Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.
Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Da du sicher ne Web-GUI meinst, wird das wohl über den Apachen eingestellt werden müssen, also in /etc/apache2/sites-enabled/nextcloud oder so...Kann mir noch jemand erklären, wie ich von außerhalb (also außerhalb meines Netzwerkes) auf die config Seite des Raspberry komme? Über DynDNS kommt dann, dass man nicht befugt ist, zuzugreifen.
Ja, das sollte eigentlich in /var/log/apache2/access.log oder in /var/log/auth.log stehen.Und noch was, wird autom. mitgeloggt, wer sich wann auf den Server einloggt? wenn ja, wo? Wenn nicht, wie trage ich es in die Config Datei ein?
Da du sicher ne Web-GUI meinst
du erzählst mir hier erst was von Sicherheit und willst dann die Sicherheitsmechanismen zerlegen
Ja, das sollte eigentlich in /var/log/apache2/access.log oder in /var/log/auth.log stehen.
Security eher so
Ja, das nennt man SSH und geht natürlich aus der Ferne. Ein Linux ist vollständig von der Konsole aus steuerbar, da braucht man nirgends ne GUI (die weniger Möglichkeiten als das Terminal bietet). Bei SSH würde ich dir empfehlen, lediglich PubKeyAuth zuzulassen, mit AllowUsers den SSH-Zugriff auf einen definierten User einzuschränken (der NICHT root oder pi ist, und auch nicht nextcloud, apache2, mysql, etc., sondern zum Beispiel hanswurst), und UsePAM auf no zu setzen, weil das manchmal eine Umgehung der Einschränkungen zulässt. Keys sollten ECDSA, RSA ab 2048bit oder ED25519 sein. Wenn du außerdem die Login-Gracetime auf ne Sekunde herabsetzt, steigen die meisten Angreifer-Scripte sofort aus - dazu muss aber der PrivateKey unverschlüsselt auf deiner Maschine liegen, oder mittels Keyring automatisch entsperrt werden (alternativ: SSH-Agent).Ich wollte einfach nur wissen, ob man im Notfall den Raspberry aus der Ferne konfigurieren kann.
Allerdings könnte der Angreifer ja auch die IP wechseln, sodass er es wieder versuchen könnte. Ich erlaube drie Fehlversuche, bis es zu einem "Ban" kommt.
Ja, das nennt man SSH und geht natürlich aus der Ferne.
Bei SSH würde ich dir empfehlen, lediglich PubKeyAuth zuzulassen, mit AllowUsers den SSH-Zugriff auf einen definierten User einzuschränken (der NICHT root oder pi ist, und auch nicht nextcloud, apache2, mysql, etc., sondern zum Beispiel hanswurst)
UsePAM auf no zu setzen, weil das manchmal eine Umgehung der Einschränkungen zulässt.
alternativ: SSH-Agent
Drei sind eh schon viel. Ein Versuch, danach ist Feierabend.
für mich ein SSH-Tunnel schneller aufgebaut und Daten darüber ausgetauscht, als da über irgendeine Web-GUI mich durchzuklickern.
Tipp für die Zukunft: mit -v kann man meist die Gesprächigkeit der Tools hochdrehen, dann posten sie dir auch, was nicht funktioniert. Bei SSH kann man mit maximal -vvv den Debugmodus jeden Furz ausgeben lassen, den SSH tut, d. h. selbst einzelne Buchstaben, die du eintippst.Ja, logisch, ich habe das auch getestet, aber es kann keine Verbindung aufgebaut werden. Ich hatte die Syntax "ssh pi@DynDNS-Adresse.de" - so steht es im Manual.
PubKeyAuth ist mit Schlüsseldatei. Höhere Sicherheit, höherer Komfort. Kann man selten behaupten, ist hier aber so.Man könnte auch ne Schlüsseldatei noch nutzen - aber wir wollen nicht gleich übertreiben
Welches Betriebssystem nutzt du, um dich auf den RPi einzuklinken? Also womit ARBEITEST du? Wenn Debianoid (Debian, Ubuntu, Mint), hilft dir ein sudo apt-get install ssh-agent, wenn der nicht sowieso schon installiert ist. Danach Ubuntuusers fragen, wie das damit genau läuft, ich nutz das Ding in der Arbeit in Verbindung mit Seahorse, d. h. ich musste dem Agent nur einmal den Schlüssel entsperren, jetzt macht das jedes Mal Seahorse für mich.Das Tool Pageant?
Ja, grundsätzlich ja.Sicher besser, als wenn der Key unverschlüsselt vorliegt.
Zwei Möglichkeiten:Aber wie versende ich per Konsole Dateien?`Also über das Internet?
Tipp für die Zukunft: mit -v kann man meist die Gesprächigkeit der Tools hochdrehen, dann posten sie dir auch, was nicht funktioniert. Bei SSH kann man mit maximal -vvv den Debugmodus jeden Furz ausgeben lassen, den SSH tut, d. h. selbst einzelne Buchstaben, die du eintippst.
PubKeyAuth ist mit Schlüsseldatei. Höhere Sicherheit, höherer Komfort. Kann man selten behaupten, ist hier aber so.
Welches Betriebssystem nutzt du, um dich auf den RPi einzuklinken?
scp SOURCE pi@DynDNS-Adresse.de:/path/to/target
rsync -ahu --progress --stats SOURCE pi@DynDNS-Adresse.de:/path/to/target
Aber nochmal: pi als User für irgendwelche Zugänge sollte man tunlichst vermeiden.
Es gibt für jeden Rechteabschnitt genau 3 Rechte auf eine Datei: