SSH-Schlüssel auf UGREEN NAS einrichten: Login ohne Passwort

Mit der SSH-Schlüsselauthentifizierung kannst du über SSH auf dein UGREEN NAS zugreifen. Auf einem UGREEN NAS unter UGOS Pro sind dabei zwei Besonderheiten zu beachten: Der persönliche Ordner des Benutzers muss vorab aktiviert sein, und die Dateiberechtigungen im Home-Verzeichnis können nach Neustarts oder Systemänderungen zu offen für OpenSSH sein.

Kurzantwort: SSH-Key-Login auf UGREEN NAS einrichten

1. SSH-Dienst in UGOS Pro aktivieren unter Systemsteuerung → Terminal.
2. Persönlichen Ordner des Benutzers aktivieren unter Systemsteuerung → Benutzer.
3. SSH-Schlüssel auf dem Client erstellen.
4. Öffentlichen Schlüssel auf das NAS kopieren.
5. Berechtigungen auf dem NAS korrigieren.
6. Verbindung testen. Wenn die Anmeldung ohne Passwort-Abfrage funktioniert, ist der Schlüssel korrekt eingerichtet.
7. Nach einem Neustart erneut testen. In bestimmten UGOS-Pro-Konfigurationen können die Home-Verzeichnis-Berechtigungen beim Booten zurückgesetzt werden. Erst wenn der Login auch nach einem Reboot ohne Passwort funktioniert, ist die Einrichtung abgeschlossen.

Warum SSH-Schlüssel auf einem UGREEN NAS sinnvoll sind

• Weniger Angriffsfläche: Client authentisiert sich mit privatem Schlüssel statt mit NAS-Kontopasswort.
• Bessere Automatisierung: rsync, SFTP, Skripte laufen ohne manuelle Passworteingabe. Bei Automatisierung ggf. Schlüssel ohne Passphrase, bei interaktiven Logins Passphrase + ssh-agent.
• Nachvollziehbarkeit: Ein Schlüssel pro Gerät zeigt, wer zugegriffen hat. Bei kompromittiertem Gerät wird nur dieser Schlüssel widerrufen.

Voraussetzungen: SSH-Dienst, Home-Ordner und Admin-Konto

Bevor du SSH-Schlüssel einrichtest, müssen vier Voraussetzungen auf dem NAS-Speicher und auf deinem Client-Rechner erfüllt sein.

SSH-Dienst in UGOS Pro aktivieren

Melde dich bei UGOS Pro an und gehe zu Systemsteuerung → Terminal. Aktiviere den SSH-Dienst und notiere die eingestellte Portnummer. Falls du den SSH-Dienst noch nicht eingerichtet hast, findest du die vollständige Anleitung inklusive Portwahl und Sicherheitshinweisen in unserem Beitrag zum SSH-Root-Zugriff auf dem UGREEN NAS.

Persönlichen Ordner für den Benutzer aktivieren

SSH-Schlüssel werden im Home-Verzeichnis des Benutzers gespeichert (~/.ssh/authorized_keys). Damit dieses Verzeichnis existiert, muss der persönliche Ordner in UGOS Pro aktiviert sein. Gehe dazu zu Systemsteuerung → Benutzer und aktiviere den persönlichen Ordner für das Konto, mit dem du dich per SSH anmelden willst.

Terminal und SSH-Client vorbereiten

Du brauchst ein Benutzerkonto mit Administratorrechten in UGOS Pro.

Auf deinem Client-Rechner benötigst du ein Terminal mit SSH-Client:

• macOS und Linux: Terminal ist vorinstalliert, SSH-Client ist enthalten.
• Windows 10/11: PowerShell enthält seit Windows 10 einen integrierten OpenSSH-Client.

Fallback-Zugang vor Änderungen prüfen

SSH-Konfigurationsänderungen können dich im schlimmsten Fall vom NAS aussperren. Bevor du beginnst, stelle sicher, dass du einen alternativen Zugangsweg hast:

• Die UGOS-Pro-Web-Oberfläche ist über den Browser erreichbar (unabhängig von SSH).
• Du kennst die IP-Adresse des NAS und das Administratorpasswort.
• Während der Einrichtung bleibt mindestens eine bestehende SSH-Sitzung offen, damit du bei Fehlern korrigieren kannst, ohne dich neu anmelden zu müssen.

SSH-Schlüssel auf Windows, macOS oder Linux erstellen

SSH-Schlüssel bestehen aus zwei Teilen: einem privaten Schlüssel, der auf deinem Client-Rechner bleibt, und einem öffentlichen Schlüssel, der auf das NAS kopiert wird. Beim Login prüft OpenSSH, ob der private Schlüssel zum hinterlegten öffentlichen Schlüssel passt. Ein Passwort wird dabei nicht übertragen.

Empfohlener Befehl für macOS, Linux und Windows PowerShell

Öffne ein Terminal auf deinem Client-Rechner und führe folgenden Befehl aus:

ssh-keygen -t ed25519 -C "mein-laptop"

Nach dem Ausführen fragt ssh-keygen nach einem Speicherort. Der Standardpfad (~/.ssh/id_ed25519) ist in den meisten Fällen richtig. Bestätige mit Enter. Danach wirst du nach einer Passphrase gefragt.

Passphrase oder keine Passphrase?

Bei der Erstellung fragt ssh-keygen nach einer Passphrase. Falls jemand Zugriff auf deinen Laptop bekommt, kann er den Schlüssel ohne Passphrase direkt verwenden. Mit Passphrase ist der Schlüssel selbst dann nutzlos, solange die Passphrase unbekannt ist.

Öffentlichen Schlüssel auf das UGREEN NAS kopieren

Nachdem du den SSH-Schlüssel auf deinem Client erstellt hast, muss nur der öffentliche Schlüssel auf das UGREEN NAS kopiert werden. Der private Schlüssel bleibt auf deinem Computer. Kopiere niemals die Datei ohne .pub auf das NAS.

Methode 1: Schlüssel per ssh-copy-id übertragen

Der schnellste Weg auf macOS, Linux und Windows PowerShell:

ssh-copy-id -p PORT username@NAS_IP

Ersetze PORT durch deine SSH-Portnummer und username@NAS_IP durch dein Administratorkonto und die IP-Adresse des NAS. Der Befehl fragt einmalig nach deinem NAS-Passwort, erstellt auf dem NAS das Verzeichnis ~/.ssh, legt die Datei authorized_keys an und fügt den öffentlichen Schlüssel ein.

Methode 2: Schlüssel manuell in authorized_keys eintragen

Melde dich zuerst per SSH mit Passwort auf dem NAS an:

ssh -p PORT username@NAS_IP

Erstelle das .ssh-Verzeichnis und die authorized_keys-Datei, falls sie noch nicht existieren:

mkdir -p ~/.ssh
touch ~/.ssh/authorized_keys

Öffne auf deinem Client-Rechner in einem zweiten Terminal den öffentlichen Schlüssel und kopiere den Inhalt:

cat ~/.ssh/id_ed25519.pub

Die Ausgabe ist eine einzelne Zeile, die mit ssh-ed25519 beginnt und mit deinem Kommentar endet. Kopiere diese Zeile vollständig.

Füge den Schlüssel auf dem NAS in die authorized_keys-Datei ein:

echo "HIER_DEN_KOPIERTEN_SCHLÜSSEL_EINFÜGEN" >> ~/.ssh/authorized_keys

UGOS Pro: Warum SSH-Schlüssel nach einem Neustart nicht mehr funktionieren

In UGOS-Pro-Konfigurationen setzt das System die Berechtigungen des persönlichen Home-Verzeichnisses beim Neustart oder nach Firmware-Updates auf den Standardwert 0777 zurück. Damit ist das Verzeichnis für alle Benutzer beschreibbar. OpenSSH kann den Schlüssel-Login dann ablehnen, obwohl der öffentliche Schlüssel korrekt in ~/.ssh/authorized_keys liegt.

Prüfe deshalb nach jedem Reboot, ob die Anmeldung weiterhin ohne NAS-Kontopasswort funktioniert.

Systemd-Service zum Korrigieren der SSH-Berechtigungen

Ein systemd-Service führt ein Reparaturskript beim Systemstart automatisch aus. Erstelle zuerst das Skript und dann die zugehörige Service-Datei.

Schritt 1: Skript anlegen

Erstelle eine Datei unter /usr/local/bin/fix-ssh-permissions.sh mit Root-Rechten:

sudo nano /usr/local/bin/fix-ssh-permissions.sh

Inhalt:

#!/bin/bash
# SSH-Berechtigungen für Benutzer-Home-Verzeichnisse korrigieren
# Anpassen: Benutzernamen eintragen, die SSH-Key-Login nutzen

USERS="admin"

for USER in $USERS; do
    HOME_DIR="/home/$USER"
    if [ -d "$HOME_DIR/.ssh" ]; then
        chmod go-w "$HOME_DIR"
        chmod 700 "$HOME_DIR/.ssh"
        chmod 600 "$HOME_DIR/.ssh/authorized_keys" 2>/dev/null
        chown -R "$USER":"$USER" "$HOME_DIR/.ssh"
    fi
done

Mache das Skript ausführbar:

sudo chmod +x /usr/local/bin/fix-ssh-permissions.sh

Falls mehrere Benutzer SSH-Schlüssel verwenden, trage ihre Namen durch Leerzeichen getrennt in die Variable USERS ein.

Schritt 2: Service-Datei erstellen

Erstelle eine systemd-Unit unter /etc/systemd/system/fix-ssh-permissions.service:

sudo nano /etc/systemd/system/fix-ssh-permissions.service

Inhalt:

[Unit]
Description=SSH-Berechtigungen nach Neustart korrigieren
After=local-fs.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/fix-ssh-permissions.sh

[Install]
WantedBy=multi-user.target

Schritt 3: Service aktivieren und testen

sudo systemctl daemon-reload
sudo systemctl enable fix-ssh-permissions.service
sudo systemctl start fix-ssh-permissions.service

Prüfe, ob der Service erfolgreich gelaufen ist:

sudo systemctl status fix-ssh-permissions.service

Starte das NAS danach einmal neu und teste den SSH-Key-Login erneut. Wenn die Anmeldung ohne Passwort funktioniert, arbeitet der Service korrekt.

Cron-Job mit @reboot als Alternative

Falls systemd auf deiner UGOS-Pro-Version nicht wie erwartet funktioniert, ist ein Cron-Job eine einfachere Alternative. Öffne die Crontab des Root-Benutzers:

sudo crontab -e

Füge folgende Zeile hinzu:

@reboot /usr/local/bin/fix-ssh-permissions.sh

Der Cron-Job verwendet dasselbe Skript wie der systemd-Service. Der Unterschied: Cron bietet weniger Kontrolle über den genauen Ausführungszeitpunkt beim Booten. In seltenen Fällen kann der Job laufen, bevor das Home-Verzeichnis vollständig bereitsteht. Falls der SSH-Key-Login nach einem Neustart trotz Cron-Job nicht funktioniert, ist der systemd-Service die zuverlässigere Lösung.

Nach Firmware-Updates erneut prüfen

Manuelle Änderungen an Systemdateien, darunter Skripte unter /usr/local/bin und Service-Dateien unter /etc/systemd/system, können bei UGOS-Pro-Firmware-Updates überschrieben oder entfernt werden. Prüfe nach jedem Update, ob der Service oder Cron-Job noch aktiv ist:

sudo systemctl is-enabled fix-ssh-permissions.service

Falls der Service nicht mehr aktiv ist, wiederhole Schritt 2 und 3. Bewahre eine Kopie des Skripts und der Service-Datei an einem separaten Ort auf, etwa auf deinem Client-Rechner oder in einem Backup-Ordner auf dem NAS, damit du sie nach einem Update schnell wiederherstellen kannst.

Fazit

SSH-Schlüssel sind auf einem UGREEN NAS unter UGOS Pro der sicherste Weg, um sich per SSH anzumelden.

Für die Absicherung auf Netzwerkebene zeigt unser Leitfaden zu den Firewall-Einstellungen, welche Regeln und Ports für SSH relevant sind.