Hallo Jörg,
Am 28.10.2018 um 21:30 schrieb Jörg Zühlke:
Hallo zusammen,
ich gebe jetzt auch mal meinen Senf dazu. Vielleicht bringt es ja was:
Ja, sicher. Danke.
Thema Distro für Umsteiger:
Würde ich auch ganz klar Linux Mint mit Mate Desktop empfehlen. Das
Look & Feel kommt Win sehr nahe und die Integration ist wirklich sehr
weit fortgeschritten. Halte ich daher für sehr geeignet und vermutlich
aktuell den besten Kandidaten.
Sicher ein sinnvoller Vorschlag, aber ich werde bei dem Desktop bleiben,
an den /ich/ mich gewöhnt habe (Cinnamon). Ein wesentlicher Aspekt bei
der ganzen Sache ist schließlich der, dass es weniger Reibungsverluste
beim "Support" geben soll.
Thema Remote-Support:
Hier auch meine Empfehlung zu x2go (ist der opensource Nachfolger von
freenx). Der kann auch notfalls das Spiegeln einer bereits laufenden
Session und läuft standardmäßig über ssh. Performance ist echt gut
(auch bei schmalen Verbindungen). Es gibt Clients quasi für jedes OS.
OK, das werde ich auf meine Liste zu vergleichender Produkte setzen.
Ich selbst betreiebe das ohne VPN, rein mit
Port-Forwarding auf 22.
Womit wir auch schon zum Sicherheitssaspekt kommen:
Port-Forwarding ist nicht unbedingt das Problem. Die Frage ist eher,
wie sicherst Du das in Deinem Netz (also am Rechner Deiner Mutter) ab.
Problem wird dann nämlich sein, dass jede ssh-Anfrage auf dem Rechner
Deiner Mutter ankommt und man dort seelenruhig alles Mögliche
veranstalten kann, wenn man sich vorher nicht auf böse Buben einstellt.
Aber zum Glück gibt's auch dafür sinnvolle Ansätze.
Zuerst solltest Du die ssh-Authentifizierung per ssh-Schlüssel
einrichten (schau mal im Wiki der ubuntuusers nach) und Dein
Schlüsselpaar sicher (also verschlüsselt) als Backup bei Dir sichern.
Wenn das funktioniert (ist keine große Sache, der Wiki-Beitrag ist
sehr gut ausgeführt), die Passwort-Authentifizierung per ssh am
Rechner Deiner Mutter deaktivieren (molto importante!).
Ab dann kannst Du Dich nur noch per ssh-Schlüssel (oder lokal vor Ort)
am Rechner Deiner Mutter anmelden.
Das ist mir klar. Den Rechner meiner Mutter würde ich in dieser Hinsicht
wie (m)einen web-zugänglichen Server behandeln. Zu den genannten Punkten
kommt noch: verbieten des Login als root.
Jetzt hättest Du schon mal den größten Teil geschafft.
Abschließend kann man noch drüber nachdenken, ob man dem ssh-Zugang
zusätzlich mit fail2ban einen "Türsteher" zur Seite stellt. Der kann
die ssh-Logins überwachen und ab einer definierbaren Anzahl von Fails
die Quell-IP des Anfragenden für eine konfigurierbare Zeit sperren.
(Cave: damit kann man sich anfangs gern auch mal selbst aussperren).
Ja, das habe ich auf meinem Server auch laufen.
Klingt vermutlich alles etwas viel und kompliziert, ist es aber nicht.
Wenn das alles läuft, bist Du trotzdem noch komplett mit freien
opensource-Komponenten unterwegs, verwendest LX-Standard-Techniken und
bist nicht auf proprietäre Software angewiesen.
Das klingt auch gut...
Herzliche Grüße
Urs
Wie gesagt, so ein sehr ähnliches Setup läuft bei mir schon seit
vielen Jahren und hat auch einige größere Systemupdates unbeschadet
überstanden.
HTH, Gruß Jörg.
*Von:* Urs Liska <ul(a)openlilylib.org>
*Gesendet:* Sonntag, 28. Oktober 2018 17:15
*An:* flug(a)lug-freiburg.de
*Betreff:* Re: SSH- und grafischer Zugang hinter Router
Hallo Andreas,
Am 28.10.2018 um 17:29 schrieb Andreas Delleske:
Hi Urs,
Vielleicht kann mir ja jemand die richtigen Tipps
und Richtungen geben, bevor ich mich selbst ins Netz stürze und ziellos darin
herumstochere...
Ich finde Linux Mint super.
*An sich* würde ich das für eine Erst-Umsteigerin auch empfehlen, denn
ich glaube, dass Mint noch etwas besser integriert ist als Debian mit
Cinnamon. Andererseits denke ich, dass ein mit meinem identisches
System (also Paketrepository und Update-Stand, Desktop etc.) doch
einiges für sich hat.
Außer ssh würde ich noch sowas wie VNC (TurboVNC oder sowas, kann
ruhig von der Distibution kommen) installieren.
Sehe ich es richtig, dass ich auf dem Zielrechner einen VNC-/Server/
und auf meinem Rechner einen VNC-/Client///brauche?
Gibt es hier Tipps oder Meinungen zum Unterschied zwischen den
Distributionslösungen (evtl. auch Desktop-Standard-Tools und andere
wie z.B. bei Dateimanagern) und (kostenlosen) kommerziellen Angeboten
wie TeamViewer oder NoMachine?
Allerdings sollte der Port standardmäßig nicht offen / der Daemon
nicht an sein, idealerweise tunnelt man das dann über ssh.. die
VNC-Protokolle sind oft angreifbar, stadardmäßig unverschlüsselt und
die Konfig ist so murksig daß ich mich nciht wundern würde wenn VNC
volle Schwachstellen wäre.
Das ist mir nicht ganz klar, wie das geht. Also den SSH-Port habe ich
freigeschaltet bzw. weitergeleitet. Muss ich dann einfach in den
jeweiligen (Programm/Verbindungs-)Einstellungen des VNC-Servers und
-Clients einstellen, dass eine SSH-Verbindung verwendet werden soll?
Oder gehört da noch mehr dazu?
Der Rechner wird hinter einem Router (FritzBox)
hängen, den ich über dynamisches DNS erreichen kann.
AVM würde das auch schon mit "myfritz" umsonst anbieten.
Ja, das weiß ich, ich habe den entsprechenden Link auf ihre Fritzbox
schon als Favorit im Browser gespeichert. Ich nehme an die
SSH-Verbindung würde entsprechen funktionieren?
Portforwarding auf Deine Kiste ist dann klar, oder? Deshalb sollte die
Kiste wie Ingo schon sagt eine feste IP aus dem Bereich der Fritzbox
haben.
Ja, klar.
Ist in dem Zusammenhang VPN relevant oder nicht,
wenn ich mich doch über SSH wie auf meinem eigenen Rechner einwählen (und ja sicher auch
die Laufwerke mounten) kann?
VPN bräuchtest Du allenfalls dann wenn Du auch mit Windowsfreigaben
rumschaukeln wolltest aber dank ssh + Tunnels brauchst Du das ja
nicht.
OK, hatte ich auch vage so verstanden. Gut, eine Sorge weniger ...
Gruß
Urs
Schönen Gruß
Andreas
--
Urs Liska
Glümerstr. 5
79102 Freiburg
+49(0)179-4642905
ul(a)openlilylib.org
--
Urs Liska
Glümerstr. 5
79102 Freiburg
+49(0)179-4642905
ul(a)openlilylib.org