Eine Installationsanleitung für die Linuxdistribution Arch Linux mit Rollback Funktion und den wichtigsten Post-Installations Konfigurationsschritten.

Bekanntermaßen sind SSH-Verbindungen weitestgehend das Standardverfahren, um Serververbindungen sicher aufzubauen.
Normalerweise kommt in Bezug auf Authentifizierung eine Kombination aus Nutzernamen und Passwort zum Einsatz. Es gibt aber auch Varianten mit Zertifikat oder Schlüssel.
Letzteres sollte nicht nur Standard, sondern heute auch Thema sein. Üblicherweise erhältst du via SSH Vollzugriff (oke vielleicht kein root), es besteht allerdings die Möglichkeit diesen per authorized keys zu regulieren, so kannst du in einem SSH Schlüssel etwa eine IP-Beschränkung hinterlegen, um einen Zugriff weiter einzuschränken.

SSH AuthorizedKeysFile Format

In einem Standardsetup findest du vorhandene Schlüssel unter ~/.ssh/authorized_keys und genau hier möchte ich heute einen genaueren Blick darauf werfen.
Dort liegen die öffentlichen SSH-Schlüssel, die einen bestimmten Aufbau haben, dazu gleich mehr. Auch wird zwischen Version 1 und Version 2 unterschieden, wobei zwei der Standard sein sollte.
Ältere Semester kennen eventuell noch  ~/.ssh/authorized_keys2,  was ursprünglich für den zweiten Protokolltyp vorgesehen war, allerdings seit 2001 deprecated ist und heute maximal noch von böswilligen Akteuren missbraucht wird.
Zurück zu den Schlüsseln, folgende Aufteilung besitzen diese laut Norm:

• Öffentliche Schlüssel des Protokolls 1 bestehen aus den folgenden durch Leerzeichen getrennten Feldern: Optionen, Bits, Exponent, Modulus, Kommentar.
• Öffentliche Schlüssel des Protokolls 2 bestehen aus: Optionen, Keytype, base64-kodierter Schlüssel, Kommentar
• Das Optionsfeld ist optional. Sein Vorhandensein wird dadurch bestimmt, ob die Zeile mit einer Zahl beginnt oder nicht (das Optionsfeld beginnt nie mit einer Zahl).
• Die Optionen (falls vorhanden) bestehen aus durch Kommata getrennten Optionsangaben.

Im Detail ermöglichen sie, verschiedene Werte mitzugeben und anderen eine IP-Einschränkung.

SSH - Zugangsberechtigungen einschränken

Hier ein erstes Beispiel:

from="192.168.1.?,*.example.com" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

Zur Erklärung: Du kannst in den Optionen Wildcards setzen. Das heißt, im Beispiel oben hätte 192.168.1.1-9 Zugriff, sowie Subdomains von example.com.

Eine weitere Möglichkeit wäre, die Option command zu verwenden, um direkte Befehle zu hinterlegen:
 

command="bash /opt/startworkflow" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

command="/opt/mehrere_befehle.sh" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

Der Nutzer hat hier nur das Recht, das vorgegebene Kommando auszuführen, nicht mehr und nicht weniger

Kontrollieren kannst du solche Kommandos mit der Variable $SSH_ORIGINAL_COMMAND. Diese enthält die ursprüngliche Befehlszeile
sobald ein erzwungener Befehl ausgeführt wird.
Wenn du mehrere Befehle erlauben willst, kommst du nicht drumherum, ein Script zu schreiben, was diese Beschränkungen mehr oder weniger aushebelt.

Ein weiteres Beispiel zeigt die Verwendungen der Kommandos für SSH Tunneling bzw. Port Forwarding:

restrict,port-forwarding,permitopen="localhost:8765" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com

Hier wird explizit erlaubt, eine Verbindung auf Port 8765 herzustellen und alles andere bitte bleiben zu lassen. Auch echter Shell-Zugang (no-pty ist in restrict enthalten) wird unterbunden.

     restrict
Enable all restrictions, i.e. disable port, agent and X11 forwarding, as well as disabling PTY allocation and execution of ~/.ssh/rc.  If any future restriction capabilities are added to authorized_keys files they will be included in this set.

 

Du hast nun einen kleinen Einblick in die vielfältigen Konfigurationsmöglichkeiten von SSH-Schlüsseln erhalten. Gerade IP-Beschränkungen oder Limitierung auf Befehle kommen im Alltag vor und sind in diesem Sinne keine neue Methode.
SSH Tunneling ist eigentlich schon wieder ein anderes Kapitel.
Einen Überblick der SSH Befehle findest du bei den Ubuntu Manpages. Viel Spaß.

 

Selbstbau einer 15-kWp-PV-Anlage: Planung, Aufbau, Kosten, Förderung und Monitoring – detaillierte Erfahrungen und praktische Tipps.

Debian Linux auf älterer Mac Hardware - Ein Experiment.

Netzlaufwerk zum Beispiel eine NAS Freigabe dauerhaft einbinden.

Multimedia Codecs unter openSUSE 15.6 nachinstallieren.

Fedora Silverblue benötigt eine angepasste Behandlung für die Zuordnung von Nutzern der Docker Gruppe.

Mozilla hat eine neue Partnerschaft geschlossen. Auf Geräten des Smartphone-Herstellers Vivo wird Firefox für Android in Zukunft vorinstalliert sein.

Mozilla wird seine Investitionen in Firefox für Android und iOS weiter verstärken. So hatte Mozilla im letzten Jahresbericht noch einmal betont, dass man das „Engagement für mobile Geräte verdoppeln und Firefox zur besten Wahl für das Surfen unterwegs machen“ wolle. Zur weiteren Steigerung der bereits wachsenden Nutzerbasis von Firefox auf Mobilgeräten dürfte auch beitragen, dass Firefox für Android in Zukunft auf Geräten des Smartphone-Herstellers Vivo vorinstalliert sein wird. Dies verrät ein Blick in den Quellcode von Firefox für Android seit Version 132. Da es weder von Mozilla noch von Vivo eine offizielle Ankündigung hierzu gibt, ist zu diesem Zeitpunkt leider unklar, ob dies sämtliche neue oder nur ausgewählte Geräte betreffen wird.

Der Beitrag Firefox für Android in Zukunft auf Geräten von Vivo vorinstalliert erschien zuerst auf soeren-hentzschel.at.

Ein Menü für Terminalbefehle: Für Menschen mit Terminalphobie oder bequeme Admins.

Fortführung der Blender-Serie. Dieses Mal geht es um Geometry Nodes.

💾

Der Webserver läuft laut Nagios einwandfrei - aber liefert er auch flott ein fehlerfreies Wordpress aus? Solche Fragen beantwortet das End-to-End Monitoring. (Ende-zu-Ende-Verschlüsselung, Wordpress)

LinuxNews wünscht allen Lesern erholsame Feiertage und genau das Weihnachtsfest, das ihr euch wünscht.

Quelle

Kurz vor den Feiertagen erschien eine weitere Veröffentlichung der Rolling-Release-Distribution siduction mit KDE Plasma 6.2.4 als Standard-Desktop-Umgebung.

Quelle

Ein neues Malware-Rootkit namens Pumakit wurde kürzlich entdeckt und stellt eine Bedrohung für Linux-Systeme dar. Es nutzt fortschrittliche Verschleierungsmethoden, um sich unbemerkt auf betroffenen Systemen zu verstecken. Aktuell betrifft die Schadsoftware ausschließlich Linux Kernel Versionen älter als 5.7. Das Sicherheitsunternehmen Elastic identifizierte Pumakit im September, nachdem ein verdächtiges Binary von „cron“ auf VirusTotal hochgeladen wurde. […]

Der Beitrag Neuer Linux-Rootkit „Pumakit“ entdeckt: Das musst Du wissen erschien zuerst auf fosstopia.

Nichts zu tun, zwischen Weihnachten und Neujahr? Dann räumt doch mal auf! Hier gibt es Anregungen.

Ich wünsche allen Besuchern des Blogs intux.de ein frohes und besinnliches Weihnachtsfest sowie einen guten Rutsch ins neue Jahr 2025.

Die Telekom entwickelt für Hessen ein Videokonferenz-Tool. Laut Landesregierung ist dieses nicht fertig – doch eine Behörde will es trotzdem nutzen.

Mit fragwürdigen Urheberrechtsansprüchen geht eine Organisation gegen Bilder von Luigi Mangione vor. (Urheberrecht, Datenschutz)

Um seine Finanzen im Auge zu behalten, nutzt Mike Schilli das Tool YNAB. Bislang fehlte eine in Go geschriebene Terminal-UI, die er hier nachliefert.

Mit der Software ReDrafter soll die Ausführung großer Sprachmodelle auf Nvidia-GPUs signifikant flotter werden. Das Werkzeug ist quelloffen.

Pascal verschenkt einen Zotac-Mini-PC mit vorinstalliertem Manjaro. Wir machen daraus einen kleinen Weihnachtswettbewerb.

The FSFE at 38C3: let’s talk together about Software Freedom

The 38th Chaos Communication Congress (38C3), taking place in Hamburg from December 27 to 30, 2024. And we couldn’t miss it! Once again, the FSFE will be at the congress with an assembly and different activities in the Bits & Bäume Habitat. Do not forget to stop by!

Under the motto “Illegal Instructions”, the 38th Chaos Communication Congress (38C3), the annual conference organised by the Chaos Computer Club (CCC), is back at the end of December. As one of the largest and most prominent hacker and tech conferences in Europe, the Congress attracts over ten-thousand of attendees annually, from hackers, technologists, activists, artist, and curious newcomers from all over the world.

One more time, you will find some of the FSFE staffers and volunteers at the Bits & Baüme habitat in the Hamburg Congress Center. There, we will join other digital rights organisations with an assembly and organise several talks and events. Come by at our ‘Ada & Zangemann’ readings by our volunteers and watch this story as an animated movie, participate in our discussion about governance in the Fedivese, find five minutes to listening to our lightning talks, and learn more about sparking children’s interest in coding at our talk on the community stage, a FSFE women meeting..... and let’s do not forget our daily 19:00h date at our booth, where we will be signing together the Free Software song.

FSFE @38c3 Schedule

Day 1

• 14:00 h. FSFE Women Meetup B&B Workshop Area Bits & Bäume / about:freedom

Day 2

• 14:00h. Kino: Ada & Zangemann - Ein Märchen über Software, Skateboards und Himbeereis GF1 Saal 5 Bits & Bäume / about:freedom

• 19:15h . Let’s spark children’s interest in coding Stage YELL

Day 3

• 16:30h. Reading: Ada & Zangemann - A Tale of Software, Skateboards, and Raspberry Ice Cream B&B Wohnzimmerlounge Bits & Bäume / about:freedom

• 19:30 h. Fediverse Governance - Fishbowl Discussion GF1 Saal 5 Bits & Bäume / about:freedom

Plus two lightning talks, "From Apple litigation to Legal Eduation: how the FSFE can help you” and “Youth Hacking 4 Freedom: the programming competition for young Europeans”. - Day and time to be confirmed.

Of course, we will also be there with a lot of posters, stickers and other info material as well as our merchandising, mainly t-shirts and socks but also some new hoodies in case you forgot to pre-order yours!

Stay updated on FSFE activities during 38C3 by following the FSFE on the Fediverse Together, are creating a room for Free Software enthusiasts, Chaos-people, and everybody who wants to connect and talk about Free Software <3.

Support FSFE

Das neueste Release des benutzerfreundlichen Linux-Systems elementary OS kommt mit einem neuen Dock und wichtigen Weichenstellungen für die Zukunft.