先日、「【テレビの闇】インチキ霊能力者にテレビ出演邪魔されました!【インチキ霊能者】」という刺激的なタイトルの動画が、たまたま僕が暇だった時、公開されたばかりのタイミングで見つけてしまったので、早速その動画を観た。 約 1 年前、とある霊能者の霊的な〝脅迫〟によって、はやせはテレビ出演を直前で降板させられてしまったそうである。 僕は、テレビは観なくなって久しい人間で、それこそ霊能者というとシークエンスはやともの言う「心霊第 3 世代」の宜保愛子で止まっていて、江原啓之ですら雑誌の見出しで名前を知っ
続きを読む

シークエンスパパとも 本物の霊能力

イメージ
シークエンスはやともを知ったきっかけ TV を見ない僕がシークエンスはやとも(YouTuber。吉本興業所属)の存在を知ったのは、今年の春(3 月か 4 月)の頃だったと思うが、YouTube でふと宜保愛子の動画を探していて、彼が宜保愛子を称賛するものを見つけて以来だったと思う。 それ以来いくつかの彼の動画をちょくちょく観るようになって、彼の霊能力が父親(シークエンスパパとも)譲りであり、パパともも息子のはやともに勧められて(癌闘病の傍ら)YouTuber として活躍していたのだが、残念ながら今年 1 月末に逝去していた、ということなどを知るようになった。 シークエンスパパともを知ったきっかけ はやとも流れでパパともの動画を観るきっかけになったのは、画面脇のお勧めに出ていた親子対談の動画を見たのが切っ掛けだった。 そこでのパパともの宮本武蔵に関するコメント(「晩年の宮本武蔵は一生懸命仏像を彫ったりしていたが、(若い頃)子供の道場主を殺したりしていたことによる怨霊は除霊できなかった」)に少しシビれた。息子のはやともが、まだ若いせいもあって、ちょっと話がマクロな(思想論や社会論的な)方向に行くと、厨二病的な傾向があるのには食傷気味な感じがあった。一方で、パパともの宗教・倫理観的な考えの方がその点、人間的な深さを感じるものがあったので、それがパパともに興味を引かれたきっかけだった。 パパともの霊能力に衝撃を受けた理由 そこで、初めて、パパとものチャンネルの動画もいくつか観たりしたのだが、「未解決事件を霊視する」という中々に攻めた企画を初期にやっていて興味深かったのだが、中に、上野の不忍池での事件(僕自身はこの 2006 年の事件については知らなかった)を扱ったものがあった: 「あっ!」と思ったのが、奇しくも前日(2023-06-28)、全く別のチャンネルの別の動画で、霊媒師が同じ事件を霊視するという企画のものを観ていたのだった: 千原せいじの YouTube チャンネルで、彼がコラボをしている飯島唯という通称・ギャル霊媒師の方が霊視をしている。 パパともの動画は 2021-05-12 と 2021-05-15 に公開されたものであるのに対し、ギャル霊媒師の動画は 2023-06-28 公開であり、僕はたまたま公開
続きを読む