"lenny" auf Extensa 5220, Fernwartung

Status
Für weitere Antworten geschlossen.

cal

Member
"lenny" auf Extensa 5220, Fernwartung

Hallo,

Meine 71-jährige Mutter will ins Internet.
Dafür Notebook mit "Linspire" als OS gekauft.
Nach erstem Start für Debian entschieden und sda neu partitoniert.
Versuch Etch 4.0r1 zum laufen zu kriegen scheiterte daran daß die Firmware des Wlanchips
Code:
 Broadcom Dell wireless1390 mini PCI card rev01(bcm43xx)
erst ab Kernelversion 2.6.20 unterstützt wird (laut Herstellerseite).
Daraufhin für "Lenny" entschieden. Kernelversion 2.6.21.2-686.
Installation per "expertgui" problemlos.
Hätte auf das "gui" verzichten sollen, so war nur zusätzlich ansonsten unnötiges Bewegen des Mauszeigers erforderlich. Und nur wegen der Optik...

Das einzige was nicht ohne zusätzlichen Eingriff funktionierte war -mal wieder- das WLan.
Öffnen von "Synaptic" und Installation von
Code:
bcm43xx-fwcutter  vers 1:006-3
und bejahen der Frage ob die Firmware automatisch heruntergeladen und installiert werden soll.

Code:
[COLOR=Red]bcm43-fwcutter vers 1:008-1 funktioniert nicht![/COLOR]
Nach Aktivieren von eth2, Neustart und Eingabe von ESSID und WPA_PSK passwort funktioniert alles bis jetzt getestete einwandfrei.

Jetzt muß ich nur noch eine Fernwartung übers Internet hinkriegen.
Mama wohnt 80km weit weg und ruft schon um Hilfe wenn die Batterien der Fernbedienung leer sind oder SAT1 den Sendeplatz gewechselt hat.

Hat jemand Tips was ich dazu am besten benutzen könnte?

(Die in absehbarer Zeit nötigen Pillen muß mir schon mein Doktor verschreiben und hätte Mama Windows drauf würde -fürchte ich- da auch nix mehr helfen.)
 

Rain_Maker

Administrator
Teammitglied
AW: "lenny" auf Extensa 5220, Fernwartung

Das Hauptproblem wird darin liegen, daß Mutti wahrscheinlich ne dynamische IP hat.

Die üblichen Methoden wären ssh oder vnc, aber mit einer dynamischen IP müsste man einen Weg finden, wie man an die aktuelle IP kommt.

Man kann zwar über Dienste wie DynDNS einen Zugriff über eine Domain einrichten, die Frage ist nur, ob sich dieser Aufwand lohnt.

Greetz,

RM
 

cal

Member
AW: "lenny" auf Extensa 5220, Fernwartung

Hallo,

Das Hauptproblem wird darin liegen, daß Mutti wahrscheinlich ne dynamische IP hat.
Das Problem gedachte ich dadurch zu lösen daß ich Mami beibringe wie sie ihre jeweilige IP selbst herausfindet.

Daneben wollte ich sowieso einen zweiten User installieren, den Mami nur dann benutzt wenn sie Probleme hat und Söhnchen an der Strippe ihr das sagt.
Den könnte ich dann beim Start wohl automatisch die IP anzeigen lassen.
Am besten wäre es wenn ich ab dem Moment ihren Desktop bei mir auf dem Schirm habe und möglichst alle Aktionen von hier aus ausführen könnt e.
@ Rain_Maker: vnc liest sich schon mal gut bei google. Schau's mir mal näher an.
Danke
 

spidy

Moderator
AW: "lenny" auf Extensa 5220, Fernwartung

jkeiper schrieb:
Daneben wollte ich sowieso einen zweiten User installieren, den Mami nur dann benutzt wenn sie Probleme hat und Söhnchen an der Strippe ihr das sagt.
Ist eine gute Idee, solange Du nicht auf die Idee kommst, sie via root anzumelden.

jkeiper schrieb:
Jetzt muß ich nur noch eine Fernwartung übers Internet hinkriegen.
Hat jemand Tips was ich dazu am besten benutzen könnte?
Mir fällt dazu nur vnc ein, kannst ja mal danach googeln.

Cheers.

Spidy
 

cal

Member
AW: "lenny" auf Extensa 5220, Fernwartung

Hallo,
@spidy:
Respekt, Ich finde das "einfach nur KLASSE", egal ob mit Linux oder Windows !
Jow, Mama schaffts doch noch ab und zu mich zum staunen zu bringen. (aufgestellte Nackenhaare ab und zu inclusive)

So, hab jetzt auf mamas top den vncserver und auf meiner Kiste den xvncviewer mittels "synaptic" nach Linux für alle: Grafische Fernwartung mit VNC installiert.
Leider bekomme ich nach
Code:
vncserver
auf dem top und
Code:
xvncviewer 192.168.1.2:1
und der darauf folgenden Passworteingabe auf meinem Rechner zwar ein Fenster in der Größe von dem Entfernten Screen, allerdings ist der nur schwarzweiss gemustert und vollständig leer. (bis auf ein Mauszeiger X)
Eine Verbindung scheint zu bestehen, der Reiter über dem Screen sagt :
VNC: renate's X desktop (renatemobil:1)
Ausgabe meines Terminals:
Code:
neskaya:/home/cal# xvncviewer 192.168.1.2:1
VNC viewer version 3.3.7 - built Dec 30 2006 12:05:49
Copyright (C) 2002-2003 RealVNC Ltd.
Copyright (C) 1994-2000 AT&T Laboratories Cambridge.
See http://www.realvnc.com for information on VNC.
VNC server supports protocol version 3.3 (viewer 3.3)
Password: 
VNC authentication succeeded
Desktop name "renate's X desktop (renatemobil:1)"
Connected to VNC server, using protocol version 3.3
VNC server default format:
  32 bits per pixel.
  Least significant byte first in each pixel.
  True colour: max red 255 green 255 blue 255, shift red 16 green 8 blue 0
Using default colormap and visual, TrueColor, depth 24.
Got 256 exact BGR233 colours out of 256
Using BGR233 pixel format:
  8 bits per pixel.
  True colour: max red 7 green 7 blue 3, shift red 0 green 3 blue 6
Using shared memory PutImage
Ausgabe auf dem top sagt:
Code:
renate@renatemobil:~$ vncserver

New 'X' desktop is renatemobil:1
Starting application specified in /etc/X11/Xsession
Log file is /home/renate/.vnc/renatemobil:1.log
renatemobil:1.log füge ich gleich noch per ändern an, ist mir zuviel zum abtippen.
30/09/07 10:35:30 Xvnc version 3.3.7 - built Dec 30 2006 12:50:35
30/09/07 10:35:30 Copyright (C) 2002-2003 RealVNC Ltd.
30/09/07 10:35:30 Copyright (C) 1994-2000 AT&T Laboratories Cambridge.
30/09/07 10:35:30 All Rights Reserved.
30/09/07 10:35:30 See RealVNC - RealVNC remote control software for information on VNC
30/09/07 10:35:30 Desktop name 'X' (renatemobil:1)
30/09/07 10:35:30 Protocol version supported 3.3
30/09/07 10:35:30 Listening for VNC connections on TCP port 5901

30/09/07 10:35:41 Got connection from client 0.0.0.0
30/09/07 10:35:41 Protocol version 3.3
30/09/07 10:35:47 Pixel format for client 0.0.0.0:
30/09/07 10:35:47 8 bpp, depth 8
30/09/07 10:35:47 true colour: max r 7 g 7 b 3, shift r 0 g 3 b 6
30/09/07 10:35:47 Using ZRLE encoding for client 0.0.0.0
jemand 'ne Idee was ich noch vergessen, falsch gemacht habe?

Ach so, beide Rechner stehen im Moment bei mir aus dem Schreibtisch und sind per Wlan verbunden.

Nachtrag:
Habe vncserver und xvncviewer mittlerweile wieder entfernt und stattdessen vnc4server und -viewer installiert nach Installation und Konfiguration eines VNCServer unter Debian Sarge | Terror im Wohngebiet.

Nun habe ich Zugriff auf das Terminalfenster und kann mich dort z. B. auch per su als root einloggen.

Hätte zwar lieber den kompletten screen, aber vielleicht finde ich ja noch raus wie das geht.

Habs vorerst mal: statt Verbindung mit 192.168.1.2:1 muß ich natürlich die 192.168.1.2:0 nehmen.
Allerdings freezt der top nach kurzer Fernsteuerung, so daß nur noch ausschalten hilft....
Mal seh'n...



Hilfe willkommen.
 

Isaak

Member
AW: "lenny" auf Extensa 5220, Fernwartung

Hi,

ich beschäftige mich auch gerade mit dieser Thematik, da ich einer Freundin - nachdem sie mit einigen mehr oder minder "typischen" Windows-Problemen zu kämpfen hatte - zu Linux überreden konnte. Die grundlegenden Dinge. etwa das Installieren und Suchen per apt, allg. Umgang etc. sind kein Problem. Hin und wieder hat sie dann aber doch mal Schwierigkeiten.

Wie auch immer, versucht habe ich es noch nicht, aber als Einstieg, etwa welche Lösungen es gibt, welche Probleme auftauchen könnte etc. fand ich auf dieser Seite sehr gut beschrieben:

Tim-Bormann.DE - Artikel Debian Linux Windows XP Windows Vista Webdesign. Der Artikel steht hier

Ich denke, ich werde es mal mit TightVNC mit einem SSH-Tunnel versuchen, da auf der Homepage von TightVNC (tightvnc.com) folgendes steht:

So using TightVNC over the Internet can be a security risk. To solve this problem, we plan to work on built-in encryption in future versions of TightVNC.

In the mean time, if you need real security, we recommend installing OpenSSH, and using SSH tunneling for all TightVNC connections from untrusted networks.
Vielleicht hat's dir ja auch weitergeholfen...

Grüße

Isaak
 

cal

Member
AW: "lenny" auf Extensa 5220, Fernwartung

So, das läuft, zumindest mal hier am WLan.
Aufruf des clients mit
Code:
cal@neskaya:~$ xvnc4viewer Autoselect=0 LowColourLevel=1 PreferredEncoding=ZRLE 192.168.1.2:0
Aufruf des Servers mit
Code:
renate@renatemobil:~$ vnc4server -depth 8 -geometry 800x600 -pixelformat rgb222
Schade, copy und paste zwischen beiden geht nicht.
Farben sind auch nicht so klasse, aber es hat ein Spiel "5 oder mehr" mit meiner Maus auf Muttis screen durchgehalten und läuft immer noch.

Jetzt war da noch die Geschichte mit ssl.
Was ich darüber bis jetzt weis? Iss irgendne Verschlüsselung.
Wie sagte unser damaliger Bundestrainer:
Na, schau'n wer ma.

@Issak:
Da war'n wir wohl gleichzeitig zugange. Danke für den Tip.
 

cal

Member
AW: "lenny" auf Extensa 5220, Fernwartung

Hallo,

Zitat von Rain_Maker
Die üblichen Methoden wären ssh oder vnc,
ssh heißt das, nicht ssl! Sollte mir wirklich angewöhnen meine Brille auch zu benutzen. Oder wenigstens die Schrift im Browser zu vergrössern und genauer hinzuschaun.

Nach durchlesen was Wikipedia dazu sagt, installieren von opensshserver auf dem top, und verzweifeltem anstieren der manpages von ssh (821 Zeilen) und sshd (501 Zeilen) -alles natürlich auch noch in englisch- nach 'ner (deutschen) Anleitung für Doofe gesucht.
Folgendes gefunden: [OS X]SSH-Remote-Lösungen unter OSX (dazu VNC, KVM) - Apfeltalk
Erfüllt zwar meine Ansprüche (in bezug auf Doofe) nicht ganz, aber ich habs damit jetzt mal geschafft mich per ssh vom Desktop auf den Laptop einzuloggen.
Ausführliche Schritt für Schritt- Führung, super erklärt, prima!

Ich fass, was ich nach der Anleitung bis hierhin gemacht habe mal zusammen: (sshd läuft nach Installation auf dem Server)
Code:
client:~$ ssh username@serverip
Fingerprint mit "yes" bestätigen.

Code:
client:~$ ssh-keygen -b 2048 -t rsa
Code:
scp ~/.ssh/id_rsa.pub [EMAIL='username@serverip:%7E/.ssh'] username@serverip:~[/EMAIL]/.ssh/authorized_keys
Soweit hab ich halbwegs kapiert was ich da mache. Glaub ich wenigstens.

Gekürzt zitiert: (vollständiger Text in o.g. Anleitung)
Nun sind die Schlüssel verteilt und wir passen die Einstellungen von SSH unseren Bedürfnissen an. Dabei wollen wir die unsichere Passwort-Authentifikation deaktivieren sowie auch gleich ein paar mehr Dinge für die Sicherheit unseres Servers tun...

...Also:
cd /etc
Hier ist die Datei sshd_config abgelegt, welche die Einstellungen für unseren SSH-Dienst enthält...
... man kann nur mit root-Rechten die sshd_config verändern. Die /etc/services muss man zusätzlich ändern, wenn man den SSH-Port verändern will. Dazu muss sowohl die bei /etc/services als auch bei /etc/sshd_config der Eintrag für den SSH-Port geändert werden.
Jedoch gibt es dabei immer ein paar Probleme. Auch ich hab diese. Angeblich soll es ausreichen bei der /etc/services die Zeilen
Code:
ssh 22/udp # SSH Remote Login Protocol
ssh 22/tcp # SSH Remote Login Protocol
zu ändern. ...

...Somit nutzen wir den neuen SSH-Port, der dort nicht in der Liste steht. Aber wie gesagt... bei mir scheitert es aus unerfindlichen Gründen bei der Port-Änderungen.
Wie gesagt muss zusätzlich zur /etc/services die /etc/sshd_config für die Port-Änderungen abgeändert werden.
In der Zeile Code:
Port 22
ändern wir die 22 in unseren neuen Ziel-Port um, den wir auch in /etc/services angegeben haben....


Wenn es jemand hinbekommen haben sollte den SSH-Port manuell umstellen zu können, dann soll er es mir doch bitte verraten...
Falls ich alles richtig verstanden habe wartet sshd normalerweise ständig auf einen Kontaktversuch an Port 22, durch verlegen des Ports soll ein Angriff erschwert werden. Ich kenn mich damit nicht aus, aber kann der neue Port nicht einfach durch einen Portscan gefunden werden?

Ist es, für jemand der sowieso nur leise ahnt was er da macht, trotzdem empfehlenswert die anscheinend nicht ganz so einfache Änderung der Ports vorzunehmen?

Mir ist schon klar, so sicher wie nur möglich- allerdings nützt es mir auch nix wenn ich das Teil dann so "sicher" hab daß ich selbst keine Verbindung mehr zustande kriege.
Was ich bräuchte wäre eine Einschätzung von jemand der was davon versteht nach dem Motto: "Würde ich unbedingt machen, bringt wirklich einen anständigen Gewinn an Sicherheit" oder "Bringt zwar was wenns klappt, aber relativ wenig und wenns nicht klappt...".
Und müßte ich, im Falle ich probiers, nicht auch am client die ports entsprechend verstellen, sind das dann die gleichen Konfigurationsfiles?
 

Rain_Maker

Administrator
Teammitglied
AW: "lenny" auf Extensa 5220, Fernwartung

1. Das "Umlegen" von ssh auf einen anderen Port als 22 ist kein zusätzlicher Sicherheitsgewinn im klassischen Sinne, denn ein Portscan wird diesen Dienst trotzdem finden und ein schlecht konfigurierter ssh auf Port 12345 ist genauso angreifbar wie auf Port 22.

Der Vorteil eines non-Standard Ports für ssh liegt darin, daß die Logfiles nicht mit dem üblichen scriptgestützten "Hintergrundrauschen" standardisierter Loginversuche überquellen.

2. Wirklicher Sicherheitsgewinn entsteht durch Pubkey-Authentifizierung (das wurde ja schon erledigt).

3. Es muß auch nicht immer VNC sein, für Updates via apt-get reicht eine "einfache" ssh-Sitzung und die Kommandozeile aus, wenn man noch zusätzlich VNC (natürlich über eine verschlüsselte Verbindung getunnelt, das ist so oder so sinnvoll, dann kann niemand mithören) laufen lässt, dann wird das auch bei einer normalen DSL-Verbindung nicht gerade ein Geschwindigkeitswunder sein.

Die zusätzliche Bandbreite, die eine X-Sitzung benötigt, würde ich also so oft wie irgend möglich vermeiden.

Greetz,

RM
 

cal

Member
AW: "lenny" auf Extensa 5220, Fernwartung

Hallo,
denke ich hab's jetzt mit der ssh-Verbindung.

Aber erst mal:

3. Es muß auch nicht immer VNC sein, für Updates via apt-get reicht eine "einfache" ssh-Sitzung und die Kommandozeile aus, wenn man noch zusätzlich VNC (natürlich über eine verschlüsselte Verbindung getunnelt, das ist so oder so sinnvoll, dann kann niemand mithören) laufen lässt, dann wird das auch bei einer normalen DSL-Verbindung nicht gerade ein Geschwindigkeitswunder sein.

Die zusätzliche Bandbreite, die eine X-Sitzung benötigt, würde ich also so oft wie irgend möglich vermeiden.
Ja, so ähnlich hab ich mir das inzwischen auch gedacht: Möchte die (getunnelte) VNC-Verbindung nur dann benutzen wenn Mama mir auf ihrem Schirm zeigen muß was sie meint oder umgekehrt.
Dazu möchte ich VNC dann auch noch so einrichten, daß ich bei mir gerade noch so das Notwendigste erkennen kann, um die Bandbreite soweit möglich zu verringern. Mama kriegt zwar DSL 2000 aber ich muß immer noch mit der Light-version rumkrebsen.

Aber das habe ich noch nach dem Tunneln an den Schluß gestellt.

Mein momentanes Problem ist, daß ich zwar glaube daß ich es bis jetzt sicher hingekriegt habe, es aber nicht wirklich weiß.
Darum:
Könntet Ihr Euch bitte mal meine sshd_config ansehen und mir sagen ob die so ok ist?
Code:
 #Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 1800 
ServerKeyBits 4096

# Logging
SyslogFacility AUTH
LogLevel ERROR

# Authentication:
LoginGraceTime 60
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# [COLOR=Blue]Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes[/COLOR]
in blau: Unsicher ob ich das brauche
Der Vorteil eines non-Standard Ports für ssh liegt darin, daß die Logfiles nicht mit dem üblichen scriptgestützten "Hintergrundrauschen" standardisierter Loginversuche überquellen.
Kann ich das damit umgehen daß ich den LogLevel auf Error statt auf Info gesetzt habe?

Bringt mir eine große Schlüsselänge, außer dem Sicherheitsgewinn, eventuell zuviel Datenoverhead?

Hier auch noch die Ausgabe eines Portscans an dem top:

Code:
port    22    open    ssh [COLOR=Red] ok [/COLOR]
port   111   open  sunrpc [COLOR=Red] ? [/COLOR]
port   113   open  auth    [COLOR=Red]  ?  [/COLOR]
port  5900  open  unbekannt  [COLOR=Red]VNC[/COLOR]; [COLOR=Red]ok[/COLOR]
113 wird wohl gebraucht, aber sollte der nicht geschlossen sein?
111 Text bei Internet Security Systems ...should never be exposed to the Internet... Brauch ich den?
VNC starte ich bei Bedarf per ssh.

So, einige Stunden später:
vnc läuft über ssh.
neskaya:/home/cal# ssh -L 5902:localhost:5900 renate@192.168.1.4

anderes Terminal:

neskaya:/home/cal# xvnc4viewer Autoselect=0 LowColourLevel=1 PreferredEncoding=ZRLE localhost:2
lap meldet:
lsof -P -n -i
sshd 7723 root 3r IPv6 29792 TCP 192.168.1.4:22->192.168.1.3:33348 (ESTABLISHED)
sshd 7728 renate 3u IPv6 29792 TCP 192.168.1.4:22->192.168.1.3:33348 (ESTABLISHED)
sshd 7728 renate 11u IPv4 30136 TCP 127.0.0.1:35176->127.0.0.1:5900 (ESTABLISHED)
renatemobil:/home/renate#
Traffic liegt bei ca 150kB/s, müsste ja für Mamas upload reichen.*
Natürlich ändere ich den ssh und vnc login per root noch in einen normalen User, wollte vermeiden daß ich irgendwelche Benutzerrechte-Probleme kriege solange ich am ausprobieren bin.

Jetzt muß ich das ja "nur" noch durch 2 Wlan-Router und eine DSL-Leitung bekommen.

Falls jemand noch einen Fehler entdecken sollte, bitte sagen.

Herzlichen Dank an alle die mir bisher weitergeholfen haben.

*Das reicht natürlich noch lange nicht, sind ja kByte, keine kbit.
Da muß ich wohl noch mal schau'n was ich da noch machen kann. Hab gerade mal nachgeschaut, Mamas Upstream kann ich auf 384kbit/s erhöhen lassen, was meinem Downstream entsprechen würde. Dann müßte ich noch auf etwa ein Viertel der jetzigen Datenrate kommen damits klappt..... Mit meinem Upstream dürfte es wohl keine Probleme geben, ich schicke ja kein Bild mit. Testen....
 

cal

Member
AW: "lenny" auf Extensa 5220, Fernwartung

Hallo,

nach einigem rumpfriemeln ist die geplante VNC-Verbindung wohl gestorben.
Mit meinem Upstream dürfte es wohl keine Probleme geben, ich schicke ja kein Bild mit. Testen....
hat sich als Irrtum herausgestellt.
Mein Upstream würde sich, bei niedrigster Auflösung und ohne ssh-Tunnel auf etwas über 30kByte/s belaufen, das ist das doppelte des möglichen.
Der Upstream des Servers läge bei 45-50kB/s, mit noch ein wenig schrauben..
Mit ssh-tunnel kämen dann nochmal ca 50% dazu.
Dieses besch... DSL-light!
Mit 2 (aufgerüsteten) DSL2000 upstreams könnte es -unverschlüsselt- gerade mal so klappen. Zumindest könnte mans mal probieren.
Es bleibt aber immerhin die sichere ssh-Verbindung, dann muß ich mir mal überlegen wie ich über die logs möglicherweise nachvollziehen kann welche Probleme im Eventualfall Mama haben könnte.
Und wieder ein bissel was gelernt hab ich bei der Geschichte ja auch noch.
 
Status
Für weitere Antworten geschlossen.
Oben