Es gibt 24 Antworten in diesem Thema, welches 2.577 mal aufgerufen wurde. Der letzte Beitrag (25. August 2009 um 20:07) ist von jackdaniels.

  • hi leute

    ich habe einen homeserver
    zudem einen vserver im internet hängen

    ich möchte nun zur sicherheit ssl nutzen.
    bedeutet ich möchte emails per imap mit zertifikat abholen

    ebenso möchte ich ssl für VNC auf meinem heimserver nutzen.
    möchte über internet per vnc auf den heimserver zugreifen können.
    vermutlich werde ich dies per ssh tunnel machen.... habe dazu leider noch nicht zuviel gelesen! vnc einrichten war erstmal n krampf ansich :D

    also email per ssl zertifikat
    vnc per ssl zertifikat

    wie erstelle ich das ding denn? scheint mächtig kompliziert zu sein! möchte das nicht von ner externen stelle zertifizieren lassen, nur für mich privat eben!

    hoffe jemand kann mir was dazu erzählen! für tips und anregungen bin ich offen!

  • wie erstelle ich das ding denn? scheint mächtig kompliziert zu sein! möchte das nicht von ner externen stelle zertifizieren lassen, nur für mich privat eben!

    Zertifikat, eMail?

    Nö da gibts Kommandozeilen Tools für. Es ist nicht wirklich kompliziert, aber ich vergesse es auch immer da ich es nur alle paar jahre mal benötige. Einfach etwas im im Google stöbern, ich habe noch jedesmal eine einfache Anleitung gefunden.

    Schwieriger ist es ein trusted Zertifikat zu bekommen (gratis). Aber es gibt Möglichkeiten über diverse Unis und Heise. Allerdings musst du da meist mit Personalausweis aufkreuzen ...

    Bitte melde dich an, um diesen Link zu sehen. --- Bitte melde dich an, um diesen Link zu sehen. --- Bitte melde dich an, um diesen Link zu sehen.

  • Ist eigentlich janz einfach:
    Nehmen wir an, auf Rechner B soll der VNC-Server laufen und Du möchstest darauf von Rechner A aus zugreifen. Und das überSSH.
    Wenn ich A und B schreibe, meine ich je nach Situation deren Hostnamen bzw. IP-Adresse.

    Für diese Sache brauchst Du kein Zertifikat. Achte nur drauf, das der SSL-Fingerprint sich nicht ändert, das könnte ein Zeichen sein, das jemand in der Mitte sitzt. Email kann ich Dir nicht sagen, geht vermutlich ähnlich.

    Sag, ob's geholfen hat.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • warum nicht einfach remote per X als dieses reudige vnc? =)

  • warum nicht einfach remote per X als dieses reudige vnc? =)


    Das kommt ganz auf die Applikation bzw. deren Framework an. Einfache Programme, die nur ein paar Linien zeichnen und Text reinschreiben, sind per X-Protokoll wesentlich schneller. Andere, die tausend kleine Bitmäppchen brauchen, um ihre Fenster zusammenzubasteln, sind per VNC zackiger. Am besten klappt natürlich Kommandozeile :)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • weil per vnc läuft das ganze auf dem server selber

    wenn ich nur x weiterleite wird x auf dem client ausgeführt, sobald ich die verbindung trenne also beendet, das soll aber nit so sein.
    außerdem ist vnc auch für windoof verfügbar und es gibt java clients

    soweit ich gelesen habe benötigt es 5 schritte für ein ssl zertifikat aufm server.
    ein trusted will ich nicht! brauche ich nicht!
    will nur ein eigenes auf dem server und bei mir aufm client um zu wissen das alles ok ist

    1.) Private Key für den Host generieren

    2.) Einen Certificate Signing Request (CSR) generieren

    3.) Private Key für die CA generieren

    4.) Self Signed Certificate erstellen

    5.) CSR vom root CA signieren

    und das finde ich schon recht aufwendig und komme durcheinander...

    naja werde mal weiter suchen

  • eigentlich brauchst du dich darum nicht wirklich kümmern.... bei mir zumindest wurde der ganze kappes bei der installation vom ssh server automatisch generiert

  • Stimmt, für das was ich da oben beschrieben habe, brauchst Du normalerweise nichts per hand machen. Jede Linux-Distro, die ich kenne, macht das bei der Installation.

    Moment mal. Du schreibst ja ssl. Ich glaube, hier im Thread ist ssl und ssh gemischt. SSH benutzt im Normalfall einen private key, der bei der Installation erzeugt wird.

    Benutzt Du ssl für https oder vielleicht auch für das email-geraffel, musst Du wirklich irgendwelche (self-signed) zertifikate erzeugen. Das ist eine ganz andere Geschichte.

    Edit: Sorry, da habe ich wirklich nicht richtig gelesen. Aber zum VNC-Tunneln ist ssh eine sichere und handliche Lösung, insofern ist meine Antwort nicht ganz falsch. ssh basiert ja auch auf ssl und gleichen/ähnlichen Verschüsselungen.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • ist ssl nicht ein verfahren zur authentifizierung und nicht zur verschlüsselung? :)

  • ist ssl nicht ein verfahren zur authentifizierung und nicht zur verschlüsselung? :)


    Das SSL Handshake Protocol ist für die Authentifizierung und das SSL Record Protocol für die Verschlüsselung. Normalerweise meint man beides, wenn man SSL sagt.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • "SSL unterstützt für die symmetrische Verschlüsselung unter anderem DES, Triple DES und AES"
    wie ich gedacht hatte :) das ist einfach nur das protocol im layer drüber, und kein verschlüsselungsverfahren (hätte mich auch schwer gewundert) :)

  • ssh basiert ja auch auf ssl und gleichen/ähnlichen Verschüsselungen.


    Damit meinte ich nicht, dass es ein Verschlüsselungsalgorithmus ist, sondern damit auf den gleichen/ähnlichen basiert, die ssl benutzt, nämlich DES/AES oder was auch immer. Aber jetzt verstehe ich Deinen Einwurf erst, war von mir etwas ungeschickt formuliert.

    "einfach nur das protocol im layer darüber" ist nicht ganz richtig. Man benutzt DES/AES etc. nicht pur, sondern packt sogenannte paddings darüber, damit z.B. gleiche Daten jedesmal anders verschlüsselt werden. IMHO ist das auch im SSL-Standard definiert. Und was weiß der Geier nicht sonst noch. Eigentlich hab ich auch keine Ahnung davon, höchstens Halbwissen. Ähm, wir verlieren uns auch in unfruchtbarer Rhetorik, das hilft niemanden weiter ;)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • und das finde ich schon recht aufwendig und komme durcheinander...


    Schau dir mal tinyca an.

    10 x=rnd(-1963):fori=1to81:y=rnd(1):next
    20 forj=1to5:printchr$(rnd(1)*16+70);:next
    30 printint(rnd(1)*328)-217

    Bitte melde dich an, um diesen Link zu sehen. - Bitte melde dich an, um diesen Link zu sehen. - Bitte melde dich an, um diesen Link zu sehen.

  • Zitat

    das hilft niemanden weiter


    weiter? hauptsache die zeit vergeht schneller... =D


  • weiter? hauptsache die zeit vergeht schneller... =D


    Au ja, das brauch ich jetzt auch. Andererseits, sch..., schon wieder fast Mittag und fast nichts geschafft.

    Zitat

    tinyca


    Endlich jemand, der sowas schonmal gemacht hat :) Vielleicht raffe ich mich ja auch mal auf, meinem Server https zu verpassen.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • Benutzt Du ssl für https oder vielleicht auch für das email-geraffel, musst Du wirklich irgendwelche (self-signed) zertifikate erzeugen. Das ist eine ganz andere Geschichte.

    emüll wie oben beschrieben, https vielleicht später wenn ich ne sinnvolle anwendung finde :D

    Aber zum VNC-Tunneln ist ssh eine sichere und handliche Lösung, insofern ist meine Antwort nicht ganz falsch

    jop und nicht schlecht! ssh ansich ist ja weniger das problem. nur mit dem vnc tunnel halt...
    hatte auch überlegt direkt ein vpn anzulegen und das ganze dadurch zu machen....

    ps: nutzt ssh eigentlich auch nen schlüssel? wo muß der liegen? nur aufm server oder server/client?

    ist ssl nicht ein verfahren zur authentifizierung und nicht zur verschlüsselung? :)

    das ist einfach nur das protocol im layer drüber, und kein verschlüsselungsverfahren

    Ähm, wir verlieren uns auch in unfruchtbarer Rhetorik, das hilft niemanden weiter

    danke! hilkft wirklich nit.... aber ist man von einigen ja auch nit anders gewohnt ;)

    Schau dir mal tinyca an.

    danke für den tip, hab mal kurz die seite gesucht und das liest sich SEHR SEHR gut! scheint ein guter tip zu sein!


    was gibts noch an sicherheitslösungen für meine kleinen server?

    auf dem vserver hätte ich gerne einen geschützen bereich den man nur mit passwort + zertifikat oder so öffnen kann. rein durch html authentifizierung ist mir zu unsicher irgendwie. jemand da nen tip? wäre hier https ne möglichkeit?

    homeserver mit ftp... sftp ne gute wahl?

    danke euch

  • ftp ist prinzipiell unsicher (passwort wird im klartext übertragen) ... und sftp ist ja nix andres als ssh (bzw scp). im endeffekt kommts aber auch sehr drauf an was genau du vorhast (wer soll auf die daten denn zugreifen können, nur du?) und gegen was genau du absichern willst.

  • ps: nutzt ssh eigentlich auch nen schlüssel? wo muß der liegen? nur aufm server oder server/client?


    Jetzt wieder mein Halbwissen:
    SSH benutzt erstmal eine privaten/öffentlichen Schlüssel, mit dem der Passwortaustausch und die Authentifizierung gemacht wird. Das ist die meist genutzte Möglichkeit, für die man auch nichts zu tun braucht.

    Außerdem kann man noch key files benutzen. Da generierst Du auf dem Server einen Schlüssel (benutzerbezogen), den Du mit Lochkarten oder wie auch immer zum Client transportierst. Mit diesem Schlüssel kann der Client sich dann verbinden (wird auf dessen Kommandozeile angegeben).

    Zusätzlich kann dieser Schlüssel mit einem Passwort abgesichert werden, damit man Schlüsseldatei und Passwort braucht.

    Welche(s) dieser Verfahren der Server akzeptiert, kannst Du in der /etc/ssh/sshd_config einstellen.

    Ob eine Schlüsseldatei sicherer ist, ist umstritten. Wenn Dein Passwort lang genug ist und nicht "Suppenhuhn" heißt, sollte das reichen. Eine Schlüsseldatei kann natürlich potentiell entwendet werden. Aber irgendwas ist ja immer...

    Wenn Du den Server nur für Dich benutzt, würde ich mir die Arbeit für 73 Protokolle sparen: Firewall rein, nur ssh-Port offen lassen, ssh server vernünftig konfigurieren und alles darüber tunneln. Alles, was TCP ist, kannst Du über ssh tunneln.

    Dann kannst Du auch die Sache mit dem privaten Bereich im Web-Server sehr einfach machen: Sag dem Server, dass er z.B. htdocs/privat nur von 127.0.0.1 zugänglich machen soll. Dann log Dich mit ssh ein, Schalter -L 80:127.0.0.1:80 hinzufügen. Am Client kannst Du dann einfach als URL z.B. 127.0.0.1/privat eingeben und gut ist (*). Wenn Du kein https für den öffentlichen Bereich brauchst, kannst Du Dir die Arbeit da sparen.

    Denn: Je mehr Protokolle/Ports Du offen lässt, desto mehr kannst Du falsch kofigurieren.

    Sollte ich was falsch beschrieben oder übersehen haben, möge man mich korrigieren.

    (*) Die Links in diesen Seiten sollte auch relativ sein und nicht auf mit servernamen, sonst holt er sich ja den Rest wieder über den normalen Link

    Ach so: Wenn ssh einmal läuft und Du mit Kommandozeilen gern arbeitest, ist scp (secure copy) ein seeeehr schönes Werkzeug, um Dateien hin- und herzuschieben. Funktioniert fast wie cp, nur halt über ssh.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

    Bitte melde dich an, um diesen Link zu sehen.

  • Zitat

    Ach so: Wenn ssh einmal läuft und Du mit Kommandozeilen gern arbeitest, ist scp (secure copy) ein seeeehr schönes Werkzeug, um Dateien hin- und herzuschieben. Funktioniert fast wie cp, nur halt über ssh.

    und dafür gibts auch sehr komfortable frontends...unter linux kanns eh jedes ernstzunehmende programm... für windows entweder winscp oder das totalcommander plugin (letzteres ist aber ein wenig hakelig)

    (keyfiles für ssh find ich persönlich unnötig, verkomplizieren nur alles und erhöhen die sicherheit auch nur marginal, wenn überhaupt)

  • Hallo,
    hast du einen eigenen E-Mail Server daheim? Falls nicht, bekommst du das Zertifikat vom E-Mail Provider.
    Für den VNC Zugang verwende einfach SSH dazu. Wie solch ein Tunnel aufzubauen ist, ist zumeist auf den Seiten der VNC Betreiber/Verteiler/Anpasser beschrieben. SSH mit Passphrase ist zum Starten ok... wenns mal läuft kannst du weiterbauen.