ubuntuusers.de

Hallo liebes Forum,

schon das ein oder andere Mal wurde ich hier mit guten Tipps versorgt und frage euch auch daher heute noch einmal mit einem aktuellen Anliegen.

Ich betreibe einen kleinen Server zu Hause. Dieser ist lediglich lokal erreichbar.

Von Untwerwegs logge ich mich über einen ssh-tunnel ein. Portweiterleitung ist im Router entsprechend aktiviert.

Für ssh nutze ich nur Keys, Passwortlogin habe ich deaktiviert. Ich logge mich mit dem normalen Benutzerkonto auf meinem Server ein welches ich bei der Installation vergeben habe.

Nun meine Frage:

Ich würde gerne die Rechte für den SSH Tunnel weiter einschränken, d.h. eigentlich möchte ich nur einen Tunnel haben welcher mir die Ausgabe des Webservers weiterleitet. Macht es hier Sinn, SSH auf einem raspberry Pi laufen zu lassen und darüber den Tunnel aufzubauen damit von aussen kein Zugriff auf den Server direkt erfolgen kann oder gibt es fertige Router (Images) die ein SSH Tunnel bieten? Mir geht es lediglich um die Sicherheit meines Servers.

Danke für eure Anregungen.

Auch wenn ich vor wenigen Minuten hier selbst bzgl. VPN Hilfe erbeten habe: eine Portweiterleitung bedeutet am Router in jedem Fall einen offenen Port. Wenn dein Router VPN beherrscht (das kann z.B. jede aktuelle FritzBox), würde ich den SSH-Port zumachen und lieber eine VPN-Verbindung einrichten. Wenn es dir um die Sicherheit geht, halte ich das für die bessere Variante.

Grüße, fauxxami

Hi,

danke für deine Antwort. Wo soll hier der Sicherheitsgewinn liegen? In beiden Fällen habe ich offene Ports. SSH mit 4096bit Key ist meiner Ansicht nach im Grundsatz schon sicher genug. Mir geht es eher um die Rechte auf dem Zielrechner.

Wo soll hier der Sicherheitsgewinn liegen? In beiden Fällen habe ich offene Ports.

So einfach ist das nicht: SSH ist ein Protokoll auf der Anwendungsschicht. Du musst deinen SSH-Server also manuell so konfigurieren, dass er möglichst sicher ist - darum geht es dir doch, oder? VPN hingegen arbeitet auf der Transportschicht - mit allen Vorteilen, die das bietet. Füttere mal deine Lieblings-Suchmaschine mit "VPN vs SSH". Was die reine Verschlüsselung angeht, hast du natürlich recht.

Keithi schrieb:

Macht es hier Sinn, SSH auf einem raspberry Pi laufen zu lassen und darüber den Tunnel aufzubauen damit von aussen kein Zugriff auf den Server direkt erfolgen kann oder gibt es fertige Router (Images) die ein SSH Tunnel bieten? Mir geht es lediglich um die Sicherheit meines Servers.

Normalerweise bietet der ssh-Daemon (sshd-config) eine Option "UsePrivilegeSeparation" die, wenn eingeschaltet, dafür sorgt, dass der Daemon nur mit den Rechten des jeweiligen Accounts läuft, auf dem man einloggt. (Kann man auch mit "top" oder "ps aux" sehen.) Das ist nicht schlecht, schliesst aber nicht den Initiallogin ein, der mit Root-Rechten läuft. Man kann es also noch auf die Spitze treiben und den Daemon komplett unter einem Gastaccount laufen lassen. Das ist ein erhöhter Konfigurationsaufwand, der sich aber durchaus lohnen kann. ("UsePrivilegeSeparation" kann man dann abschalten, da es keinen Sicherheitsgewinn mehr bringt.)

Es ist also (im Gegensatz zu Samba) tatsächlich möglich den ssh-Daemon komplett nur unter einem Gastaccunt zu starten und dann auf einem Client (z.B. Raspberry) ein Netzlaufwerk (mittels sshfs) zu mounten. Dann kann man dort (auf dem Client) einen weiteren ssh-Daemon laufen lassen und diesen auf das Netzlaufwerk verweisen lassen. (Mehr Sicherheit geht nicht.) Macht natürlich nur Sinn, wenn man sich bestens mit der Rechteverwaltung auskennt und genug Zeit hat.