Raspberry 2 als NAS Server
- Ersteller Michael2019
- Erstellt am
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #142
So, es ist echt lange her, aber ich habe mir nun mal den Raspi neu installiert. Soweit läuft auch alles. Ich habe aber eine Frage (weiß nicht, ob das letztes Mal schon so war, aber habe nichts gefunden), ich kann per Putty auf den Raspi gehen, lokal auch mit Port 443 und 4443, per Zugriff über DynDNS komme ich aber nicht auf die Konfigseite, also 4443 - ist das normal? Wie könnte man das ggf. ändern? Würde ja aber auch per SSH gehen, oder?
Edit: Ich habe eine Frage, und zwar habe ich per ssh in der Konfig eine statische IP vergeben, die auch angezeigt wurde. Ich musste den Router neu starten, die IP hat sich dabei geändert. Wie kann das sein? Ich habe nochmals den Vorgang durchgeführt, mit einer anderen IP, der Raspi ist erreichbar, in den Infos steht aber die alte IP Adresse.
Edit: Ich habe eine Frage, und zwar habe ich per ssh in der Konfig eine statische IP vergeben, die auch angezeigt wurde. Ich musste den Router neu starten, die IP hat sich dabei geändert. Wie kann das sein? Ich habe nochmals den Vorgang durchgeführt, mit einer anderen IP, der Raspi ist erreichbar, in den Infos steht aber die alte IP Adresse.
Zuletzt bearbeitet:
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #144
Hallo, ich habe den Raspi neu gestartet, die IP stimmt und auch der Gateway. Kann es sein, dass in den Infos die letzten IP-Adfressen angezeigt werden?
Dass DHCP noch aktiv ist, glaube ich nicht, aber wo deaktiviere ich das nochmals explizit?
Dass DHCP noch aktiv ist, glaube ich nicht, aber wo deaktiviere ich das nochmals explizit?
@Michael2019: Kannst du denn über DynDNS überhaupt deinen RPi erreichen? Also passt das Portforwarding auch für alle entsprechenden Ports?
DHCP und Portforwarding ist ne scheiß Kombi, sowas macht man immer statisch bzw. wenn mit DHCP dann semi-statisch.
DHCP und Portforwarding ist ne scheiß Kombi, sowas macht man immer statisch bzw. wenn mit DHCP dann semi-statisch.
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #147
Hallo, ja, ja, ich komme per DynDNS auf den Raspi drauf, habe mit dem Handy und der mobilen Verbindung auch Daten runtergeladen. Ich nutze prinzipiell nie DHCP, wenn etwas mit Portforwarding zu tun hat.
@musv
Es wird die korrekte IP angezeigt. Auch schon, wenn ich mich als "pi" anmelde. Keine Ahnung, wieso sich gestern die IP geändert hat.
Bisher nutze ich UFW, könnt ihr mir bei Fail2Ban helfen? Und dann auch mal die Benutzernamen mal ändern.
Und noch was, wie richte ich SSH ein, also die Verschlüsselung? Und mit welchem Tool soll ich, wenn ichj per SSH was auf den Raspi sende, nutzen? Putty? Wie wäre die Syntax?
Und ich habe mal testweise Musik auf meinen Pi geladen. Aber es kommt manchmal vor, dass im Ordner, den ich auswähle, 30 Dateien sind, aber es werden z.B . nur 24 hochgeladen - warum?
Also mit der Verschlüsselung ist das hier gemeint.
Noch eine Frage zum Zertifikat, es wird ja eine Fehlermeldung angezeigt, da das Zertifikat ja selbst ausgestellt wurde. Kann man das ändernm ohne das Zertifikat von einer offiziellen Stelle signieren zu lassen?
@musv
Es wird die korrekte IP angezeigt. Auch schon, wenn ich mich als "pi" anmelde. Keine Ahnung, wieso sich gestern die IP geändert hat.
Bisher nutze ich UFW, könnt ihr mir bei Fail2Ban helfen? Und dann auch mal die Benutzernamen mal ändern.
Und noch was, wie richte ich SSH ein, also die Verschlüsselung? Und mit welchem Tool soll ich, wenn ichj per SSH was auf den Raspi sende, nutzen? Putty? Wie wäre die Syntax?
Und ich habe mal testweise Musik auf meinen Pi geladen. Aber es kommt manchmal vor, dass im Ordner, den ich auswähle, 30 Dateien sind, aber es werden z.B . nur 24 hochgeladen - warum?
Also mit der Verschlüsselung ist das hier gemeint.
Noch eine Frage zum Zertifikat, es wird ja eine Fehlermeldung angezeigt, da das Zertifikat ja selbst ausgestellt wurde. Kann man das ändernm ohne das Zertifikat von einer offiziellen Stelle signieren zu lassen?
Zuletzt bearbeitet:
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #148
So, habe nun mal fail2ban aktiviert und entsprechend die Bantime hochgesetzt (360 000). Es wurde bereits eine IP gebannt, diese kommt aus China - ist das tatsächlich ein Angriff / Bot oder ist das in irgendeiner Weise mit Nextcloud oder Raspian zu erklären??
erst eine ist relativ wenig.
Wir hatten ja schon am Anfang erwähnt das es gefährlich ist die Ports weiterzuleiten - bzw. die ganzen Sachen "frei" ins Internet zu setzen.
Das was in dem verlinkten Post steht ist keine Verschlüsselung.
SSH steht für Secure Shell und ist per default Verschlüsselt - daran kannst du auch quasie nichts ändern.
Was du ändern kannst ist wie man sich an der Shell anmeldet und welche Rechte man nach der Anmeldung hat.
Die Anmeldung daran kann nun wie du siehst jeder probieren - so oft er will (Fail2ban bremst das "so oft man will" ein wenig wenn man es richtig konfiguriert... verhindert es aber nicht).
Folglich muss man die Möglichkeit sich erfolgreich anzumelden so schwer wie möglich machen und das für alle Dienste die über das Internet erreichbar sind wie etwa auch die Webseiten insofern man nach erfolgreicher Anmeldung "schaden" anrichten könnte (Wie etwa bei Config-Seiten für den ganzen Pi).
Daher sollte die Anmeldung immer nur mit einem Benutzer möglich sein den keiner kennt - also pi + root dürfen keine Möglichkeit haben sich anzumelden.
Zusätzlich sollte man sich nicht per Passwort anmelden können sondern wie von Metal erwähnt per Keyfile oder wenn Kennwort dann mit 2. zusätzlichen Faktor wie ein OneTimePasswort
Für Raspian und Keyauth gibt es mehr als genug detailierte Anleitungen wie z.B. diese
So oder so sollte man jedoch die Befehle die man durchführt kennen und nachlesen - in der Anleitung von sshd z.B. da a) in einem Tutorial so einiges stehen kann und b) man Folgen späterer Änderungen oder Sicherheitslücken oder was auch immer nur dann Abschätzen kann wenn man nicht blind abtippt sondern versteht.
Wir hatten ja schon am Anfang erwähnt das es gefährlich ist die Ports weiterzuleiten - bzw. die ganzen Sachen "frei" ins Internet zu setzen.
Das was in dem verlinkten Post steht ist keine Verschlüsselung.
SSH steht für Secure Shell und ist per default Verschlüsselt - daran kannst du auch quasie nichts ändern.
Was du ändern kannst ist wie man sich an der Shell anmeldet und welche Rechte man nach der Anmeldung hat.
Die Anmeldung daran kann nun wie du siehst jeder probieren - so oft er will (Fail2ban bremst das "so oft man will" ein wenig wenn man es richtig konfiguriert... verhindert es aber nicht).
Folglich muss man die Möglichkeit sich erfolgreich anzumelden so schwer wie möglich machen und das für alle Dienste die über das Internet erreichbar sind wie etwa auch die Webseiten insofern man nach erfolgreicher Anmeldung "schaden" anrichten könnte (Wie etwa bei Config-Seiten für den ganzen Pi).
Daher sollte die Anmeldung immer nur mit einem Benutzer möglich sein den keiner kennt - also pi + root dürfen keine Möglichkeit haben sich anzumelden.
Zusätzlich sollte man sich nicht per Passwort anmelden können sondern wie von Metal erwähnt per Keyfile oder wenn Kennwort dann mit 2. zusätzlichen Faktor wie ein OneTimePasswort
Für Raspian und Keyauth gibt es mehr als genug detailierte Anleitungen wie z.B. diese
You do not have permission to view link please Anmelden or Registrieren
So oder so sollte man jedoch die Befehle die man durchführt kennen und nachlesen - in der Anleitung von sshd z.B. da a) in einem Tutorial so einiges stehen kann und b) man Folgen späterer Änderungen oder Sicherheitslücken oder was auch immer nur dann Abschätzen kann wenn man nicht blind abtippt sondern versteht.
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #150
Richtig - aber jeder kann auf diesen einen Zugriff auch gerne verzichten^^
Ja, klar, aber ohne, dass ein Port weitergeleitet wird, kann man auf das Gerät (Server, NAS, Raspi etc.) nicht zugreifen. Ich habe in der Nextcloud Musik, dass auch ein Freund zugreifen kann. Ja, ich vertraue ihm
Deshalb will ich es so gut wie möglich absichern.
Ja, das hatte ich gemeint, sorry, unglücklich ausgedrückt.
Ja, genau das ist mein Ziel.
Wie kann ich das verhindern? Neuen Benutzer anlegen? Und das gilt ja nur für die Anmeldung per SSH, oder? Der Zugriff auf die Daten per DynDNS soll ja gewährleistet sein, also die Nextcloud.
Vielen Dank, ich werde mir das durchlesen.
Ja, sicher! Und hier kann man auch fragen
Kann man das Zertifikat signieren? Gültig ist es ja.
Edit: Kann man sonst noch etwas machen?
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #151
So, ich habe nun gemäß der
You do not have permission to view link please Anmelden or Registrieren
den Key erstellt (public und private sowie passphrase). Allerdings kann ich mich jetzt nicht mehr per SSH anmelden - warum?? Schritt 2 funktioniert deshalb schon nicht mehr.
Zuletzt bearbeitet:
@Michael2019: Hast du SSH überhaupt angeschaltet?
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #153
Na klar, ich war ja schon 1000 mal mit Putty auf dem Raspi drauf, um die Konfiguration zu machen. Habe alles ohne GUI gemacht. Aber eigentlich hätte das nicht passieren dürfen, oder?
Ich habe noch eine andere Frage, und zwar auch wegen SSH. Da ich die Konfig. aktuell nicht von außerhalb machen muss und ich auch keine Daten transferiere, habe ich die Portweiterleitung deaktiviert. Ergebnis war, dass - logischerweise - KEIN Zugriff mehr von außen stattgefunden hat (Keyfile will ich trotzdem).
Gestern habe ich meine SD-Karte mittels Win32DiskImager kopiert, da ich meine 128 GB Karte in den Raspi getan habe. Hat alles funktioniert. Ich habe KEINE Änderungen vorgenommen und am Klon hat sich nichts geändert. Trotz deaktivieren der Portweiterleitung habe ich auf dem SSH Port Aktivitäten - wie kann das sein?
Ich habe noch eine andere Frage, und zwar auch wegen SSH. Da ich die Konfig. aktuell nicht von außerhalb machen muss und ich auch keine Daten transferiere, habe ich die Portweiterleitung deaktiviert. Ergebnis war, dass - logischerweise - KEIN Zugriff mehr von außen stattgefunden hat (Keyfile will ich trotzdem).
Gestern habe ich meine SD-Karte mittels Win32DiskImager kopiert, da ich meine 128 GB Karte in den Raspi getan habe. Hat alles funktioniert. Ich habe KEINE Änderungen vorgenommen und am Klon hat sich nichts geändert. Trotz deaktivieren der Portweiterleitung habe ich auf dem SSH Port Aktivitäten - wie kann das sein?
Evtl ist dein raspi per ipv6 erreichbar
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #155
Das glaube ich nicht, weil ich keine IPv6 Adresse vergeben habe und dann wäre es ja nicht so gewesen, dass drei Tage lang Ruhe war. Ich habe gestern Abend die Portfreigabe im Router (war deaktiviert) ganz gelöscht - seither ist auf dem SSH Port Ruhe! Dass der Router einfach eine Regel "enabled" (aber das stand dann so auch drin), hatte ich schon mal.
Jedenfalls möchte ich den Key generieren, also mit Puttygen. Um die benötigten Ordnerf anzulegen, reicht es einfach, wenn ich mich mit Putty auf den Raspi aufschalte, folgende Befehle einzugeben
?
Und noch etwas, ich möchte ja, dass man sich nicht per "pi" einloggen kann, soll ich den Namen vorher ändern? Und wie ändere ich "pi" zu einem anderen Benutzernamen?
Dass der Router einfach eine Regel "enabled" (aber das stand dann so auch drin), hatte ich schon mal.Jedenfalls möchte ich den Key generieren, also mit Puttygen. Um die benötigten Ordnerf anzulegen, reicht es einfach, wenn ich mich mit Putty auf den Raspi aufschalte, folgende Befehle einzugeben
?
Und noch etwas, ich möchte ja, dass man sich nicht per "pi" einloggen kann, soll ich den Namen vorher ändern? Und wie ändere ich "pi" zu einem anderen Benutzernamen?
sudo adduser Michael
Dann Michael für ssh berechtigen.
Über möglichkeiten / Einstellungen von SSHD die du benötigst gibt es hier eine gute Übersicht
Dann Michael für ssh berechtigen.
Über möglichkeiten / Einstellungen von SSHD die du benötigst gibt es hier eine gute Übersicht
You do not have permission to view link please Anmelden or Registrieren
theSplit
1998
- Registriert
- 3 Aug. 2014
- Beiträge
- 5.857
Michael, du mußt in [kw]~/.ssh/authorized_keys[/kw] aber auch deinen Public Key eingeben, dass ist dir hoffentlich klar? Und Nano ist ein Konsoleneditor.
Besser du nimmst gleich [kw]ssh-copy-id[/kw]. Zum Beispiel so: [kw]ssh-copy-id username@host[/kw]
username: Der User auf dem Pi, zum Beispiel "pi@192.168.1.1" das führt automatisch das Eintragen durch für den "pi" mit deinem hinterlegten Key. Idealerweise hast du dann aber auch nen anderen User außer "pi" schon vorbereitet.
Besser du nimmst gleich [kw]ssh-copy-id[/kw]. Zum Beispiel so: [kw]ssh-copy-id username@host[/kw]
username: Der User auf dem Pi, zum Beispiel "pi@192.168.1.1" das führt automatisch das Eintragen durch für den "pi" mit deinem hinterlegten Key. Idealerweise hast du dann aber auch nen anderen User außer "pi" schon vorbereitet.
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #158
@drfuture
Sorry, wie mache ich das?
Ja, ich hatte ja auch beide erzeugt.
Ja, das weiß ich. Eine Frage, wenn ich etwas abspeichere, dann als "Dos", oder? Oder wie speichern? Linux gibt es ja net^^
Wenn ihr mir dabei helft, gerne
Übrigens, auf dem SSH Port läuft doch wieder was. Ich versuche, IPv6 zu deaktivieren, obwohl ich es gar nicht aktiviert habe - und nichtmal durch den ISP habe ich IPv6.
Sorry, wie mache ich das?
Ja, ich hatte ja auch beide erzeugt.
Ja, das weiß ich. Eine Frage, wenn ich etwas abspeichere, dann als "Dos", oder? Oder wie speichern? Linux gibt es ja net^^
Wenn ihr mir dabei helft, gerne
Übrigens, auf dem SSH Port läuft doch wieder was. Ich versuche, IPv6 zu deaktivieren, obwohl ich es gar nicht aktiviert habe - und nichtmal durch den ISP habe ich IPv6.
theSplit
1998
- Registriert
- 3 Aug. 2014
- Beiträge
- 5.857
Also, Step by step:
1) auf Pi einloggen
2) [kw]sudo adduser Michael[/kw]
4) [kw]sudo adduser Michael ssh[/kw]
5) [kw]cd /home/Michael[/kw]
6) [kw]sudo mkdir .ssh[/kw]
7a) [kw]sudo chown Michael .ssh[/kw]
7b) [kw]sudo chgrp Michael .ssh[/kw]
8) [kw]sudo chmod 700 .ssh[/kw]
9) [kw]cd .ssh[/kw]
10a) [kw]sudo touch authorized_keys[/kw]
10b) [kw]sudo chown Michael authorized_keys[/kw]
10c) [kw]sudo chgrp Michael authorized_keys[/kw]
11a) [kw]sudo echo 'InhaltVonRSA_PUBausZwischenablage' > authorized_keys[/kw]
oder 11b) [kw]sudo nano authorized_keys[/kw] + Inhalt von RSA_Pub einfügen
12) [kw] sudo chmod 644 authorized_keys[/kw]
13) [kw] sudo nano /etc/ssh/sshd_config[/kw] - hier [kw]PublicKeyAuthorization on[/kw] und [kw]PasswordAuthentication off[/kw]
14) [kw] sudo service ssh restart[/kw]
Das sollte eigentlich alles sein, was du brauchst.
1) auf Pi einloggen
2) [kw]sudo adduser Michael[/kw]
4) [kw]sudo adduser Michael ssh[/kw]
5) [kw]cd /home/Michael[/kw]
6) [kw]sudo mkdir .ssh[/kw]
7a) [kw]sudo chown Michael .ssh[/kw]
7b) [kw]sudo chgrp Michael .ssh[/kw]
8) [kw]sudo chmod 700 .ssh[/kw]
9) [kw]cd .ssh[/kw]
10a) [kw]sudo touch authorized_keys[/kw]
10b) [kw]sudo chown Michael authorized_keys[/kw]
10c) [kw]sudo chgrp Michael authorized_keys[/kw]
11a) [kw]sudo echo 'InhaltVonRSA_PUBausZwischenablage' > authorized_keys[/kw]
oder 11b) [kw]sudo nano authorized_keys[/kw] + Inhalt von RSA_Pub einfügen
12) [kw] sudo chmod 644 authorized_keys[/kw]
13) [kw] sudo nano /etc/ssh/sshd_config[/kw] - hier [kw]PublicKeyAuthorization on[/kw] und [kw]PasswordAuthentication off[/kw]
14) [kw] sudo service ssh restart[/kw]
Das sollte eigentlich alles sein, was du brauchst.
Michael2019
NGBler
- Registriert
- 11 Mai 2019
- Beiträge
- 178
- Thread Starter Thread Starter
- #160
VIELEN DANK für die ausführiche Erläuterung!
Ab 11a geht es um den Key, der per PuttyGEN erstellt wurde, oder?
Was ich nicht begreife, ich habe am raspi kein IPv6 aktiviert (es sei denn, es wäre standardmäßig an), ich habe KEINE Portweiterleitung im Router und IPv6 DEAKTIVIERT - WIE kann auf dem SSH Port was laufen???
Ab 11a geht es um den Key, der per PuttyGEN erstellt wurde, oder?
Was ich nicht begreife, ich habe am raspi kein IPv6 aktiviert (es sei denn, es wäre standardmäßig an), ich habe KEINE Portweiterleitung im Router und IPv6 DEAKTIVIERT - WIE kann auf dem SSH Port was laufen???