Anleitung: SSH (Dropbear) und Etherwake auf der FRITZ!Box

[gerdshi]

Hi!

Er ([email protected]) moechte, wenn ich es richtig verstanden habe, von ausserhalbe auf einem internen Rechner ueber den SSH-Server in der Fritz!Box zugreifen.

Die Antowrt ist Ja, es geht. Ich denke anstatt hier zum 1001 mal die Anletung zu geben reicht es zu sagen:
1. Installiere SSH auf der Fritz-Box gemaess Anleitung hier.
2. Installiere dir ein SSH-Klient auf dem Rechner von dem du von aussen aus zu dein Netzwerk zugreifen moechtest.
3. Lese dir die Anleitung zu diesen Klient durch - besonders dies, bitte tu das dringend! Da wird die ein Licht aufgehen soblad du es gelesen hast!

Waere es nicht sinvoll ein getrennten Thread zu oeffnen, der sich nur mit Fragen "wie benutze ich SSH" befasst, damit nicht die wirklich sinvolle Anleitung zur inbetriebnahme des SSH-Server durch Fragen vermischt wird, die eigentlich zu trivial sind und nur vom Schwerpunkt/Thema ablenken?

Gruss

 

[AndreR]

Hallo,

ich habe SSH und Etherwake auf der Box schon länger am laufen. Weils Spass macht guck ich heute mal in die Prozessliste ps und finde 2x

  468 root        344 S   /var/tmp/dropbear -r /var/tmp/dropbear_rsa_hostkey -p 443 
  470 root        324 S   init 
 2972 root        716 S   /var/tmp/dropbear -r /var/tmp/dropbear_rsa_hostkey -p 443 
 2973 root        416 S   -sh 
 3061 root        296 R   ps

warum ist dropbear 2x drin?

Gruß
André

 

[danisahne]

warum ist dropbear 2x drin?

Ich bin imr jetzt nicht sicher, ob dropbear fork-ed oder das 2 Threads sind, auf jeden Fall ist eines der Serverprozess, der nach neuen Verbindungen lauscht und der mit der höheren PID ist der Prozess, der gerade deine Anfragen bedient (also so lange wie deine SSH Sitzung existiert).

Mfg,
danisahne

 

[jebu81]

Hast Du ps über eine Telnet- oder SSH-Konsole aufgerufen?
Wenn per SSH, dann ist der zweite dropbear Deine aktuelle SSH-Verbindung. Falls Du per Telnet auf der Box warst dann dürfte das wohl eine Verbindungsleiche sein. Wenn die SSH-Verbindung nicht ordentlich beendet wird, also z.B. eine Verbindung mittels PuTTY offen ist und Du kappst ihm die Internetverbindung, läuft der dropbear erstmal ne Runde weiter.

 

[AndreR]

Hallo,
war per SSH eingeloggt, jetzt weiß ich Bescheid, danke schön

 

[[email protected]]

Ich will über das Internet also zum Beispiel wenn ich unterwegs bin, aus dem Internet Caffee in weis ich wo über die Fritzbox auf meinen Linux Server zugreifen, das Ganze per SSH abgesichert und über einen Internet Browser.
Auf der Linux Kiste läuft ein VNC Server der per Browser über Port 5008 erreichbar ist. Da ich im I Caffe aber keine Software installieren kann wie Putty ,aber eben dafür ein SSH Zugang brauche, brauche ich dafür eine Idee.

Ist es so klarer?

MFG Holger

 

[hiro]

putty.exe braucht man nicht installieren...
wenn du allerdings keine programme ausführen dafst, hast du nur die möglichkeiten http-seiten zu benutzen, dazu musst du also irgendwie eine verbindung zu einem http-server herstellen, alleerdings scheint das wohl eher auch nicht sicher zu sein... einzige lösung ist, deine vnc-server-ports einfach freizugeben, allerdings ssl verschlüsselung zu benutzen!

 

[jebu81]

Mindterm http://www.appgate.com/mindterm/ ist in Java geschrieben, hier http://www.appgate.com/products/80_MindTerm/50_Running_MindTerm/ steht auch wie man das in eine Internetseite integrieren und daraus dann starten kann. Hab ich allerdings noch nicht gemacht, kann dazu also keine Fragen beantworten. Vielleicht kannst Du es aber ja auch so schon runterladen und einfach starten.

 

[hiro]

jo, dazu müsste man ja rechte haben java programme auszuführen, und die hätte man auch nicht wenn die anderen sowieso gesperrt sind, einfache java applets können dagegen nicht genug machen, also wohl kaum irgendwass über port22 verschicken oder so, dann müsste eher ein binary auf dem server laufen, welches ein ssh-html gateway bereitstellt und so z.b. über ein java-applet die konsole anzeigt. damit kann man aber immer noch keine ports weiterleiten und alles in allem is das eher unnötig aufwendig.

 

[luder.]

Im Internet-Cafe wuerde ich schon garnicht die Zugangsdaten fuer meine Box eingeben, da nutzt Dir auch putty oder sonstiges nix, wer weiss ob und was auf der Kiste mitgeloggt wird.

 

[hiro]

da haste auch ma wieder recht, die tastatureingaben können ja super einfach geloggt werden!

 

[gerdshi]

Hallo!

Im Internet-Cafe wuerde ich schon garnicht die Zugangsdaten fuer meine Box eingeben, da nutzt Dir auch putty oder sonstiges nix, wer weiss ob und was auf der Kiste mitgeloggt wird.

Putty muss nicht installiert werden. Du kannst es runterladen (nur die EXE-Datei) und direkt starten, sofern Download und starten moeglich ist. Aber das letzte haengt stark vom Internet-Klub.

Gruss
P.S. Was mitlogen betrifft kannst du nichts machen, lediglich die Benutzung von Host-Keys wuerde dir evtl. helfen. Dann muss du aber sorge tragen, das dieser Key niemals auf dem fremden PC bleibt! Ziemlich schwer sicher zu stellen. Auch die Benutzung von Disketten garantiert dir nicht das er nicht im HIntergrund kopiert wird, oder ein temporaeres Abbild auf der Festplatte bleibt. :-(

 

[ao]

Kann man da nicht so etwas wie TANs einführen? Also zu Hause eine handvoll keys/TANs oder wie auch immer wir es nennen wollen, ablegen, sich einen oder zwei davon für unterwegs merken und im I-Cafe nutzen. Sobald die Verbindung wieder getrennt wird, ist key/TAN ungültig und man muss den/die nächste(n) nehmen. Wär das möglich?

Gruß, ao

 

[fws]

hallo,

eine möglichkeit besteht darin das du mit authorized_keys für den ssh zugang arbeitest. du generierst einige authorized_keys und aktivierst nach jeder einwahl einen neuen authorized_keys auf der fritz!box.

 

[[email protected]]

gute Idee wie erstellt man diese Keys gibt es ein how to?

danke Holger

 

[luder.]

Geht leider nur mit SmartCard oder aehnlichem!
Selbst wenn man mit Key arbeitet, dann muss ja das PW fuer den Key eingegeben werden, der Key selber ist bei der Benutzung im Internet-Cafe auch net sicher ^^

 

[Mnyh]

passwortliste

Kann man da nicht so etwas wie TANs einführen? Also zu Hause eine handvoll keys/TANs oder wie auch immer wir es nennen wollen, ablegen, sich einen oder zwei davon für unterwegs merken und im I-Cafe nutzen. Sobald die Verbindung wieder getrennt wird, ist key/TAN ungültig und man muss den/die nächste(n) nehmen. Wär das möglich?

Gruß, ao

also was er meinte war wohl dass es eine liste von passwörtern gibt, bei der
nach jedem login ein neues kennwort gesetzt wird. das selbe habe ich mir
auch überlegt! würde die sache auf jeden fall mal sicherer machen!
frage an die pros: kann man nicht eine extrene passwortdatei verwenden,
bei der das kennwort/der key nur einmal verwendbar ist?
man muss dann halt die liste ausdrucken und mitnehmen

 

[lord-of-linux]

Wie wärs vieleicht mit einem Skript, das die shadow -Datei modifiziert. Müsste man dan halt nur nach dem Login aufrufen, und schon ist das nächste PW gültig. Wäre wohl eine der einfachsten Möglichkeiten, denke ich.

 

[Mnyh]

SSH (Dropbear)

..genau, und vielleicht gibt es in dropbear ein anmeldeskript ?

 

[ao]

wechselnde TANs zusätzlich zum Passwort

also was er meinte war wohl dass es eine liste von passwörtern gibt, bei der nach jedem login ein neues kennwort gesetzt wird. das selbe habe ich mir auch überlegt! würde die sache auf jeden fall mal sicherer machen!frage an die pros: kann man nicht eine extrene passwortdatei verwenden, bei der das kennwort/der key nur einmal verwendbar ist? man muss dann halt die liste ausdrucken und mitnehmen

Danke, genauso habe ich es gemeint. Ausdrucken würde ich da natürlich nicht, aber eine oder zwei z.B. 8-stellige Zahl(en) (zusätzlich zum Passwort!) würde ich mir merken können, wenn ich unterwegs bin.

Gruß, ao