• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Raspberry 2 als NAS Server

PLanB

NGBler

Registriert
29 Juli 2013
Beiträge
205
mariadb installieren, nginx installieren und anschließend das Nextcloud Paket herunterladen.

Ganz einfach. Den Linux Weg gehen... So schwer ist das nicht.
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #142
So, es ist echt lange her, aber ich habe mir nun mal den Raspi neu installiert. Soweit läuft auch alles. Ich habe aber eine Frage (weiß nicht, ob das letztes Mal schon so war, aber habe nichts gefunden), ich kann per Putty auf den Raspi gehen, lokal auch mit Port 443 und 4443, per Zugriff über DynDNS komme ich aber nicht auf die Konfigseite, also 4443 - ist das normal? Wie könnte man das ggf. ändern? Würde ja aber auch per SSH gehen, oder?

Edit: Ich habe eine Frage, und zwar habe ich per ssh in der Konfig eine statische IP vergeben, die auch angezeigt wurde. Ich musste den Router neu starten, die IP hat sich dabei geändert. Wie kann das sein? Ich habe nochmals den Vorgang durchgeführt, mit einer anderen IP, der Raspi ist erreichbar, in den Infos steht aber die alte IP Adresse.
 
Zuletzt bearbeitet:

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Da wird wohl trotz der manuellen IP-Einstellung irgendwo auf dem Raspi noch DHCP aktiv sein. Um per DynDNS Zugriff auf den Raspi zu bekommen, musst du die entsprechende Portweiterleitung in der Fritzbox aktivieren.
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #144
Hallo, ich habe den Raspi neu gestartet, die IP stimmt und auch der Gateway. Kann es sein, dass in den Infos die letzten IP-Adfressen angezeigt werden?

Dass DHCP noch aktiv ist, glaube ich nicht, aber wo deaktiviere ich das nochmals explizit?
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Ich kenn die GUI nicht. Wenn du sicher gehen willst, nimm eine Konsole:

Code:
ip a
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.829
Ort
/dev/mapper/home
@Michael2019: Kannst du denn über DynDNS überhaupt deinen RPi erreichen? Also passt das Portforwarding auch für alle entsprechenden Ports?

DHCP und Portforwarding ist ne scheiß Kombi, sowas macht man immer statisch bzw. wenn mit DHCP dann semi-statisch.
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #147
Hallo, ja, ja, ich komme per DynDNS auf den Raspi drauf, habe mit dem Handy und der mobilen Verbindung auch Daten runtergeladen. Ich nutze prinzipiell nie DHCP, wenn etwas mit Portforwarding zu tun hat.

@musv

Es wird die korrekte IP angezeigt. Auch schon, wenn ich mich als "pi" anmelde. Keine Ahnung, wieso sich gestern die IP geändert hat.

Bisher nutze ich UFW, könnt ihr mir bei Fail2Ban helfen? Und dann auch mal die Benutzernamen mal ändern.

Und noch was, wie richte ich SSH ein, also die Verschlüsselung? Und mit welchem Tool soll ich, wenn ichj per SSH was auf den Raspi sende, nutzen? Putty? Wie wäre die Syntax?

Und ich habe mal testweise Musik auf meinen Pi geladen. Aber es kommt manchmal vor, dass im Ordner, den ich auswähle, 30 Dateien sind, aber es werden z.B . nur 24 hochgeladen - warum?


Also mit der Verschlüsselung ist das hier gemeint.

Noch eine Frage zum Zertifikat, es wird ja eine Fehlermeldung angezeigt, da das Zertifikat ja selbst ausgestellt wurde. Kann man das ändernm ohne das Zertifikat von einer offiziellen Stelle signieren zu lassen?
 
Zuletzt bearbeitet:

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #148
So, habe nun mal fail2ban aktiviert und entsprechend die Bantime hochgesetzt (360 000). Es wurde bereits eine IP gebannt, diese kommt aus China - ist das tatsächlich ein Angriff / Bot oder ist das in irgendeiner Weise mit Nextcloud oder Raspian zu erklären??
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.718
Ort
in der Zukunft
erst eine ist relativ wenig.
Wir hatten ja schon am Anfang erwähnt das es gefährlich ist die Ports weiterzuleiten - bzw. die ganzen Sachen "frei" ins Internet zu setzen.
Das was in dem verlinkten Post steht ist keine Verschlüsselung.
SSH steht für Secure Shell und ist per default Verschlüsselt - daran kannst du auch quasie nichts ändern.
Was du ändern kannst ist wie man sich an der Shell anmeldet und welche Rechte man nach der Anmeldung hat.

Die Anmeldung daran kann nun wie du siehst jeder probieren - so oft er will (Fail2ban bremst das "so oft man will" ein wenig wenn man es richtig konfiguriert... verhindert es aber nicht).
Folglich muss man die Möglichkeit sich erfolgreich anzumelden so schwer wie möglich machen und das für alle Dienste die über das Internet erreichbar sind wie etwa auch die Webseiten insofern man nach erfolgreicher Anmeldung "schaden" anrichten könnte (Wie etwa bei Config-Seiten für den ganzen Pi).

Daher sollte die Anmeldung immer nur mit einem Benutzer möglich sein den keiner kennt - also pi + root dürfen keine Möglichkeit haben sich anzumelden.
Zusätzlich sollte man sich nicht per Passwort anmelden können sondern wie von Metal erwähnt per Keyfile oder wenn Kennwort dann mit 2. zusätzlichen Faktor wie ein OneTimePasswort

Für Raspian und Keyauth gibt es mehr als genug detailierte Anleitungen wie z.B. diese https://jankarres.de/2013/12/raspberry-pi-ssh-schluessel-erstellen-und-passwort-aendern/
So oder so sollte man jedoch die Befehle die man durchführt kennen und nachlesen - in der Anleitung von sshd z.B. da a) in einem Tutorial so einiges stehen kann und b) man Folgen späterer Änderungen oder Sicherheitslücken oder was auch immer nur dann Abschätzen kann wenn man nicht blind abtippt sondern versteht.
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #150
erst eine ist relativ wenig.

Richtig - aber jeder kann auf diesen einen Zugriff auch gerne verzichten^^

Wir hatten ja schon am Anfang erwähnt das es gefährlich ist die Ports weiterzuleiten

Ja, klar, aber ohne, dass ein Port weitergeleitet wird, kann man auf das Gerät (Server, NAS, Raspi etc.) nicht zugreifen. Ich habe in der Nextcloud Musik, dass auch ein Freund zugreifen kann. Ja, ich vertraue ihm :)

die ganzen Sachen "frei" ins Internet

Deshalb will ich es so gut wie möglich absichern.

Das was in dem verlinkten Post steht ist keine Verschlüsselung.
SSH steht für Secure Shell und ist per default Verschlüsselt - daran kannst du auch quasie nichts ändern.
Was du ändern kannst ist wie man sich an der Shell anmeldet und welche Rechte man nach der Anmeldu

Ja, das hatte ich gemeint, sorry, unglücklich ausgedrückt.

Folglich muss man die Möglichkeit sich erfolgreich anzumelden so schwer wie möglich machen und das für alle Dienste die über das Internet erreichbar sind wie etwa auch die Webseiten insofern man nach erfolgreicher Anmeldung "schaden" anrichten könnte (Wie etwa bei Config-Seiten für den ganzen Pi).

Ja, genau das ist mein Ziel.

Daher sollte die Anmeldung immer nur mit einem Benutzer möglich sein den keiner kennt - also pi + root dürfen keine Möglichkeit haben sich anzumelden.

Wie kann ich das verhindern? Neuen Benutzer anlegen? Und das gilt ja nur für die Anmeldung per SSH, oder? Der Zugriff auf die Daten per DynDNS soll ja gewährleistet sein, also die Nextcloud.

Zusätzlich sollte man sich nicht per Passwort anmelden können sondern wie von Metal erwähnt per Keyfile oder wenn Kennwort dann mit 2. zusätzlichen Faktor wie ein OneTimePasswort

Für Raspian und Keyauth gibt es mehr als genug detailierte Anleitungen wie z.B. diese https://jankarres.de/2013/12/raspber...swort-aendern/

Vielen Dank, ich werde mir das durchlesen.

So oder so sollte man jedoch die Befehle die man durchführt kennen und nachlesen - in der Anleitung von sshd z.B. da a) in einem Tutorial so einiges stehen kann und b) man Folgen späterer Änderungen oder Sicherheitslücken oder was auch immer nur dann Abschätzen kann wenn man nicht blind abtippt sondern versteht.

Ja, sicher! Und hier kann man auch fragen :)

Kann man das Zertifikat signieren? Gültig ist es ja.

Edit: Kann man sonst noch etwas machen?
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #151
So, ich habe nun gemäß der Anleitung den Key erstellt (public und private sowie passphrase). Allerdings kann ich mich jetzt nicht mehr per SSH anmelden - warum?? Schritt 2 funktioniert deshalb schon nicht mehr.
 
Zuletzt bearbeitet:

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #153
Na klar, ich war ja schon 1000 mal mit Putty auf dem Raspi drauf, um die Konfiguration zu machen. Habe alles ohne GUI gemacht. Aber eigentlich hätte das nicht passieren dürfen, oder?

Ich habe noch eine andere Frage, und zwar auch wegen SSH. Da ich die Konfig. aktuell nicht von außerhalb machen muss und ich auch keine Daten transferiere, habe ich die Portweiterleitung deaktiviert. Ergebnis war, dass - logischerweise - KEIN Zugriff mehr von außen stattgefunden hat (Keyfile will ich trotzdem).

Gestern habe ich meine SD-Karte mittels Win32DiskImager kopiert, da ich meine 128 GB Karte in den Raspi getan habe. Hat alles funktioniert. Ich habe KEINE Änderungen vorgenommen und am Klon hat sich nichts geändert. Trotz deaktivieren der Portweiterleitung habe ich auf dem SSH Port Aktivitäten - wie kann das sein?
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #155
Das glaube ich nicht, weil ich keine IPv6 Adresse vergeben habe und dann wäre es ja nicht so gewesen, dass drei Tage lang Ruhe war. Ich habe gestern Abend die Portfreigabe im Router (war deaktiviert) ganz gelöscht - seither ist auf dem SSH Port Ruhe! :) Dass der Router einfach eine Regel "enabled" (aber das stand dann so auch drin), hatte ich schon mal.

Jedenfalls möchte ich den Key generieren, also mit Puttygen. Um die benötigten Ordnerf anzulegen, reicht es einfach, wenn ich mich mit Putty auf den Raspi aufschalte, folgende Befehle einzugeben

mkdir ~/.ssh
nano ~/.ssh/authorized_keys

?

Und noch etwas, ich möchte ja, dass man sich nicht per "pi" einloggen kann, soll ich den Namen vorher ändern? Und wie ändere ich "pi" zu einem anderen Benutzernamen?
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.557
Michael, du mußt in [kw]~/.ssh/authorized_keys[/kw] aber auch deinen Public Key eingeben, dass ist dir hoffentlich klar? Und Nano ist ein Konsoleneditor.

Besser du nimmst gleich [kw]ssh-copy-id[/kw]. Zum Beispiel so: [kw]ssh-copy-id username@host[/kw]

username: Der User auf dem Pi, zum Beispiel "pi@192.168.1.1" das führt automatisch das Eintragen durch für den "pi" mit deinem hinterlegten Key. Idealerweise hast du dann aber auch nen anderen User außer "pi" schon vorbereitet.
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #158
@drfuture

Dann Michael für ssh berechtigen.

Sorry, wie mache ich das?

Michael, du mußt in ~/.ssh/authorized_keys aber auch deinen Public Key eingeben, dass ist dir hoffentlich klar? U

Ja, ich hatte ja auch beide erzeugt.

Und Nano ist ein Konsoleneditor.

Ja, das weiß ich. Eine Frage, wenn ich etwas abspeichere, dann als "Dos", oder? Oder wie speichern? Linux gibt es ja net^^

Idealerweise hast du dann aber auch nen anderen User außer "pi" schon vorbereitet.

Wenn ihr mir dabei helft, gerne :)

Übrigens, auf dem SSH Port läuft doch wieder was. Ich versuche, IPv6 zu deaktivieren, obwohl ich es gar nicht aktiviert habe - und nichtmal durch den ISP habe ich IPv6.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.557
Also, Step by step:
1) auf Pi einloggen
2) [kw]sudo adduser Michael[/kw]
4) [kw]sudo adduser Michael ssh[/kw]
5) [kw]cd /home/Michael[/kw]
6) [kw]sudo mkdir .ssh[/kw]
7a) [kw]sudo chown Michael .ssh[/kw]
7b) [kw]sudo chgrp Michael .ssh[/kw]
8) [kw]sudo chmod 700 .ssh[/kw]
9) [kw]cd .ssh[/kw]
10a) [kw]sudo touch authorized_keys[/kw]
10b) [kw]sudo chown Michael authorized_keys[/kw]
10c) [kw]sudo chgrp Michael authorized_keys[/kw]
11a) [kw]sudo echo 'InhaltVonRSA_PUBausZwischenablage' > authorized_keys[/kw]
oder 11b) [kw]sudo nano authorized_keys[/kw] + Inhalt von RSA_Pub einfügen
12) [kw] sudo chmod 644 authorized_keys[/kw]
13) [kw] sudo nano /etc/ssh/sshd_config[/kw] - hier [kw]PublicKeyAuthorization on[/kw] und [kw]PasswordAuthentication off[/kw]
14) [kw] sudo service ssh restart[/kw]

Das sollte eigentlich alles sein, was du brauchst.
 

Michael2019

NGBler

Registriert
11 Mai 2019
Beiträge
178
  • Thread Starter Thread Starter
  • #160
VIELEN DANK für die ausführiche Erläuterung!

Ab 11a geht es um den Key, der per PuttyGEN erstellt wurde, oder?

Was ich nicht begreife, ich habe am raspi kein IPv6 aktiviert (es sei denn, es wäre standardmäßig an), ich habe KEINE Portweiterleitung im Router und IPv6 DEAKTIVIERT - WIE kann auf dem SSH Port was laufen???
 
Oben