Hallo Jörg,


Am 28.10.2018 um 21:30 schrieb Jörg Zühlke:
Hallo zusammen,

ich gebe jetzt auch mal meinen Senf dazu. Vielleicht bringt es ja was:

Ja, sicher. Danke.


Thema Distro für Umsteiger:

Würde ich auch ganz klar Linux Mint mit Mate Desktop empfehlen. Das Look & Feel kommt Win sehr nahe und die Integration ist wirklich sehr weit fortgeschritten. Halte ich daher für sehr geeignet und vermutlich aktuell den besten Kandidaten.


Sicher ein sinnvoller Vorschlag, aber ich werde bei dem Desktop bleiben, an den ich mich gewöhnt habe (Cinnamon). Ein wesentlicher Aspekt bei der ganzen Sache ist schließlich der, dass es weniger Reibungsverluste beim "Support" geben soll.

Thema Remote-Support:

Hier auch meine Empfehlung zu x2go (ist der opensource Nachfolger von freenx). Der kann auch  notfalls das Spiegeln einer bereits laufenden Session und läuft standardmäßig über ssh. Performance ist echt gut (auch bei schmalen Verbindungen). Es gibt Clients quasi für jedes OS.

OK, das werde ich auf meine Liste zu vergleichender Produkte setzen.

Ich selbst betreiebe das ohne VPN, rein mit Port-Forwarding auf 22.

Womit wir auch schon zum Sicherheitssaspekt kommen:

Port-Forwarding ist nicht unbedingt das Problem. Die Frage ist eher, wie sicherst Du das in Deinem Netz (also am Rechner Deiner Mutter) ab.

Problem wird dann nämlich sein, dass jede ssh-Anfrage auf dem Rechner Deiner Mutter ankommt und man dort seelenruhig alles Mögliche veranstalten kann, wenn man sich vorher nicht auf böse Buben einstellt.
Aber zum Glück gibt's auch dafür sinnvolle Ansätze.
Zuerst solltest Du die ssh-Authentifizierung per ssh-Schlüssel einrichten (schau mal im Wiki der ubuntuusers nach) und Dein Schlüsselpaar sicher (also verschlüsselt) als Backup bei Dir sichern. Wenn das funktioniert (ist keine große Sache, der Wiki-Beitrag ist sehr gut ausgeführt), die Passwort-Authentifizierung per ssh am Rechner Deiner Mutter deaktivieren (molto importante!).
Ab dann kannst Du Dich nur noch per ssh-Schlüssel (oder lokal vor Ort) am Rechner Deiner Mutter anmelden.

Das ist mir klar. Den Rechner meiner Mutter würde ich in dieser Hinsicht wie (m)einen web-zugänglichen Server behandeln. Zu den genannten Punkten kommt noch: verbieten des Login als root.


Jetzt hättest Du schon mal den größten Teil geschafft.
Abschließend kann man noch drüber nachdenken, ob man dem ssh-Zugang zusätzlich mit fail2ban einen "Türsteher" zur Seite stellt. Der kann die ssh-Logins überwachen und ab einer definierbaren Anzahl von Fails die Quell-IP des Anfragenden für eine konfigurierbare Zeit sperren. (Cave: damit kann man sich anfangs gern auch mal selbst aussperren).

Ja, das habe ich auf meinem Server auch laufen.


Klingt vermutlich alles etwas viel und kompliziert, ist es aber nicht. Wenn das alles läuft, bist Du trotzdem noch komplett mit freien opensource-Komponenten unterwegs, verwendest LX-Standard-Techniken und bist nicht auf proprietäre Software angewiesen.

Das klingt auch gut...

Herzliche Grüße
Urs


Wie gesagt, so ein sehr ähnliches Setup läuft bei mir schon seit vielen Jahren und hat auch einige größere Systemupdates unbeschadet überstanden.

HTH, Gruß Jörg.


Von: Urs Liska <ul@openlilylib.org>
Gesendet: Sonntag, 28. Oktober 2018 17:15
An: flug@lug-freiburg.de
Betreff: Re: SSH- und grafischer Zugang hinter Router

Hallo Andreas,


Am 28.10.2018 um 17:29 schrieb Andreas Delleske:
Hi Urs, 
 

Vielleicht kann mir ja jemand die richtigen Tipps und Richtungen geben, bevor ich mich selbst ins Netz stürze und ziellos darin herumstochere... 

 
Ich finde Linux Mint super.

*An sich* würde ich das für eine Erst-Umsteigerin auch empfehlen, denn ich glaube, dass Mint noch etwas besser integriert ist als Debian mit Cinnamon. Andererseits denke ich, dass ein mit meinem identisches System (also Paketrepository und Update-Stand, Desktop etc.) doch einiges für sich hat.


 
Außer ssh  würde ich noch sowas wie VNC (TurboVNC oder sowas, kann 
ruhig von der Distibution kommen) installieren.

Sehe ich es richtig, dass ich auf dem Zielrechner einen VNC-Server und auf meinem Rechner einen VNC-Client brauche?

Gibt es hier Tipps oder Meinungen zum Unterschied zwischen den Distributionslösungen (evtl. auch Desktop-Standard-Tools und andere wie z.B. bei Dateimanagern) und (kostenlosen) kommerziellen Angeboten wie TeamViewer oder NoMachine?

 
Allerdings sollte der Port standardmäßig nicht offen / der Daemon 
nicht an sein, idealerweise tunnelt man das dann über ssh.. die 
VNC-Protokolle sind oft angreifbar, stadardmäßig unverschlüsselt und 
die Konfig ist so murksig daß ich mich nciht wundern würde wenn VNC 
volle Schwachstellen wäre.

Das ist mir nicht ganz klar, wie das geht. Also den SSH-Port habe ich freigeschaltet bzw. weitergeleitet. Muss ich dann einfach in den jeweiligen (Programm/Verbindungs-)Einstellungen des VNC-Servers und -Clients einstellen, dass eine SSH-Verbindung verwendet werden soll? Oder gehört da noch mehr dazu?

 

Der Rechner wird hinter einem Router (FritzBox) hängen, den ich über dynamisches DNS erreichen kann. 

 
AVM würde das auch schon mit "myfritz" umsonst anbieten.

Ja, das weiß ich, ich habe den entsprechenden Link auf ihre Fritzbox schon als Favorit im Browser gespeichert. Ich nehme an die SSH-Verbindung würde entsprechen funktionieren?

 
 
Portforwarding auf Deine Kiste ist dann klar, oder? Deshalb sollte die 
Kiste wie Ingo schon sagt eine feste IP aus dem Bereich der Fritzbox 
haben.

Ja, klar.

 
 

Ist in dem Zusammenhang VPN relevant oder nicht, wenn ich mich doch über SSH wie auf meinem eigenen Rechner einwählen (und ja sicher auch die Laufwerke mounten) kann? 

 
VPN bräuchtest Du allenfalls dann wenn Du auch mit Windowsfreigaben 
rumschaukeln wolltest aber dank ssh + Tunnels brauchst Du das ja 
nicht.

OK, hatte ich auch vage so verstanden. Gut, eine Sorge weniger ...

Gruß
Urs

 
 
Schönen Gruß 
Andreas 


--  
Urs Liska 
Glümerstr. 5 
79102 Freiburg 
+49(0)179-4642905 
ul@openlilylib.org


-- 
Urs Liska
Glümerstr. 5
79102 Freiburg
+49(0)179-4642905
ul@openlilylib.org