genial. das werd ich nachher mal direkt einrichten. :)

Super Erklärt, tolle Stimme!

Cooles Video. Was man ergänzend noch hinzufügen könnte wäre in der /etc/ssh/sshd_config die Zeile AllowUser pi auf diese Weise darf sich nur der User pi (optional auch jeder weitere, dort eingetragene) noch per ssh aufschalten, alle anderen werden geblockt. Darüber hinaus würde ich auch die Zeile PermitRootLogin von 'yes' auf 'no' stellen, um auf diese Weise sicher zu stellen, dass man sich aus der Ferne nicht gleich als Root aufschalten kann. Ist vielleicht ein wenig paranoid, aber so mancher Admin schläft damit besser ;-)

kann ich jetzt ohne Probleme den Port 22 an meinem Router an den pi weiterleiten? Also gibt es noch Probleme mit der Sicherheit?

hallo ich habe eine frage ich habe mir auf mein pi die wlanrouter packet draufgemacht und das geht auch bloß in der konfig steht für die wlan schnittstelle eine statiche ip kann ich das auch noch für die lan schnittstelle machen

Ich möchte jetzt auch auf allen Rechnern/Betriebssystemen die Taskleiste an den oberen Bildschirmrand befördern, das ist einfach wie SV schon sagte viel ergonomischer und geht schneller!

Komisch... ich habe die Änderungen in /etc/ssh/sshd_config 3fach überprüft, PI neu gestartet, geschaut ob die Änderungen wirksam waren und kann mich trotzdem noch mit User pi und passwort über SSH (Putty) anmelden... Jemand eine Idee woran das liegen könnte?

Wünsche dir schöne Feiertage. :)

Und wie ist das mit anderen Benutzern? So braucht ja jeder Benutzer einen Key, oder? Und wie läuft das dann bei SFTP?

Ist es nicht logischer den Key auf dem Client zu generieren und dann mit ssh ssh-copy-id direkt nach ~/.ssh/authorized_keys2 zu kopieren? (Ist zumindest unter Linux der gaengige Weg. Weiss jetzt allerdings nicht, ob es einen aenlichen Befehl unter Windows gibt.) Noch ein kleiner Tipp: Wenn du sehr viel mit Putty arbeitest, kannst du dir das staendige Eingeben der Passphrase sparen, wenn du nach dem Windowsstart einen Doppelklick auf die ppk-Datei machst. Putty startet dann einen Agent, der sich in der Taskleiste einnistet. Der gibt dann schnell Zugriff auf alle gespeicherten Zugaenge. Beim Verlassen des Rechners sollte man den Agent dann aber auch zur Sicherheit beenden.

Hallo Andreas Das Video ist super jedoch bin ich Linuxnutzer und weiss nicht wie ich in der bash, wenn ich den Befehl "ssh pi@raspberry" benutze trotzdem den key einlesen kann.. Wäre nett wenn du es für Linux auch erklären könntest.. Danke Raffael

***** Warum überträgt ihr den private key (geheimen Schlüssel)? Das widerspricht der Idee von Public-Key-Kryptosystemen. Wenn der Benutzer sowieso schon Putty gen startet kann er das Generieren auch dort machen und dann nur den public key (öffentlichen Schlüssel) an den Server übertragen. Weitere Details: Dies würde kein Sicherheitsproblem sein, wenn das Netz zur Übertragungszeit nicht angegriffen wird oder der Übertragungskanal sicher ist. Kann man im eigenen Netzwerk vielleicht annehmen, aber für das Internet kann man das nicht garantieren. Ohne SFTP würde der geheime Schlüssel (unser super langes geheimes Password) nur von dem Passwort geschützt, das wir bei der Generierung gesetzt haben. Wenn dies nicht gesetzt ist, dann übertragen wir den geheimen Schlüssel unverschlüsselt über das Internet. Somit kann ein Angreifer den geheimen Schlüssel mitlesen und verwenden. Generell ist das Übertragen des geheimen Schlüssel nicht notwendig und sollte auch nicht übertragen werden! Danke für die UsePAM no Option, das war mir nicht bekannt.

ist mit diser möglichkeit auch noch desktopremote möglich und wenn ja wie?

Könntet ihr mal zeigen, wie man nen Raspberry Pi als Repetier-Server einrichtet? Hab mir vor nicht all zu langer Zeit nen RepRap zugelegt, kann den aber nur verwenden, wenn mein PC läuft. Mit nem Raspi als Repetier-Server hätte ich das Problem nicht. Ich weis, ist ein ziemlich spezifisches Problem, aber wenn ihr mal Lust und Zeit habt....

authorized_keys sollte anstelle von authorized_keys2 (depricated since 2001) verwendet werden, seit dem SSH-Protocol v2 Standard ist. Inzwischen gibt es auch praktisch keine SSH-Systeme mehr die so veraltet sind, also kann man sich das gleich abgewöhnen.

wenn man den benutzer für den key mal hat kann man millionen mal das pw falsch eingeben... kann man das auch noch limitieren?

Ich habe alles wie im Video beschrieben gemacht kann mich aber trotzdem noch mit meinem Nutzername und pw einloggen? Jemand eine idee?

@SemperVideo Was bringt den PAM auf No zu stellen? Ich nutze selbst nur den Account Pi als login

wie übertrage ich den private key *sicher* über das Internet? reicht scp oder muss ich da was besonderes beachten? Diffie-Hellman oder so?

Wie macht man diese Methode wieder Rückgängig?

@Ridehammershadow LP Jupp, was auch für ein Unix Derivat wie OSX gilt. Wär Super wenn das noch erklärt wird.

***** bei 10:03 sagt ihr, man muss den ssh-Server neu starten und startet den ganzen Pi neu. Eigentlich hätte doch das hier gereicht: $ sudo service ssh restart oder, falls 'service' nicht vorhanden ist: $ sudo /etc/init.d/ssh restart Korrigiert mich bitte, wenn ich falsch liege, ich habe kein Pi aber so sollte es auf jedem Linux (zumindest Debian basiert) funktionieren

Ubuntu oder Windows?

Für Linux User: Lokal erstmal die Schlüssel erzeugen: Mittels ssh-copy-id -i relativer/pfad/ident_file user@host wird der Schlüssel automatisch in die authorized_keys von host geschrieben. Anstatt ftp zu benutzen gibt es scp oder sftp (Quasi ftp via ssh) Gibt noch andere Möglichkeiten um es einzudämmen, wie z.b. IP-Range festlegen (Geht im SSHD sowie in der Firewall) Knocking fail2ban etc.

Hi @SemperVideo mal wieder ein super Video, danke. Mir ist aber aufgefallen, dass der SFTP Zugang noch über Passwort funktioniert, aber eben auch per keyfile. Wie kann man für SFTP den Passwort-Zugang noch deaktivieren? Hierzu habe ich nichts im Netz gefunden.

Ist der 4069bit schlüssel denn noch uptodate ?

Ok danke @mulchi101 Unter Linux ist es z.B ssh -i privatekey.txt pi@raspberrypi richtig nh ?

Danke für das Video ;)

Und wenn wir schon dabei sind können wir es auch gleich ganz übertreiben und noch den ssh daemon mit port knocking aktivieren bzw deaktivieren. Vielleicht könnt ihr dazu ja auch noch mal ein Video machen.

Kannst du noch ein Video dazu machen wir man das auf Linux / Ubuntu einstellen kann? Merci

Würde mich freuen wenn Sie mehr Videos in Richtung Sicherheit mit dem Pi machen auch mit Apache etc...

Ich weis nicht, ob es anderen genauso geht. Ich habe PuTTy von der Seite www.chiark.greenend.org.uk/ runtergeladen und es war eine einfache Exe die bei mir nun auf dem Desktop liegt. Ich habe kein Verzeichnis, wo ich den Generator finden könnte. Was nun?

Hallo, könnten Sie bitte auch ein Passwort-Tutorial machen für einen Linux Client (z.B: Linux Mint/Ubuntu) welcher auf das Pi zugreifen will (ohne Putty rein über das Terminal) ?

Wir können den SSH Server auch Neustarten während wir verbunden sind.

*sehr hilfreich*

service restart sshd hätte geklappt , aber ohne sudo und dann manuell mit dem user passwort bestätigen , habe ich so gemacht und es hat geklappt

Jippi :D Ich weiß wie du heißt!!

Das könnte auch noch interessant werden: www.spiegel.de/netzwelt/web/tor-betreiber-verlieren-wichtige-server-a-1009945.html Bin gespannt auf weitere Neuigkeiten...

Weitere mögliche Absicherungen: - Einen anderen Port für SSH (nicht 22) verwenden - In der sshd_config PermitRootLogin auf no stellen - Vor allem wenn man den pi aus dem Internet erreichen kann: fail2ban!

Wäre es nicht einfacher sich ein 10er Passwort zu merken und das dann sooft wiederholen, wie man glaubt, daß es nötig ist ? Bei 4000er PW also 400 Mal. :)

diese doofen Raspberry-Videos nerven mich hart

Besser als RSA sind ECDSA und ED25519. Man kann diese Verschlüsselungsarten mit "-t" oder mit "--type" als Verschlüsselungsart oder Verschlüsselungstyp, also als Parameter angeben. Ein Beispiel wäre: ssh-keygen -N hostname.local -t ed25519.