Fragen zu VNC Server, DDNS, Sicherheit

[kramel]

Hallo.

Ich hab mir auf meinem Arch den tigervnc und ssh installiert.

Der vncserver läuft mit -localhost und über ssh darf vorerst mal ein Benutzer zugreifen.
Im Router habe ich den ssh Port auf den vncserver umgeleitet.

Jetzt ist natürlich der ssh offen im WAN.

1. Wenn ich nun sshkeys statt einem Passwort verwende, kann ich mir dann fail2ban sparen?
2. Ist es ratsam anstatt dem port 22 zB. port 443 für ssh zu verwenden?

Und hier noch zu DDNS:
Da ich eine dynamische IP habe, brauche ich DDNS. dyndns.com ist nicht mehr kostenlos.
3. Hat jemand Erfahrung mit noip.com bzw. dnsdynamic.org oder kann mir einen anderen kostenlosen Dienst empfehlen?

Natürlich bin ich auch für ganz andere Vorschläge dankbar.

 

[Kugelfisch]

Sofern du den Passwort-Login deaktivierst oder sichere Passwörter verwendest (was du ohnehin tun musst), helfen fail2ban und ein unüblicher Port bloss, die Logs frei von `Grundrauschen` - Wörterbuch-Angriffen auf bekannte Benutzerkonten - zu halten. Weder ein sicheres Passwort, noch ein Private-Key zur Authentifizierung lässt sich in sinnvoller Zeit erfolgreich online angreifen (wenn man schwachen Schlüsseln, wie sie z.B. der Debian-OpenSSL-PRNG 2008 erzeugt hat, einmal absieht), das wird in der Regel auch nicht versucht. Port 443 zu verwenden, kann dennoch hilfreich sein, um die z.T. bei öffentlichen WLAN-Zugängen installierten sehr restriktiven Paketfilter zu umgehen (und über die dann aufgebaute SSH-Verbindung weiteren Traffic verschlüsselt zu tunneln).

 

[kramel]

Ja, Passwort-Login ist deaktiviert. Der Key ist RSA - 4096 bit.
Also sollte ich auf der sicheren Seite sein

Bezüglich DDNS werde ich mal dnsdynamic.org ausprobieren. Die haben ne ne API zum aktualisieren der IP.

 

[thom53281]

Bei DDNS habe ich bisher sehr gute Erfahrungen mit afraid.org gemacht. Allerdings musst Du schauen, wie das mit der Update-URL in Deinem Router funktioniert. Mit einer Fritzbox ist das aber kein Problem.


Grüße
Thomas

 

[accC]

NoIP will mittlerweile, dass du dich (händisch!) regelmäßig einloggst. Früher haben sie dazu auch die IP-Updates vom Client genutzt, das hat wohl keine Kohle gebracht, deshalb musst du jetzt regelmäßig die Webseite besuchen und dich einloggen. Nervig, aber was soll man machen

dyndns.org ist allerdings nicht kostenpflichtig, wenn du noch einen von diesen alten Accounts hast.
Ich habe dort bis vor kurzem 4 von 2 hostnames genutzt.
Sehe gerade, dass die gelöscht wurden, aber ich kann immer noch 2 Stück kostenlos nutzen, nur scheinen nicht mehr Domains möglich zu sein.
Das von mir genutzte ath.cx steht beispielsweise nicht mehr zur Verfügung.

You are using 0 of the 2 hosts currently available in your account
You have 2 hostnames remaining

 

[nik]

@accC: Sicher, dass du da nicht was verwechselst?
Ich bin von dyndns weggegangen, weil die wollten, dass man sich mindestens alle 30 Tage auf deren Webseite anmeldet, egal ob der Client das regelmäßig macht oder nicht. Bin zu no-ip gegangen und obwohl ich auch schon gehört habe, dass man sich dort ebenso regelmäßig auf der Webseite melden soll, hab ich das bisher noch nicht gemacht und der Account läuft trotzdem noch.

Siehe auch: http://linuxundich.de/allgemein/dyn...-30-tage-zur-pflicht-alternative-selfhost-de/

 

[accC]

Ich habe damals sogar eine Mail von noip diesbezüglich bekommen. Ob sie das aber konsequent durchziehen, weiß ich nicht.

 

[Kugelfisch]

Ich kann bestätigen, dass mir vor einigen Wochen ein testweise angelegter no-ip.org-Hostname trotz aktivem Update-Client ausgelaufen ist. Allerdings hat der Client aufgrund einer quasi-statischen IP-Adresse nicht täglich Updates durchgeführt.

 

[kramel]

Bin gestern nicht mehr dazugekommen, ich werd mich heute mit DDNS beschäftigen.
Danke an alle für die Tipps :-)

 

[kramel]

Ich verwende nun dnsdynamic.org.
Da mein Router den Service nicht direkt unterstützt, macht der ddclient das update.
Kann ich nur weiterempfehlen.