header.html

eulenbit.net

Technik, Computer, Linux, Open Source

Benutzer-Werkzeuge

Webseiten-Werkzeuge


user:wellenschrat:tmp:raspi2

Server

B A U S T E L L E


0. Voraussetzungen

  • Raspberry Pi Zero, SD-Karte, Netzteil
  • Zugriff auf WLAN-Router

Nutzer anlegen

sudo adduser BENUTZERNAME

adm dialout cdrom sudo audio video plugdev games users input netdev gpio i2c spi

deluser

sudo deluser --remove-all-files pi

bashrc

sudo chattr +i ~/.bashrc

1.2 Authentifizierung mittels Public-Key-Verfahren

sudo systemctl restart ssh

1.2.1 Schlüsselpaar erstellen

Das Schlüsselpaar wird auf dem Client erstellt, also auf dem Rechner, mit dem du auf den Raspbarry Pi (Server) zugreifst.

ssh-keygen -b 4096

Abgelegt wird das Schlüsselpaar im dem versteckten Verzeichnis ~/home/$USER/.ssh, wobei $USER dein Benutzername ist.

Die Verzeichnisrechte müssen noch auf drwxr-xr-x (755) gesetzt werden.

chmod 755 /home/$USER/.ssh

https://gist.github.com/grenade/6318301

chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub
chmod 644 ~/.ssh/authorized_keys
chmod 644 ~/.ssh/known_hosts
chmod 644 ~/.ssh/config

Links

https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierung_unter_Ubuntu

1.2.2 Öffentlicher Schlüssel auf Server übertragen

Den öffentlichen Schlüssel des Schlüsselpaars erkannt man an Endung pub. Hat man bei der Generierung die standsradeinstellung übernommen und keinen Schlüsselnamen angegeben, lautet er id_rsa.pub. Dieser öffentliche Schlüssel muss nun auf den Raspberry Pi (Server) kopiert werden.

ssh-copy-id -i .ssh/key_rsa.pub BENUTZERNAME@192.168.1.23

1.1 Login als Benutzer "root" verbieten

In der Datei /etc/ssh/sshd_config ist der Eintrag

#PermitRootLogin prohibit-password

zu

PermitRootLogin no

ändern.

Diese Datei lässt sich z.B. ändern mit: sudo nano /etc/ssh/sshd_config

Nun muss der SSH-Dienst noch mit sudo /etc/init.d/ssh restart oder sudo service ssh restart neu gestartet werden.

1.2 SSH-Port ändern

sudo nano /etc/ssh/sshd_config

Die Raute (#) wird bei Eintrag #Port 22 entfernt und der Port von 22 z.B. zu 49801 geändert, also Port 49801.

Bei der nächsten SSH-Verbindung wählt man zum Login

ssh -p '49801' 'BENUTZERNAME@192.168.1.23'

Security through obscurity

Links

01. Webserver lighttpd

Virtuelle Hosts

sudo lighty-enable-mod simple-vhost
sudo service lighttpd force-reload 

02. Dynamischer DNS-Dienst

03. Certbot/LetsEncrypt Zertifikat

user/wellenschrat/tmp/raspi2.txt · Zuletzt geändert: 14.06.2024 von wllnschrt

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki