NAS D-Link DNS 320. Настройка доступа по SSH.

По итогам обзора интерфейса NAS'a захотелось узнать, а возможно ли к нему получить рутовый доступ и установить свои приложения. Гугл подсказал, что всё уже давно придумали , и даже сайт со специальной тематикой есть nas-tweaks.net .
Оказывается, производитель предусмотрел возможность появления желания у владельца сетевого хранилища установить необходимые пакеты и приложения. Достаточно положить в корень диска скрипт с названием fun_plug.
Один немецкий товарищ уже все сделал, поэтому воспользуемся готовым решением. Оригинал статьи примера установки здесь.


Качаем два файла и помещаем их в корень раздела Volume_1 (главное - НЕ переименовывать):

1. http://inreto.de/dns323/fun-plug/0.7/arm/fun_plug.tgz
2. http://wolf-u.li/u/433

 

После чего делаем перезагрузку устройства.

После перезагрузки должны появиться каталог ffp и файл лога ffp.log:

**** fun_plug script for DNS-323 (2008-08-11 tp@fonz.de) ****

**** fun_plug script modded by Uli (2012-02-21 ffp@wolf-u.li) ****

Thu Feb 14 22:09:04 MAGT 2013

ln -snf /mnt/HD/HD_a2/ffp /ffp

* Installing /mnt/HD/HD_a2/fun_plug.tgz ...

* OK

* Running /ffp/etc/fun_plug.init ...

* Running /ffp/etc/rc ...

* /ffp/start/SERVERS.sh inactive

* /ffp/start/portmap.sh inactive

* /ffp/start/nfsd.sh inactive

* /ffp/start/LOGIN.sh inactive

* /ffp/start/telnetd.sh ...

Starting /ffp/sbin/telnetd -l /ffp/bin/sh

* /ffp/start/sshd.sh inactive

* /ffp/start/rsyncd.sh inactive

* /ffp/start/kickwebs.sh inactive

* /ffp/start/lighttpd.sh inactive

* /ffp/start/inetd.sh inactive

* /ffp/start/fp_master.sh inactive

* OK

Структура каталога ffp:

После установки запускается telnet, благодаря чему можно получить рутовый доступ к хранилищу по сети:

telnet 172.16.0.10

Trying 172.16.0.10...

Connected to 172.16.0.10.

Escape character is '^]'.

sh-4.1#

Меняем пароль рута:

sh-4.1# usermod -s /ffp/bin/sh root

sh-4.1# mkdir -p /ffp/home/root/

sh-4.1# sed -ie 's#:/home/root:#:/ffp/home/root:#g' /etc/passwd

sh-4.1# pwconv

sh-4.1# passwd

Changing password for root

Enter the new password (minimum of 5 characters)

Please use a combination of upper and lower case letters and numbers.

New password:

Re-enter new password:

passwd: password changed.

Проверяем правильность выполненных выше действий

sh-4.1# login

nas login: root

Password:

No mail.

root@nas:~# 

Необходимо сохранить пароль в NAS, иначе он исчезнет после перезагрузки (для этого тоже есть готовый скрипт):

root@nas:~# wget http://wolf-u.li/u/172/ -O /ffp/sbin/store-passwd.sh

--2013-02-15 00:01:26-- http://wolf-u.li/u/172/

Resolving wolf-u.li... 2a01:488:66:1000:53a9:2a6a:0:1, 83.169.42.106

Connecting to wolf-u.li|2a01:488:66:1000:53a9:2a6a:0:1|:80... failed: Address family not supported by protocol.

Connecting to wolf-u.li|83.169.42.106|:80... connected.

HTTP request sent, awaiting response... 302 Moved Temporarily

Location: http://wolf-u.li/downloads/3779-d2ee273e64e3c3166139f56fbb100067/store-passwd.sh [following]

--2013-02-15 00:01:27-- http://wolf-u.li/downloads/3779-d2ee273e64e3c3166139f56fbb100067/store-passwd.sh

Connecting to wolf-u.li|83.169.42.106|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 875 [application/octet-stream]

Saving to: `/ffp/sbin/store-passwd.sh'

100%[====================================================================================================================================================================================================>] 875 --.-K/s in 0s

2013-02-15 00:01:27 (16.0 MB/s) - `/ffp/sbin/store-passwd.sh' saved [875/875]

Сохраняем пароль:

root@nas:~# store-passwd.sh

Saving Userdata to /usr/local/config/

Включение SSH

Для этого необходимо сделать скрипт исполняемым и запустить вручную (после запуска сгенерируются 4!!! пары ключей)

root@nas:~# chmod a+x /ffp/start/sshd.sh

root@nas:~# sh /ffp/start/sshd.sh

Usage: sshd.sh start|stop|restart|status

root@nas:~# sh /ffp/start/sshd.sh start

Generating public/private rsa1 key pair.

...

Starting /ffp/sbin/sshd

Теперь подключаемся по SSH и отключаем Telnet:

ssh root@172.16.0.10

root@nas:~# sh /ffp/start/telnetd.sh stop

Stopping telnetd

root@nas:~# chmod -x /ffp/start/telnetd.sh

Важные замечания

Выполнение скрипта fun_plug создает новую группу пользователей utmp.

Скрипт, который устанавливает SSH-сервер, создает нового пользователя sshd и добавляет его в группу utmp. Этот пользователь только для внутреннего использования, поэтому не имеет возможности залогиниться (/sbin/nologin). Также этот пользователь имеет доступ на чтение по FTP к разделу Volume_1. Однако это не означает, что пользователь sshd действительно имеет доступ по FTP — вроде это баг.

 

Проблемы при подлючении к серверу терминалов

На клиентском ПК (ОС: Windows XP + SP3) при попытке подключиться через RDP к серверу терминалов появляется сообщение:

"удаленный сеанс отключен из-за отсутствия доступных лицензий клиента сервера терминалов для этого компьютера".

Решение:

На клиентском ПК в реестре находим
HKLM->Software->Microsoft->MSLicensing
1.  создаем бэкап с помощью  "экспортировать".
2.  удаляем MSLicensing

Если при повторной попытке подключения к серверу терминалов появляется ошибка:

«Удаленный компьютер отключил сеанс, из-за ошибки в протоколе лицензирования. Попытайтесь подключиться к удаленному компьютеру снова или обратитесь к администратору сервера».

Причина: при этом подразделы HardwareID и Store внутри MSLicensing не создаются из-за недостаточных привилегий пользователя. 

Решение:  подключиться к серверу терминалов из-под доменного администратора. В результате создадутся нужные разделы и можно подключаться от обычного пользователя.

Удаленное управление с помощью PsTools

Замечательный набор утилит PsTools от Марка Руссиновича позволяет выполнять множество различных административных задач с одного рабочего места.

В состав входит:

• PsExec — позволяет удаленно выполнять процессы;
• PsFile — показывает удаленно открытые файлы;
• PsGetSid — выводит идентификатор безопасности (SID) компьютера или пользователя;
• PsInfo — выводит информацию о системе;
• PsKill — позволяет завершать процессы по имени или идентификатору процесса;
• PsList — выводит подробную информацию о процессах;
• PsLoggedOn — позволяет просматривать данные о том, кто зарегистрирован в системе локально или в результате использования общих ресурсов (в комплект загрузки входит полный исходный текст программы);
• PsLogList — позволяет выгрузить записи из журнала регистрации событий;
• PsPasswd — позволяет менять пароли учетных записей;
• PsService — позволяет просматривать информацию о службах и управлять ими;
• PsShutdown — позволяет выключить и при необходимости перезагрузить компьютер;
• PsSuspend — позволяет приостанавливать процессы;
• PsUptime — показывает время работы системы с момента последней перезагрузки (в программу PsInfo включены функциональные возможности PsUptime).

Основное использование - связка PsExec + скрипты командной строки. Позволяет:

1. произвести инвентаризацию сети в несколько шагов
2. установить/обновить/удалить некоторые приложения
3. добавить/изменить/удалить учетные данные пользователей

Первый пункт опишу на примере создания отчетов AIDA64 на каждой рабочей станции домена:

шаг 1

в сетевой папке выбирается каталог, доступный всем на чтение и запись, например, путь к нему будет \\SRV\SHARE.

шаг 2

в сетевую папку, созданную на шаге 1 закидывается скрипт do_report.cmd, запускающий AIDA64 на рабочей станции:

set AIDA_APP=\\SRV\SHARE\AIDA64BE\aida64.exe
set REPORT_DIR=\\SRV\SHARE\AIDA64BE\reports

%AIDA_APP% /R %REPORT_DIR%\$MONTH_$HOSTNAME /TEXT /SILENT


шаг 3

На третьем шаге запускаем скрипт, созданный на шаге 2, на нужных хостах. Надо помнить, что одно дело, запуск на рабочей станции, и другое - на нагруженном сервере. Поэтому формировать заранее список хостов.

PsExec.exe -c @hosts.txt -u DOMAIN\DOMAIN_ADMIN \\SRV\SHARE\do_report.cmd

Важно: для хостов "новее" XP следует добавить ключ -h.


По поводу пункта 2 - замечательное применение для обновления Adobe Flash Player (постоянные проблемы с безопасностью приводят к частому выходу обновлений, установку которых пользователи обычно откладывают).
Flash Player поставляет в двух вариантах:

1. Flash Player для ActiveX (Internet Explorer) - install_flash_player_ax.exe
    
2. Подключаемый модуль Flash Player (Все остальные браузеры) - install_flash_player.exe

Также понадобится утилита для удаления Adobe Flash Player: uninstall_flash_player.exe

Аналогично помещаем все эти утилиты в сетевую папку, доступную всем, и запускаем на хостах удаление:

PsExec.exe @hosts_flash.txt -d -c \\SRV\SHARE\soft\adobe\uninstall_flash_player.exe "-uninstall"

После удаления старой версии можно (а может не стоит :) ) установить последнюю скачанную:

PsExec.exe @hosts_flash.txt -d -c \\SRV\SHARE\soft\adobe\install_flash_player_ax.exe "-install"

После можно проверить версию плеера или его наличие в системе с помощью утилиты PsInfo:

C:\toolz>PsInfo.exe -s | findstr /I adobe

PsInfo v1.77 - Local and remote system information viewer
Copyright (C) 2001-2009 Mark Russinovich
Sysinternals - www.sysinternals.com

Adobe Reader X (10.1.5) - Russian 10.1.5

Пункт 3 - использование для поиска пользователей, входящий в группу локальных администраторов:

PsExec.exe  @hosts.txt net localgroup Администраторы

А также для удаления пользователей из группы локальных администраторов:

PsExec.exe  \\TESTPC net localgroup Администраторы testuser1 /delete

или отключения учетной записи:

PsExec.exe  \\TESTPC net net user testuser2 /active:no

NAS D-Link DNS 320. Интерфейс.

В первой статье данный девайс был описан только внешне. В данной статье будет описан веб-интерфейс управления.

Вход

Нажимаем Login и попадаем в панель управления:

Обновление прошивки

Качаем последнюю прошивку с офсайта ftp://ftp.dlink.ru/pub/NAS/DNS-320/Firmware/DNS-320_A2_FW_v2.03b03.rar .

Распаковываем архив. Переходим в раздел «Firmware Upgrade», выбираем файл с прошивкой и нажимаем Apply

Процесс прошивки:

Результат обновления прошивки после перезапуска:

Общая настройка

После обновления прошивки можно перейти к настройке. Можно использовать мастер или вручную.

Далее описаны шаги мастера настройки:

 

На первом шаге предлагается установить пароль для админа, но уже на этом пункте можно споткнуться - ограничение на алфавит допустимых символов:

Далее предлагается настроить временную зону:

На следующем шаге можно настроить сеть :

Настройки имени хоста:

Для работы с оповещениями потребуется почта:

Ну и завершение:

Nmap-скан системы

Ради интереса просканим свежеустановленную систему

Nmap scan report for 172.16.0.82

Host is up (0.00017s latency).

Not shown: 65532 closed ports

PORT STATE SERVICE VERSION

80/tcp open http lighttpd

|_html-title: Site doesn't have a title (text/html).

139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)

443/tcp open ssl/http lighttpd

|_html-title: Site doesn't have a title (text/html).

445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)

MAC Address: 00:11:22:33:44:55 (Unknown)

Device type: general purpose

Running: Linux 2.6.X

OS details: Linux 2.6.22 (ARM)

Network Distance: 1 hop

Host script results:

|_nbstat: NetBIOS name: DLINK-841185, NetBIOS user: <unknown>, NetBIOS MAC: <unknown>

|_smbv2-enabled: Server doesn't support SMBv2 protocol

| smb-os-discovery:

| OS: Unix (Samba 3.2.8)

| Name: Unknown\Unknown

|_ System time: 2001-05-30 12:50:41 UTC+0

HOP RTT ADDRESS

1 0.17 ms 172.16.0.82

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 15.14 seconds

 

Настройка диска

После начальной настройки переходим к настройке диска. Можно также пройтись с помощью мастера.

На первом шаге предлагается выбрать диск для дальнейшей его обработки:

На втором шаге можно выбрать тип конфигурации диска (если два диска, то можно подумать о выборе RAID'a)

Создание раздела:

Предупреждение о том, что после форматирования все данные на диске будут удалены:

Форматирование:

Пятый шаг проходит незаметно - в системе появляется раздел с файловой системой, об этом выдается оповещение.

Завершение:

Управление пользователями

Все основные задачи администрирования расположены в разделе "Account Management". Здесь можно создать пользователей и их группы, назначить права, размер квот и создать сетевые папки (общие или личные в зависимости от установленных прав).

Создание пользователя

Новый пользователь добавляется с помощью мастера:

Сперва задается имя с паролем (необходимо помнить про ограниченный набор символов):

Если существует группа пользователей, то на втором шаге при необходимости можно назначить группы, в которые будет входить создаваемый пользователь:

На третьем шаге можно назначить права пользователя на доступные сетевые папки

и посредством каких служб можно к ним получить доступ

Также можно назначить лимит по использованию дискового пространства (будут применен, если служба управления квотами будет включена - см. следующий пункт "Настройка квот"):

Завершение

Настройка квот

По умолчанию управление квотами отключено. Настройки квот доступны в соответствующем разделе "Quotas":

Создание общих папок

По умолчанию весь диск расшаривается как сетевая папка с названием имени раздела — Volume_1. Эта шара доступна всем пользователям с правами на запись-чтение. Это удобно для обычного пользователя, и если этот пользователь всего один. С точки зрения админа всегда в голове мелькает здравая мысль - сначала запретить все, а потом разрешать по необходимости.

Для этого необходимо Volume_1 удалить из списка шар.

Создание шары для пользователя worker, он будет выступать ее владельцем, и только он будет иметь соответствующие права.

Указываем, что каталог создается для определенных пользователей:

Указываем права пользователей на создаваемую шару:

и права группы пользователей (если таковая есть)

На третьем шаге можно задать дополнительные опции. Oplocks — включена по умолчанию, включил опцию Recycle (аналог виндовой "Корзины"):

Через какие службы будет доступна сетевая папка (отключил включенный по умолчанию FTP):

 И завершение:

ТЕСТЫ

Субъективные тесты передачи файлов по сети.

При копировании по сети большого числа файлов mp3 скорость была стабильно такой:

Копирование большого количества мелких файлов:

Копирование большого количества больших файлов (образы, видео и т. п.):

Одновременно несколько заданий копирования:

Настройка приложений

-->

Доступны следующие приложения

 

-->

Настройка P2P

Находится в разделе Applications->P2P Downloads.

Настраивать особо нечего (по сравнению с тем же Transmisson):

 

-->

В настройках порта указано, что можно выбирать в диапазоне 10000-65000, но на самом деле:

 

-->

Еще один минус — нельзя указать путь к каталогу для сохранения торрентов. Вместо этого указывается доступные разделы (в случае одного диска — Volume_1), в итоге на нем создается каталог P2P (!доступный с помощью всех возможных служб) с тремя подкаталогами:

• complete
• incomplete
• Torrent

Ну и вкладка Downloads, на которой можно добавить торрент на закачку:

-->

В целом возникает желание поискать способ установки на данный девайс Transmisson .

NAS D-Link DNS 320. С первого взгляда.

Недавно решил сменить домашнюю файлопомойку (на 478-м сокете с Pentium-4, 1 Гб ОЗУ и 2x160 Гб на борту) на что-нибудь поменьше и не такое шумное.
Магазины выбором не богаты, тем более при желании потратить как можно меньше. По низкой цене привлек вариант D-Link DNS 320. Но проспав вспышку перед Новым годом (их очень быстро расхватали), получилось купить только в начале февраля.
Чтобы не заморачиваться со старыми винтами (тем более от разных вендоров и повидавших много чего), на следующий день решил купить новый винт объемом 1Тб.
В итоге затраты составили 4980 руб.:

1. D-Link DNS 320 - 2760 руб.
2. WD10EZRX - 2220 руб.

Что находится в коробке:

Задняя панель девайса:

Открыв верхнюю крышку:

Добавив винт:

Подключив к сети:

Вот блок питания: