Sichere Verbindung über Inet auf RPi

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Von der Sicherheit unterscheiden sich OpenVPN(Blowfish) und SSH(AES) in den Standardeinstellungen nicht. AES liegt in der Performance etwas vorne.
    Und nur für den Shellzugriff ein VPN aufzusetzen ist etwas übertrieben, zumal der Zugriff dann sowieso wieder über ssh erfolgen sollte.

    Aber eine Möglichkeit ist es natürlich.

  • hab mir das howto für openvpn mal angeschaut. ist zwar zu machen aber doch recht aufwendig.

    ich glaube ich werd die ssh verbindung mit geändertem port mal umsetzen.

    gibt es fürs iphone eine empfehlenswerte app für die verbindung per ssh???

  • Hallo,

    Ich wüede dir empfehlen das ganze via SSH zu realisieren, zur Sicherheit SSH Dienst auf einem anderen Port als 22 laufen lassen, und zusätzlich kannst du noch den Login mit einem SSL Zertifikat absichern..

    Gesendet von meinem GT-I9300 mit Tapatalk 2

    I sometimes feel that I have nothing to say and I want to communicate this.

  • hat jemand zufällig ein gutes howto für das einrichten eines ssh servers?

    ich will eine verbindung mit dem ipad via "prompt" und mit einem win7 pc via putty realisieren.

    kann ich dann für beide geräte den privat.key verwenden???


  • Welches Linux setzt Du auf dem Pi ein?
    Rasperian hat den schon fertig eingerichtet.
    Du mußt für den User nur noch den Key hinterlegen. Allerdings kommt auf den Server der Public-Key, der Private gehört in den Clienten.


    habe raspbian am laufen!

    wenn ich mit puttykeygen (hoffe das heisst so :-)) einen (zahl 1) key generiere, hab ich 1 public und 1 privat key. den public schieb ich auf den rpi und den private auf den client. kann ich nun den gleichen privat-key auf beiden clients verwenden???

  • Der Publickey kommt in das home-Verzeichnis des Users in .ssh/authorized_keys, der Privatkey kommt in den Clienten, bei Putty unter Connection-SSH-Auth-'Private key file for authentication'
    Die Clienten für iPad/iPhone kenne ich nicht, Du kannst aber auf jeden Fall den gleichen Schlüssel verwenden.

    Wenn Du grad am konfigurieren bist solltest Du auf jeden Fall das root-Passwort und das des Benutzers Pi auf dem PI ändern und in der /etc/ssh/sshd_config den Eintrag 'PermitRootLogin' auf no setzen.

    Wenn alles läuft kannst Du mit dem Eintrag 'PasswordAuthentikation no' den ssh-Zugriff auf die Anmeldung mit Keys beschränken.
    Das geht auch für einzelne User:

    Match User pi
    PasswordAuthentikation no


  • Der Publickey kommt in das home-Verzeichnis des Users in .ssh/authorized_keys, der Privatkey kommt in den Clienten, bei Putty unter Connection-SSH-Auth-'Private key file for authentication'
    Die Clienten für iPad/iPhone kenne ich nicht, Du kannst aber auf jeden Fall den gleichen Schlüssel verwenden.

    Wenn Du grad am konfigurieren bist solltest Du auf jeden Fall das root-Passwort und das des Benutzers Pi auf dem PI ändern und in der /etc/ssh/sshd_config den Eintrag 'PermitRootLogin' auf no setzen.

    Wenn alles läuft kannst Du mit dem Eintrag 'PasswordAuthentikation no' den ssh-Zugriff auf die Anmeldung mit Keys beschränken.
    Das geht auch für einzelne User:

    Match User pi
    PasswordAuthentikation no


    hab das ganze jetzt so umgesetzt für meinen user. die authorisierung mit key klappt 1a!!
    eine frage hätte ich da aber noch. wenn ich jetzt PermitRootLogin auf = no setze, kann ich mich dann via winscp per sftp noch als root anmelden??

  • ftp ist nur für die Übertragung von Daten, für die Rechte gibt es chmod, chgrp und su/sudo.
    Fernzugriffe als root sollte man vermeiden, die Rechte kann man sich nach dem Einlogen nehmen.
    Auch wenn es etwas komplizierter wird, wenn man eine Tür in Richtung Internet öffnet sollte man die soweit sichern wie möglich.

  • okay, andere vorgehensweise!
    ich ändere permitrootlogin auf = no. somit komm ich erst mal nicht mehr per sftp auf den server.
    sollte ich was zu ändern haben melde ich mich per ssh und key als user an, wechsle zu root und editiere mit nano sshd_config die file
    wieder auf permitrootlogin = yes. somit müsste ich wieder einen zugang per ftp als root bekommen, oder???

    müsste doch gehen oder???


  • Gehen tut das, aber warum kopierst Du die Dateien nicht als Nutzer in einen Bereich in den Du schreiben darfst und verschiebst die dann wenn Du eh per ssh eingelogt bist?


    stimmt, das ist natürlich einfacher.
    kann ich noch irgendwie einstellen das sich der user nur noch mit gültigem rsa-key einloggen kann und nicht mehr mit passwort??

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!