[Gelöst] Raspberry PI Login

Begonnen von tfriedrich85, 05 Februar 2020, 19:35:25

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten 1 2 Alle
Benutzer-Aktionen

HeikoGr

#15
06 Februar 2020, 12:55:37
ich halte es als Gesamtsystem schon für deutlich sicherer:

- Es sind 2 unabhängige Logins zu überwinden
- Der Angreifer weiß nicht ob es sich lohnt, er sieht "nur" den VPN Endpunkt (bei ssh erwartet er eine Shell)

härten sollte/kann man natürlich trotzdem immernoch.

Die meisten Router ja eh nicht um ein Netzwerk richtig abzuschotten. Spätestens wenn IPv6 großflächig eingesetzt wird sollten sich auch Betreiber von kleinen, lokalen Netztwerken mit einer ordentlichen Abschottung des Netzes beschäftigen. Dann reicht es nicht, den einen Dienst ordentlich zu härten.

Aber ich schweife ab :-D

tfriedrich85

#16
06 Februar 2020, 14:46:22
Ich hab das System neu aufgestzt und ein Fhem Restroe gemacht.
Das Grund-Setup läuft also wieder.
Die SSH Zugänge habe ich damit abgesichert:
https://developer-blog.net/raspberry-pi-ssh-zugriff-einschraenken-teil-2/

Mein Fehler in Bezug auf GeoFancy war, das in der Fritzbox die IP des Raspberrys (auf dem Fhem läuft) als Exposed Host gesetzt war. Damit kamm ich zwar von außen leicht an Geofancy aber jeder andere auch von außen dran.

Um aber mit der Geofancy App auf einen Port zugreifen zu können, brauche ich jetzt zuminstens einen offenen Port den 8088 aber wenn ich nur diesen in der Fritzbox freigebe, komme ich von außen noch nicht drauf. Woran liegt das (siehe bild)?

CoolTux

#17
06 Februar 2020, 15:01:00
Exposed Host

Ist das schlimmste was man machen kann ohne eine vernünftige Firewall und DMZ. Da gibt man alle Ports an den Host weiter. Das ist das selbe wie wenn der Host selbst direkt im Internet steht.
Bitte gebe immer nur einen Port an einen Host weiter. Und überlege ob Du das wirklich brauchst.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Otto123

#18
06 Februar 2020, 15:39:31 Letzte Bearbeitung: 06 Februar 2020, 16:07:55 von Otto123
Warum von 80 bis 88 wenn Du genau 8088 willst?
Also von 8088 bis 8088
Von 8088 auf 8088

:o

Ich würde das nicht machen  ::)
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Wernieman

#19
06 Februar 2020, 15:59:54
anstatt denyhost würde ich fail2ban nehmen (blockt gleich auf IP-Ebene), aber das sind "nur" Kleinigkeiten.

Otto hat alles wichtige gesagt ;o)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

MadMax-FHEM

#20
06 Februar 2020, 16:11:43 Letzte Bearbeitung: 06 Februar 2020, 16:13:15 von MadMax-FHEM
Zitat von: Otto123 am 06 Februar 2020, 15:39:31
Warum von 80 bis 88 wenn Du genau 8088 willst?
Also von 8088 bis 8088
Von 8088 auf 8088

:o

Ich würde das nicht machen  ::)

Schon gar noch viel weniger, wenn ich schon bei solchen Einstellungen Schwierigkeiten hätte... ;)
(wer weiß was da noch alles nicht optimal [=unsicher] konfiguriert/eingestellt wird/wurde / siehe exposed Host)

EDIT: selbst wenn dann jetzt der Port richtig eingestellt wurde -> allowed Device nicht vergessen (sofern es sich um Zugriff auf fhem handelt), sonst kommst du auch immer noch nicht drauf... (oder hätte ich das jetzt aus "Sicherheitsgründen" nicht erwähnen sollen ;)  )...

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

Wernieman

#21
06 Februar 2020, 18:47:03
Und Passwort setzen .... wobei die direkte Erreichbarkeit von FHEM aus dem Netz wurde schon seeeeehr häufig diskutiert ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

tfriedrich85

#22
07 Februar 2020, 08:28:49
Zitat von: Otto123 am 06 Februar 2020, 15:39:31
Warum von 80 bis 88 wenn Du genau 8088 willst?
Also von 8088 bis 8088
Von 8088 auf 8088

:o

Ich würde das nicht machen  ::)

Hallo Otto, da hab ich mich von der Fritzbox in die Irre führen lassen, ich dachte Ports sind 2 Stellig und 8088 bedeutet von 80 -88. Mein Fehler. Hab ich korrigiert und nun läuft es auch. Danke

@Wernieman: Ich habe ein Basicauth auf den Webhook gesetzt, wenn du das meinst?

Otto123

#23
07 Februar 2020, 09:09:19
Ganz Ehrlich: Bitte: ohne jeden Plan mach keinerlei Freigaben ins Internet. Das ist grob fahrlässig!
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

tfriedrich85

#24
07 Februar 2020, 09:33:02
@Otto
Ja, hab ich gelernt und deswegen auch den Raspi platt gemacht....

Btw: Hast du gute Erfahrungen mit einem Nano mit Ethernehr Shield und Firmata? - Hab ich deinem Footer gelsen...

Otto123

#25
07 Februar 2020, 09:54:08
Nö, habe weder ethernet Shield noch firmata. Hab mal vor einiger Zeit etwas mit Arduino gespielt und den mit Arducounter und als "Ferrarisscheibenleser"  im Einsatz.
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

tfriedrich85

#26
07 Februar 2020, 10:04:24
Ich glaube jetzt sind alle Unklarheiten beseitigt.
Drucken
Nach oben Seiten 1 2 Alle
Benutzer-Aktionen