Hallo, ich werde beruflich bedingt eine Weile von zu Hause weg sein und suche einen möglichst sicheren Weg, um von Unterwegs aus auf meinen Linux-PC mit Debian zugreifen zu können. Wenn möglich, ohne den Einsatz zusätzlicher Hardware. Da ich mich von unterwegs aus eventuell nicht immer wie ein Vollzeit-Admin um meinen Heim-PC kümmern kann, würde ich den Zugang am liebsten nur im Bedarfsfall, z.B. kurz nach Erhalt einer bestimmten E-Mail, ermöglichen. Das erscheint mir sicherer als z.B. mit 2FA, denn da laufen die Dienste trotzdem permanent und wenn es ungünstig läuft setzt ein Exploit noch vor 2FA an. Vermutlich wäre so etwas mit Programmen wie Teamviewer oder Anydesk möglich, indem man ein Zugangspasswort festlegt, aber den Dienst für den Fernzugriff deaktiviert und nur bei Bedarf aktiviert bzw. am Ende der Sitzung wieder deaktiviert. Fallen euch noch andere Möglichkeiten ein, wie man möglichst sicher per RemoteDesktop auf einen heimischen Linux-PC hinter einem NAT-Router zugreifen kann? Da außer mir niemand Zugriff auf meinen Heim-PC hat, würden mich auch klassische Fehler beim Einspielen von Patches interessieren, mit denen man sich selber aussperrt. Viele Grüße, Niels
Kommt vielleicht drauf an, was du alles unter "zugreifen" verstehst. Mir reicht eine Shell und Dateizugriff. Dafür habe ich mir in der Fritzbox mit mxfritz ein Loch nur für ssh geschaffen als Portfreigabe. Dann auf dem jeweiligen PC einen ssh-Zugang mit RSA. Funktioniert prima...
Niels B. schrieb: > Fallen euch noch andere Möglichkeiten ein, wie man möglichst sicher per > RemoteDesktop auf einen heimischen Linux-PC hinter einem NAT-Router > zugreifen kann? VPN. Wenn man eine FritzBox einsetzt, gibt's das praktisch geschenkt, in unter 5 Minuten abschließend konfiguriert. Noch ein kostenloses DynDNS (ich mag duckdns.org) und fertig. Niels B. schrieb: > Da außer mir niemand Zugriff auf meinen Heim-PC hat, würden mich auch > klassische Fehler beim Einspielen von Patches interessieren, mit denen > man sich selber aussperrt. Betriebssystem? Art des Fernzugriffs? Welche Patches? Aber unabhängig davon: Es gibt immer Szenarien, bei denen man in die Röhre schaut. Selbst mit dem Aufwand, der bei Raumfahrtprojekten betrieben wird, lässt es sich nicht abschließend vermeiden, dass mal jemand persönlich "den richtigen Knopf drücken" muss. Kritische Infrastruktur kann man deshalb so nicht betreiben.
Niels B. schrieb: > den Zugang am liebsten nur im Bedarfsfall, > z.B. kurz nach Erhalt einer bestimmten E-Mail, ermöglichen. Verstehe ich nicht. Hilft dir vielleicht nicht viel, aber : Du greifst mit einem PC auf einen anderen PC zu um ein email 'abzurufen', warum rufst deine emails nicht vom ZweitPC ab ? Oder leitest deine emails während deiner 'Abwesenheit' auf eine andere Reise-emailadresse um ? Weiß nicht wieviel an Daten du so tgl.speicherst, aber auf einer 2,5"-SSD (~50g/2TB ) haben sicher ein paar Spezial-Videos Platz. Dann brauchst auch nicht das Risiko eines Reise-EXPLOITS eingehen und unnütz Modem-Strom verbrauchen. Falls du im Darknet Geschäfte machst, ist es oft besser, eine leerstehende Wohnung anzumieten. Bist wieder zuhause, mußt aufpassen .
Anklopfen, Port-Knocking https://www.scip.ch/?labs.20200611 https://wiki.archlinux.org/title/Port_knocking
Niels B. schrieb: > z.B. kurz nach Erhalt einer bestimmten E-Mail, und kurz nach Erhalt schickt dir dein Heim-PC dann eine email, daß die email jetzt da ist? und du "anklopfen" kannst Klopf, Klopf ... Stromausfall .
Mit der kriminellen Energie ist es wie mit der muskulären Energie: Du mußt sie trainieren. Oh ich dummer Zwiebel-TOR, nun bin ich klüger als zuvor.
> würde ich > den Zugang am liebsten nur im Bedarfsfall, z.B. kurz nach Erhalt einer > bestimmten E-Mail, ermöglichen. läßt sich doch prächtig als Wunsch zum "freischalten per mail" aus der Ferne interpretieren. Wird sich ggf. schon äussern wenn etwas anderes gemeint war.
specht schrieb: > Wird sich ggf. schon äussern wenn etwas anderes gemeint war. Du bist a guat. Keine schlechte Idee. Der PC analysiert eingehende emails, wenn das richtige kommt, schickt er dem TO ein email, der schickt eins zurück, dann geht er auf seinen PC und sieht es sich an .
Vergiss bitte das Gebastel mit Emails hin-und-herschicken per selbergehäkelten Skripten. Wenn dir eine shell reicht dürfte ssh in Verbindung mit einer Portweiterleitung tatsächlich das einfachste und auch sicherste sein. In Verbindung mit z.B. fail2ban oder RSA-Keys kann man einen ssh-Port durchaus ans Netz hängen. Wenn man dann denn (öffentlichen) ssh-Port noch von 22 auf irgendwas andres ändert schafft man sich sogar die Chinesen-Bots vom Leib.
Wenn es sicher sein soll, würde ich Citrix Workspace empfehlen.
Rudi Ratlos schrieb: > zu um ein email 'abzurufen', warum rufst deine emails nicht vom ZweitPC > ab ? Der TO möchte XY auf seinem Heim-PC machen. Aber dieser Heim-PC soll nicht ununterbrochen dafür offen sein. Darum sucht er eine Möglichkeit, dass der PC HW- oder SW-mäßig für YZ vom Internet getrennt wird. Beispiel: wenn eine Email eine bestimmte einmal-Nachricht enthält, wird die fritz-box für 2h für YZ freigeschaltet. Alternativ: ein Handy vibriert nur bei Anruf von einer Nummer. Das schaltet eine Steckdosenleiste für 3h ein.
A. S. schrieb: > Alternativ: ein Handy vibriert nur bei Anruf von einer Nummer. Das > schaltet eine Steckdosenleiste für 3h ein. Super! Mein Handy kann das nicht.
Peter D. schrieb: > Wenn es sicher sein soll, würde ich Citrix Workspace empfehlen. https://www.cvedetails.com/vulnerability-list/vendor_id-422/Citrix.html Ich finde den ssh Vorschlag oben sehr gut. Da kann man bei Bedarf ja auch fast alles durchtunneln.
Wenn der Router ein Fritz ist, und Vertrauen in Fernzugriff auf Fritz mit dessen 2FA gegeben ist, kann der PC auf Wake-on-LAN konfiguriert und abgeschaltet werden. Per Fritz kann man den PC dann einschalten. Das verhindert nicht nur Netzzugriff auf den PC, es spart obendrein Strom und damit Geld.
:
Bearbeitet durch User
Rudi Ratlos schrieb: > specht schrieb: >> Wird sich ggf. schon äussern wenn etwas anderes gemeint war. > > Du bist a guat. Keine schlechte Idee. > Der PC analysiert eingehende emails, wenn das richtige kommt, schickt er > dem TO ein email, der schickt eins zurück, dann geht er auf seinen PC > und sieht es sich an . Don't sauf and surf. Email war seine Idee, Vorschlag einfach einen Anklopfmechanismus einrichten. Ganz ohne mail.
A. S. schrieb: > Beispiel: wenn eine Email eine bestimmte einmal-Nachricht enthält, wird > die fritz-box für 2h für YZ freigeschaltet. Wie oben schon einer schrieb: Was will er da genau "zugreifen" oder was wwill er da genau tun, was er nicht ohne Fernnzugriff auch tun könnte ?! Eine PC besteht aus einem Board, einer Festplatte und ein bißl I/O. Also kannst: nur *.* (emails) holen , wie schon einer bemerkte. Und dafür braucht man heute schon ZWEI PC´s? SSD, mikro-SD, nano-SD.. Daten-wolken, noch kleiner und komfortabler geht wohl kaum . Emails werden heute auch nicht irgendwohin :gesendet, sondern bloß irgendwo abgerufen. Schöne neue Welt .. Ich finde den ganzen Remote-Tam-Tam einfach lächerlich. Es ist schon gefährlich genug, seine Wohnung ein paar Stunden unbeaufsichtigt zu lassen, und dann noch Fernzugriff auf seine Heiligen Daten zu forcieren, weiß nich Ich bin halt Pragmatiker: noch einfacher und billicher.. geht nich ! Das wollte ich zu bedenken geben, bevor er sich verzettelt ..
Rudi Ratlos schrieb: > Ich finde den ganzen Remote-Tam-Tam einfach lächerlich Die Situation ähnelt etwas einem von mir privat betreuten System von Leuten, die von Technik Null Ahnung haben, aber telefonieren und EMail am PC nutzen. Wo ich aber nur gelegentlich vorbei komme. Da ist Fernzugang sehr nützlich. Ebenso WoL beim PC. > Ich bin halt Pragmatiker Ich auch. Deshalb mache ich es ja. Als Theoretiker hätte ich vielleicht Bedenken. ;-) Allerdings habe ich neben dem Fernzugang zum Fritz ganz banal eine Fritz2Fritz VPN im Einsatz. Der Zauber mit Mails wäre mir zu fragil.
:
Bearbeitet durch User
Niels B. schrieb: > Da außer mir niemand Zugriff auf meinen Heim-PC hat, würden mich auch > klassische Fehler beim Einspielen von Patches interessieren, mit denen > man sich selber aussperrt. Dann denk dran zu testen, was bei Stromausfall passiert. Patches kannst du auf kritische Updates beschränken. Mit einer stabilen Distribution wie Debian oder CentOS geht dir bei einem Update nichts kaputt. Musst ja keinen Versionssprung machen. Bei Arch oder Manjaro sperrst du dich dagegen schneller aus, als dir lieb ist. Das gleiche gilt für Software aus externen Paketquellen. Vielleicht denkst du auch mal darüber nach, ob eine billige angemietete VM oder billiges angemietetes Blech nicht vielleicht besser für dich ist. Denn wenn du längere Zeit nicht da bist, kann viel passieren. Hardwaredefekte oder eine Internetstörung können dich ganz schnell aussperren. Steht dein Server in einem Rechenzentrum, ist jemand vor Ort, der sich kümmert. Außerdem kannst du Remote Konsolen erhalten, die dir bei einem Problem Zugriff geben. Bei Hetzner kannst du über das Webinterface eine Firewall aktivieren. Damit kannst du dir den Zugriff bei Bedarf freigeben. Remotedesktop gehört auf keinen Fall ins Internet. Also nur SSH mit Fail2Ban + Public Key freigeben und darüber tunneln.
Rudi Ratlos schrieb: > was wwill er da genau tun, was er nicht ohne Fernnzugriff auch tun könnte Keine Ahnung. Der PC hat vielleicht HW-Dongle, eine spezielle Version eines Betriebssystems oder Programms, Zugriff auf Terrabyte an Daten, massive Rechenleistung, echte HW per USB oder PCI, ... Ich kann mir kaum vorstellen, dass der TO über so etwas wie Emails-Abrufen nachdenkt.
A. S. schrieb: > Ich kann mir kaum vorstellen, dass der TO über so etwas wie > Emails-Abrufen nachdenkt. Steht ja auch nirgends, oder? würde er den Zugang am liebsten nur im Bedarfsfall, z.B. kurz nach Erhalt einer bestimmten E-Mail, ermöglichen. wollen --- Hallo, ich bins. Mach mal die Tür auf! :) Und das kann man tatsächlich so machen, restriktive firewall mit default drop, die icmp echo-requests abschalten, alle unnötigen serverdienste stillegen und das Ding ist aus dem Netz praktisch unsichtbar. portknocking noch dazu und das kann als sicher betrachtet werden. Tücke wie immer im Details. fritzboxen, router etc. sonderwünsche wie energiesparen ...
Niels B. schrieb: > Fallen euch noch andere Möglichkeiten ein, wie man möglichst sicher per > RemoteDesktop auf einen heimischen Linux-PC hinter einem NAT-Router > zugreifen kann? Intel AMT/vPro + Open MDTK/MeshCommander + Real VNC Viewer Plus (o.ä.) Verwende ich seit Jahren auf mehreren zu administrierenden PCs in der Verwandtschaft. Du kannst damit die Rechner aus der Ferne ein- und ausschalten, BIOS-Optionen ändern, ein Betriebssystem neu installieren etc. https://www.meshcommander.com/open-manageability https://www.meshcommander.com/
:
Bearbeitet durch User
SSH auf Port vwxyz (hilft aber nur etwas, da Profis oft alles abscannen) zum Rechner routen und den Zugang am Rechner nur über Publickey machen, die Schlüssel am besten über elliptische Kurven (ed25519), Root-Login verbieten und ebenso Login mit Username und Passwort verbieten. Fail2ban installieren und IPs mit Fehlzugriffen dauerhaft blocken. Dann hast Du Zugriff über SSH, SCP, SFTP und sogar SSHFS falls gewünscht, feine Sache
Hans schrieb: > Vielleicht denkst du auch mal darüber nach, ob eine billige angemietete > VM oder billiges angemietetes Blech nicht vielleicht besser für dich > ist. Denn wenn du längere Zeit nicht da bist, kann viel passieren. > Hardwaredefekte oder eine Internetstörung können dich ganz schnell > aussperren. Steht dein Server in einem Rechenzentrum, ist jemand vor > Ort, der sich kümmert. Außerdem kannst du Remote Konsolen erhalten, die > dir bei einem Problem Zugriff geben. Bei Hetzner kannst du über das > Webinterface eine Firewall aktivieren. Damit kannst du dir den Zugriff > bei Bedarf freigeben. Das wäre auch ne interessante Überlegung, mit 2 Kernen, 2 GB RAM und 40 GB SSD bist Du schon ab 4,15 Euro / Monat dabei, wird stundenweise abgerechnet. Die haben aber auch 16 Kerne, 32 GB RAM und bis zu 10 TB, kostet dann halt "etwas" mehr. Ich habe auch ne kleine Cloud bei Hetzner, bin sehr zufrieden.
specht schrieb: > Tücke wie immer im Details. fritzboxen, router etc. sonderwünsche wie > energiesparen ... Ob das 'Beseitigen der Tücken' Euro 4,15 mtl. wert ist, möge jeder selber entscheiden ..
Für ne schmale Mark nen virtual server irgendwo buchen und dorthin dann den Linux-PC beim Start-Up einen reverse SSH-Tunnel aufbauen lassen. Mach ich auch so.
:
Bearbeitet durch User
P. S. schrieb: > Für ne schmale Mark nen virtual server irgendwo buchen und dorthin dann > den Linux-PC beim Start-Up einen reverse SSH-Tunnel aufbauen lassen. > Mach ich auch so. autossh nicht vergessen und über systemd starten.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.