Nachdem ein ssh-key generiert wurde und die Anmeldung geklappt hat, können wir noch einen Schritt weitergehen und verbieten die Anmeldung mittels Passwort. Öffne die sshd-Konfigurationsdatei:
# nano /etc/ssh/sshd_config
und kommentiere die Passwort-Authentifizierung aus und setze den Wert auf Nein:
# To disable tunneled clear text passwords, change to no here! PasswordAuthentication no
#PermitEmptyPasswords no
Vorsicht: Damit kannst Du dich vom gesamten System aussperren. Mache dies nur, wenn Du sicher bist, was du hier genau tust!
Hinweis
es kann vorkommen, dass dies nicht auf Anhin klappt. Dann beginnen wir mit der Fehlersuche:
sshfs lässt zu, einen entfernten Server in Debian einzubinden. Dieser Server wird als normales Laufwerk in Debian angezeigt und kann auch als solches verwendet werden. Dazu benötigen wir lediglich einen Debian-Server in der Minimalinstallation. Port 22 ist der einzige Port, der geöffnet werden muss. Falls der Server zusätzlich unter Windows 11 verfügbar sein soll, ist die Installation eines Samba-Servers notwendig.
Installiere nun auf der Workstation (nicht auf dem Server) das Paket sshfs:
# apt install sshfs
Auf dem Server, welcher Du nun einbinden möchtest, erstellst Du unter /home/benutzer einen Ordner share. Dasselbe gilt für Deine Workstation:
$ mkdir share
Das war’s bereits. Eingehängt wird der entfernte Server mittels sshfs und dem Zielpfad auf deinem Debiansystem.
benutzer = Benutzername auf dem entfernten Server. benutzer = Benutzername deines aktuellen Systems. 12.345.678.90 = IP-Adresse vom Server.
Hinweis
Das Einhängen vom Server niemals mit root-Rechten ausführen. Es ist ausreichend, einen normalen Benutzer zu erstellen und diesen Benutzer zu verwenden.
# adduser BENUTZER
# adduser share
Lege Benutzer »share« an ...
Lege neue Gruppe »share« (1001) an ...
Lege neuen Benutzer »share« (1001) mit Gruppe »share« an ...
Erstelle Home-Verzeichnis »/home/share« ...
Kopiere Dateien aus »/etc/skel« ...
Geben Sie ein neues Passwort ein:
Geben Sie das neue Passwort erneut ein:
passwd: Passwort erfolgreich geändert
Benutzerinformationen für share werden geändert.
Geben Sie einen neuen Wert an oder drücken Sie ENTER für den Standardwert
Vollständiger Name []: Server_share
Zimmernummer []:
Telefon geschäftlich []:
Telefon privat []:
Sonstiges []:
Sind die Informationen korrekt? [J/n] J
root@debian:~#
Der Midnight Commander gehört zu den «nice to have» Paketen auf einem Debianserver. Installiere ihn mittels:
# apt install mc
Der Midnight Commander erleichtert das Navigieren und Editieren der Dateien enorm. Während hier z.B. links die Ordnerstruktur ersichtlich ist, wird der Dateiinhalt rechts ausgegeben. Für mich zählt der Midnight Commander zu den nützlichsten Server-Tools überhaupt:
Mit Debian lässt sich ein kleines Netzwerk recht schnell realisieren. Hier wird das Grundprinzip eines einfachen Heimnetzwerk erklärt. Ein in die Jahre gekommener Laptop kann als ssh-Server eingesetzt werden. In meinem Beispiel entschied ich mich für einen HP Pavilion dv6 und dem Betriebssystem Debian GNU/Linux Bullseye.
Auf dem Laptop/Tower setzen wir nun unseren ssh-Server auf. Falls auf dem Laptop bereits ein Debian läuft, kann per
# apt install openssh-server
das nötige Paket nachinstalliert werden. Setzen wir Debian frisch auf, wählen wir bei der Softwareauswahl lediglich [*] SSH Server
[*] Standard-Systemwerkzeuge
aus. Ein Desktopenvironment ist in diesem Fall nicht nötig. Alle anderen Dienste wie apache2, php und MariaDB lassen sich nachträglich installieren.
Melde Dich beim Server an und überprüfe den Status vom ssh Server. Der ssh-Server ist in diesem Beispiel gestartet und lauscht auf Port 22 (Standard).
# systemctl status ssh
Jetzt benötigen wir die IP-Adresse vom Server:
# ip address
(...)
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 98:4b:e1:9b:48:0d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.172/24 brd 192.168.0.255 scope global dynamic enp3s0
valid_lft 2557sec preferred_lft 2557sec
inet6 2a02:aa10:4201:8a80:9a4b:e1ff:fe9b:480d/64 scope global dynamic mngtmpaddr
valid_lft 936435sec preferred_lft 331635sec
inet6 fe80::9a4b:e1ff:fe9b:480d/64 scope link
valid_lft forever preferred_lft forever
(...)
Von der Workstation aus können wir per ssh auf den Server zugreifen. Der allgemeine Befehl lautet:
$ ssh USERNAME@IPADRESS -p PORTNUMMER
Bei deiner allerersten Anmeldung wird der Fingerabdruck überprüft:
$ ssh lightning@192.168.0.172 -p 22
The authenticity of host '192.168.0.172 (192.168.0.172)' can't be established.
ECDSA key fingerprint is SHA256:VO+yY396S/SxMxo/VQDx55ZVLKpC2idiVSvQKu+6qrE.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
HINWEIS
Nicht jede Fehlermeldung muss gleich auf einen Angriff hinweisen. Im Beispiel unten hat sich beim Server lediglich der Fingerabdruck geändert und stimmt mit dem gespeicherten Fingerabdruck auf der Workstation nicht überein. Dies ist der Fall, wenn Du deinen ssh-Server z. B. neu aufgesetzt hast und nun versuchst, mit dem alten Fingerabdruck den neuen Server zu erreichen. Entferne den Schlüssel mit:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:VO+yY396S/SxMxo/VQDx55ZVLKpC2idiVSvQKu+6qrE.
Please contact your system administrator.
Add correct host key in /home/yuna/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/yuna/.ssh/known_hosts:5
remove with:
ssh-keygen -f "/home/yuna/.ssh/known_hosts" -R "192.168.0.172"
ECDSA host key for 192.168.0.172 has changed and you have requested strict checking.
Host key verification failed.
Netzwerk verbinden (samba)
Client-PC
Hier läuft Windows 11 und es muss nichts weiteres unternommen werden. Prüfe lediglich, ob unter der Systemsteuerung die Netzwerkkennung eingeschaltet ist. PuTTY als SSH und Telnet Client ist optional, jedoch nicht nötig. Alle Einstellungen können auch direkt am Server vorgenommen werden.
Server
Hier läuft Debian GNU/Linux. Bevor samba installiert wird, kläre folgendes ab:
IP-Adresse vom Server (ip address)
Welcher Ordner bzw. Mountpunkt wird geteilt? Hier ist es /pfad/zum/mountpunkt
Installiere das Paket samba. Damit später auch ntfs-Dateisysteme (Partitionen) eingebunden werden können, ist das Paket ntfs-3g nötig. Werden ext4-Datesysteme eingebunden, kann auf das Paket verzichtet werden.
# apt install samba
# apt install ntfs-3g
Optional kann jetzt die Konfigurationsdatei gesichert werden. Dazu genügt ein:
[homes]
comment = Home Directories
browseable = no
# By default, the home directories are exported read-only. Change the
# next parameter to 'no' if you want to be able to write to them.
read only = no
create mode = 0750
[public]
path = /pfad/zum/Ordner
public = yes
writable = yes
comment = smb share
printable = no
guest ok = yes
Starte den Samba-Server neu:
# systemctl restart smbd.service
Client-PC (hier Windows 11)
Auf dem Client-PC kann nun ein Netzlaufwerk verbunden werden. Wähle dazu in Windows 11 «Dieser PC» > weitere Optionen anzeigen > Netzlaufwerk verbinden… und vergib einen Laufwerkbuchstaben und die IP des Servers, gefolgt von \public
Je nach Mountpunkt gibst du nach public noch die exakte Bezeichnung ein.
Einhängepunkte findest du bei Debian mittels df -h
Partition /dev/sda1 wird in diesem Fall per \\192.168.0.172\public\BACKUP
eingebunden.
Bei einem # apt upgrade werden auch die Pakete von deinem Sama-Server berücksichtig:
Die Installationsroutine von apt fragt danach, was mit deiner eigenen smb.conf geschehen soll. In der Regel ist es immer eine gute Idee, die lokal installierte Version zu behalten.
timedatectl gibt dir nähere Angaben zur Zeitzone und der locale:
# timedatectl
Local time: Sun 2022-10-02 11:09:03 UTC
Universal time: Sun 2022-10-02 11:09:03 UTC
RTC time: Sun 2022-10-02 11:09:03
Time zone: Etc/UTC (UTC, +0000)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
Für mein Beispiel stimmen gleich zwei Angaben nicht. Die lokale Zeit und die Zeitzone. Höchste Zeit, dies zu ändern.
# timedatectl
Local time: So 2022-10-02 13:29:30 CEST
Universal time: So 2022-10-02 11:29:30 UTC
RTC time: So 2022-10-02 11:29:31
Time zone: Europe/Zurich (CEST, +0200)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
Tastaturlayout einstellen (Keyboard)
Falls das falsche Keyboard gewählt wurde, kann dies geändert werden.
# dpkg-reconfigure keyboard-configuration
# service keyboard-setup restart
Mittels tar oder zip lassen sich Archive unter einem Linux-Server erstellen. Angenommen du möchtest den Theme-Ordner deiner WordPress Installation sichern, geht dies mit tar, gz, gzip, bz2, bzip2 oder eben zip. gzip und bzip2 sind sich sehr ähnlich, verwenden aber einen anderen Algorithmus. Ein reines tar-Archiv ist unkomprimiert. Der Theme-Ordner von WordPress findet sich in der Regel unter /var/www/html/wp-content/themes
mittels zip
Der Zip-Befehl kann rekursiv (-r) ausgeführ werden. Dabei werden alle Unterordner mit einbezogen. Vereinfacht lautet der Befehl: zip -r zieldatei.zip /pfad/zum/Ordner
$ zip -r themes.zip /var/www/html/wp-content/themes/
mittels tar
Anders verhält sich hier tar und erstellt eine unkomprimierte Datei. Die ausgegebene Datei themes.tar kann jetzt noch mit gz komprimiert werden. Auch hier gilt allgemein: tar cfv zieldatei.zip /pfad/zum/Ordner
$ tar cfv themes.tar /var/www/html/wp-content/themes/
$ gzip themes.tar
so lässt sich schnell und einfach ein Archiv erstellen. Als Ausgabe bekommst Du die Datei themes.tar.gz
Die Archiv-Datei kann mittels proftpd heruntergeladen werden. Alternativ kannst Du sie (falls ein Webserver wie apache2 läuft) nach /var/www/html verschieben und per wget oder im Browser herunterladen:
$ wget example.com/themes.tar.gz
Vergiss am Ende nicht, die Archiv-Datei auf dem Server zu löschen.
netstat (Netzwerkstatus) ist nicht von Hause aus in Debian enthalten. Versuchst Du den Befehl aufzurufen, kommt es unweigerlich zu einer Fehlermeldung:
lässt sich dieses Tool auf nutzen. netstat ist ideal geeignet, um Netzwerkproblemen auf den Grund zu gehen.
Beispiel:
Nach der Installation der Firewall ufw streikte plötzlich mein Samba-Server und ich konnte von Windows 11 nicht mehr auf das Netzwerklaufwerk zugreiffen:
Erst der Einsatz von netstat auf dem Samba-Server (Debian 11) brachte Licht ins dunkle:
apt -f install wird nötig sein, falls Abhängigkeitsprobleme auftauchen und löst dies sehr elegant, indem sämtliche Pakete nachinstalliert werden. In diesem Fall fehlen z. B. folgende Pakete, welche alternativ auch per apt installiert werden können:
Um einen gemeinsamen Ordner zu Erstellen, ist das Erweiterungspaket notwendig. Dabei spielt es keine Rolle, ob die VirualBox nun auf Linux oder Windows läuft. Lediglich die Installation im virtuellen Betriebsystem weicht ab. Bei Windows 11 installieren wir eine .exe-Datei, während bei Linux die .run-Datei installiert wird. Die Installation des Zusatzpaketes ist wie bereits erwähnt plattformunabhängig.
Starte Virtualbox unter Windows oder Linux, gehe zu Datei > Einstellungen und wähle im geöffneten Fenster den Punkt Zusatzpakete. Wähle die soeben heruntergeladene Datei aus und installiere diese.
Ob die Installation nun unter Windows oder Linux erfolgt ist egal. Das Extensions-Paket ist für beide Version gleich. Starte nun die virtuelle Maschine und gehe zu Geräte > Gasterweiterung einlegen…
Gasterweiterung unter Linux installieren
Bei Debian wird das optische Laufwerk unter /media eingehängt. Die .run-Datei kann nun installiert werden. Falls die Virtualbox unter Linux läuft und eine Windowsmaschine gestartet wird, installiere die .exe-Datei.
Nach der Installation muss die virtuelle Maschine neu gestartet werden.
# sh ./VBoxLinuxAdditions.run
# reboot now
Um den vollen Zugriff auf den Ordner zu bekommen, ändere die Userrechte in Debian mit:
# usermod -aG vboxsf USER
Gasterweiterung unter Windows installieren
Ist Windows in der VirtualBox gestartet, wird das optische Laufwerk unter D: (oder dem nächsten, freien Buchstaben) eingebunden. Hier klicken wir auf VBoxWindowsAddition-amd64.exe
Anlegen einses gemeinsamen Ordners (gilt für Linux und Windows)