Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Remote toegang Ubuntu

01-06-2020, 14:50 door Anoniem, 20 reacties
Hallo allemaal,

Ik zit eventjes met een brandende vraag over de beveiliging wat betreft remote toegang. De situatie is als volgt, ik gebruik op mijn eigen computer momenteel Ubuntu, versie 20.04 om precies te zijn. Mijn ouders welke zich op een andere locatie bevinden dan mij hebben dezelfde Ubuntu versie op hun huiskamer computer.

Ik wil zo nu en dan wanneer het nodig is deze computer via het internet kunnen overnemen om bijvoorbeeld updates te installeren of remote hulp te kunnen verlenen wanneer nodig.

Nu is mijn vraag welke oplossing kan ik hier beste voor gebruiken? Standaard wordt er in Linux SSH of VNC gebruikt. VNC is grafisch maar ik heb gelezen dat dit onveilig is omdat VNC niks versleuteld. Er wordt aangeraden om VNC over SSH heen te draaien maar daar kom ik niet helemaal uit.

Een andere oplossing zou Teamviewer zijn denk ik, dit zou een veel gemakkelijkere oplossing zijn?
Reacties (20)
01-06-2020, 15:35 door linux4
Ubuntu heeft Teamviewer volgens mij tegenwoordig standaard in hun repository (app store) staan en het werkt prima! Ik ondersteun er ook incidenteel familie mee vanaf Manjaro Linux naar Mint en soms ook vanaf Windows 10 naar Mint.

Het is erg makkelijk in gebruik en er wordt wel eens wat geroepen over veiligheids risico's van het programma maar die risico's heb je overal. Voor dit soort ondersteuning is het prima bruikbaar.

De hoofd versie nummers moeten op beide pc's wel overeenkomen maar daar heb jij dan geen last van want Ubuntu zal beide system updaten maar het kan enkel fout gaan als jij al een major versie update hebt gehad en je ouders nog niet. Teamviewer biedt wel portable versies aan met aan ouder versienummer, ook voor Linux.

Datzelfde kan je overkomen met ondersteuning vanuit Windows 10. Het update systeem van Windows is niet gecentraliseerd dus moet je zelf updates in de gaten houden.
01-06-2020, 15:43 door Anoniem
voor linux beheer wordt meestal ssh gebruikt.

wel zul je dan de computer van je ouders direct benaderbaar vanaf het internet moeten hebben.

tips in volgorde van belangrijkheid:

- zet de locale ufw / iptables goed meteen naar specifieke ip nummers voor inbound ssh en niets anders en controleer dat vanaf je eigen computer met nmap
- gebruik ssh rsa sleutel paar tezamen met een ww voor ssh inloggen (dus geen ww op sleutel, maar server sshd zo configureren dat zowel password als rsa sleutel nodig zijn) als gewone gebruiker die naar root switched en zorg dat root never nooit niet via ssh mag inloggen
- zet fail2ban op voor ssh
- zet een hourly cron die de 'apt-get update' doet
- zet postfix goed op zodat die locale root mail forward via ISP smtp server van je ouders als voor hun poort 25 naar het internet dicht zit (gerbuik TLS als het kan)
- zet logwatch op die per mail dagelijks logs naar je toe mailed
- zet smartd goed op zodat diskfailures per mail automatisch binnen komen
- leun achterover...

eenvoudige googles helpen je genoeg referenties te vinden hoe dit te doen en ik schat in dat je een middagje bezig bent afh van je unix skillz. tip daarbij is alles stapje voor stapje doen en testen voordat je naar de volgende stap gaat.

success.
01-06-2020, 16:03 door [Account Verwijderd]
Ik gebruik OpenVPN en ga dan via SSH naar de servers toe.
01-06-2020, 16:07 door Anoniem
Persoonlijk zou ik bij Teamviewer wegblijven omdat er een betrouwbaar en veilig alternatief is.

Start op de computer van je ouders VNC en laat deze alleen op 127.0.0.1 (poort 5900) luisteren.
Zet een ssh verbinding (laat alleen ssh-keys accepteren) vanaf jouw computer naar die van je ouders met een reverse tunnel:

ssh jouwinlognaambijjeouders@ipaddressvanjeouders -L 5900:127.0.0.1:5900

Daarna start je op jouw computer VNC (vncviewer 127:0.0.1:5900)
01-06-2020, 18:17 door Anoniem
Het hangt er allemaal sterk vanaf wat voor netwerk je hebt. Is het de "standaardsituatie" dwz zowel je eigen systeem als
dat van je ouders ieder op een eigen internet aansluiting met NAT (er vanuit gaand dat je niet meer bij je ouders woont,
niet altijd een even veilige veronderstelling op dit forum...) dan zul je niets hebben aan SSH of VNC.
Tenzij je eerst regelt dat er een VPN is tussen beide netwerken. En dan bedoel ik niet zo'n VPN als wat er tegenwoordig
geadverteerd wordt als VPN (bijvoorbeeld NordVPN), maar een VPN in de echte betekenis van het woord, een prive
netwerk verbinding tussen jullie beide netwerken.
Heb je dat eenmaal geregeld dan maakt het eigenlijk niet meer uit welk protocol je gebuikt omdat je VPN al de veiligheid
regelt.
01-06-2020, 18:31 door Anoniem
Door Anoniem: Het hangt er allemaal sterk vanaf wat voor netwerk je hebt. Is het de "standaardsituatie" dwz zowel je eigen systeem als
dat van je ouders ieder op een eigen internet aansluiting met NAT (er vanuit gaand dat je niet meer bij je ouders woont,
niet altijd een even veilige veronderstelling op dit forum...) dan zul je niets hebben aan SSH of VNC.
Tenzij je eerst regelt dat er een VPN is tussen beide netwerken. En dan bedoel ik niet zo'n VPN als wat er tegenwoordig
geadverteerd wordt als VPN (bijvoorbeeld NordVPN), maar een VPN in de echte betekenis van het woord, een prive
netwerk verbinding tussen jullie beide netwerken.
Heb je dat eenmaal geregeld dan maakt het eigenlijk niet meer uit welk protocol je gebuikt omdat je VPN al de veiligheid
regelt.

hoeft niet. sommige huis tuin en keuken ISP routers stellen je in staat voor poort 22 een DMZ ip nummer oid op te zetten en zijn de WLAN ip nummers vrijwel statisch. je kunt dan vanaf het internet via je NAT router toch een ssh naar een interne PC doen.
01-06-2020, 18:50 door botbot - Bijgewerkt: 01-06-2020, 18:51
Zelf gebruik ik bij mijn ouders die zelf windows hebben teamvier voor Linux. En bij een kennis die een grafische ubuntu omgeving gebruikt doe ik eigenlijk alles via SSH (en eventueel X-forwarding, maar praktisch nooit nodig). Maar dat is simpelweg omdat ik diegene ook, als die wat vragen heeft, door het menuutje leidt om het zelf te doen omdat ik dan weet dat ik die vraag daarna nooit meer krijg.
01-06-2020, 19:58 door Anoniem
Door Anoniem:
Door Anoniem: Het hangt er allemaal sterk vanaf wat voor netwerk je hebt. Is het de "standaardsituatie" dwz zowel je eigen systeem als
dat van je ouders ieder op een eigen internet aansluiting met NAT (er vanuit gaand dat je niet meer bij je ouders woont,
niet altijd een even veilige veronderstelling op dit forum...) dan zul je niets hebben aan SSH of VNC.
Tenzij je eerst regelt dat er een VPN is tussen beide netwerken. En dan bedoel ik niet zo'n VPN als wat er tegenwoordig
geadverteerd wordt als VPN (bijvoorbeeld NordVPN), maar een VPN in de echte betekenis van het woord, een prive
netwerk verbinding tussen jullie beide netwerken.
Heb je dat eenmaal geregeld dan maakt het eigenlijk niet meer uit welk protocol je gebuikt omdat je VPN al de veiligheid
regelt.

hoeft niet. sommige huis tuin en keuken ISP routers stellen je in staat voor poort 22 een DMZ ip nummer oid op te zetten en zijn de WLAN ip nummers vrijwel statisch. je kunt dan vanaf het internet via je NAT router toch een ssh naar een interne PC doen.

Dat is niet aan te raden! Gebruik dan nog liever Teamviewer.
01-06-2020, 22:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het hangt er allemaal sterk vanaf wat voor netwerk je hebt. Is het de "standaardsituatie" dwz zowel je eigen systeem als
dat van je ouders ieder op een eigen internet aansluiting met NAT (er vanuit gaand dat je niet meer bij je ouders woont,
niet altijd een even veilige veronderstelling op dit forum...) dan zul je niets hebben aan SSH of VNC.
Tenzij je eerst regelt dat er een VPN is tussen beide netwerken. En dan bedoel ik niet zo'n VPN als wat er tegenwoordig
geadverteerd wordt als VPN (bijvoorbeeld NordVPN), maar een VPN in de echte betekenis van het woord, een prive
netwerk verbinding tussen jullie beide netwerken.
Heb je dat eenmaal geregeld dan maakt het eigenlijk niet meer uit welk protocol je gebuikt omdat je VPN al de veiligheid
regelt.

hoeft niet. sommige huis tuin en keuken ISP routers stellen je in staat voor poort 22 een DMZ ip nummer oid op te zetten en zijn de WLAN ip nummers vrijwel statisch. je kunt dan vanaf het internet via je NAT router toch een ssh naar een interne PC doen.

Dat is niet aan te raden! Gebruik dan nog liever Teamviewer.

onzin. er is altijd een machienen nodig die direct aan het internet hangt; eentje van jezelf die openvp doet, eentje van teamviewer, of eentje die via een DMZ constructie. met teamviewer ben je afh van hun security, met openvpn moet je een server bij een IPS hebben oid, met de DMZ hoef je dat allemaal niet en ben je in control van je eigen security. tja als je niet een veilig systeem op kunt zetten, dan kan je het maar beter aan teamviewer overlaten. mijzelf niet gezien :).
02-06-2020, 07:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het hangt er allemaal sterk vanaf wat voor netwerk je hebt. Is het de "standaardsituatie" dwz zowel je eigen systeem als
dat van je ouders ieder op een eigen internet aansluiting met NAT (er vanuit gaand dat je niet meer bij je ouders woont,
niet altijd een even veilige veronderstelling op dit forum...) dan zul je niets hebben aan SSH of VNC.
Tenzij je eerst regelt dat er een VPN is tussen beide netwerken. En dan bedoel ik niet zo'n VPN als wat er tegenwoordig
geadverteerd wordt als VPN (bijvoorbeeld NordVPN), maar een VPN in de echte betekenis van het woord, een prive
netwerk verbinding tussen jullie beide netwerken.
Heb je dat eenmaal geregeld dan maakt het eigenlijk niet meer uit welk protocol je gebuikt omdat je VPN al de veiligheid
regelt.

hoeft niet. sommige huis tuin en keuken ISP routers stellen je in staat voor poort 22 een DMZ ip nummer oid op te zetten en zijn de WLAN ip nummers vrijwel statisch. je kunt dan vanaf het internet via je NAT router toch een ssh naar een interne PC doen.

Dat is niet aan te raden! Gebruik dan nog liever Teamviewer.

Nee, gebruik dan liever port forwarding naar e e n specifiek device.

Dus poort 22 forwarden naar depcvanjeouders poort 22

Maar nogmaals, gebruik geen wachtwoorden maar een ssh-key met een wachtwoord daar op.
02-06-2020, 13:38 door Anoniem
Of AnyDesk
03-06-2020, 12:03 door Anoniem
Maar nogmaals, gebruik geen wachtwoorden maar een ssh-key met een wachtwoord daar op.

configureer sshd (server side) dat je sleutels + password nodig hebt. key passwords kunnen niet server-side (hetgeen je beveiligen wilt) afgedwongen worden.
04-06-2020, 08:55 door Anoniem
Wat is er mis met de default sshd? als gui je antwoord is enable dan Xforwarding.
04-06-2020, 16:29 door Anoniem
Door Anoniem: Wat is er mis met de default sshd? als gui je antwoord is enable dan Xforwarding.

X over ssh is nou niet echt snel, bij iedere pixel moet het hele scherm ververst worden.
04-06-2020, 16:51 door Anoniem
Door Anoniem:
Door Anoniem: Wat is er mis met de default sshd? als gui je antwoord is enable dan Xforwarding.

X over ssh is nou niet echt snel, bij iedere pixel moet het hele scherm ververst worden.

not quite true

https://en.wikipedia.org/wiki/X_Window_System#Limitations_and_criticism
https://en.wikipedia.org/wiki/X_Window_System#Limitations_and_criticism
04-06-2020, 20:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat is er mis met de default sshd? als gui je antwoord is enable dan Xforwarding.

X over ssh is nou niet echt snel, bij iedere pixel moet het hele scherm ververst worden.

not quite true

https://en.wikipedia.org/wiki/X_Window_System#Limitations_and_criticism
https://en.wikipedia.org/wiki/X_Window_System#Limitations_and_criticism

oops copy-pats fout:

https://en.wikipedia.org/wiki/X_Window_System_protocols_and_architecture
05-06-2020, 00:32 door souplost
Door Anoniem:
Door Anoniem: Wat is er mis met de default sshd? als gui je antwoord is enable dan Xforwarding.

X over ssh is nou niet echt snel, bij iedere pixel moet het hele scherm ververst worden.
Klopt daarom zijn er ook veel betere alternatieven: https://wiki.centos.org/HowTos/FreeNX of xrdp
05-06-2020, 06:37 door Anoniem
Door Anoniem: voor linux beheer wordt meestal ssh gebruikt.

wel zul je dan de computer van je ouders direct benaderbaar vanaf het internet moeten hebben.

tips in volgorde van belangrijkheid:

- zet de locale ufw / iptables goed meteen naar specifieke ip nummers voor inbound ssh en niets anders en controleer dat vanaf je eigen computer met nmap
- gebruik ssh rsa sleutel paar tezamen met een ww voor ssh inloggen (dus geen ww op sleutel, maar server sshd zo configureren dat zowel password als rsa sleutel nodig zijn) als gewone gebruiker die naar root switched en zorg dat root never nooit niet via ssh mag inloggen
- zet fail2ban op voor ssh
- zet een hourly cron die de 'apt-get update' doet
- zet postfix goed op zodat die locale root mail forward via ISP smtp server van je ouders als voor hun poort 25 naar het internet dicht zit (gerbuik TLS als het kan)
- zet logwatch op die per mail dagelijks logs naar je toe mailed
- zet smartd goed op zodat diskfailures per mail automatisch binnen komen
- leun achterover...

eenvoudige googles helpen je genoeg referenties te vinden hoe dit te doen en ik schat in dat je een middagje bezig bent afh van je unix skillz. tip daarbij is alles stapje voor stapje doen en testen voordat je naar de volgende stap gaat.

success.

Ehm, je maakt het véél te moeilijk. Het enige wat de TS nodig heeft is SSH toegang van IP naar IP. Dus via port forwarding op de router van de ouders met alleen toegang voor het IP nummer van TS.
05-06-2020, 09:29 door Anoniem
Door Anoniem:
Ehm, je maakt het véél te moeilijk. Het enige wat de TS nodig heeft is SSH toegang van IP naar IP. Dus via port forwarding op de router van de ouders met alleen toegang voor het IP nummer van TS.

TS vraagt toch echt hulp om VNC over ssh.
05-06-2020, 10:06 door Anoniem
Door Anoniem:
Door Anoniem: voor linux beheer wordt meestal ssh gebruikt.

wel zul je dan de computer van je ouders direct benaderbaar vanaf het internet moeten hebben.

tips in volgorde van belangrijkheid:

- zet de locale ufw / iptables goed meteen naar specifieke ip nummers voor inbound ssh en niets anders en controleer dat vanaf je eigen computer met nmap
- gebruik ssh rsa sleutel paar tezamen met een ww voor ssh inloggen (dus geen ww op sleutel, maar server sshd zo configureren dat zowel password als rsa sleutel nodig zijn) als gewone gebruiker die naar root switched en zorg dat root never nooit niet via ssh mag inloggen
- zet fail2ban op voor ssh
- zet een hourly cron die de 'apt-get update' doet
- zet postfix goed op zodat die locale root mail forward via ISP smtp server van je ouders als voor hun poort 25 naar het internet dicht zit (gerbuik TLS als het kan)
- zet logwatch op die per mail dagelijks logs naar je toe mailed
- zet smartd goed op zodat diskfailures per mail automatisch binnen komen
- leun achterover...

eenvoudige googles helpen je genoeg referenties te vinden hoe dit te doen en ik schat in dat je een middagje bezig bent afh van je unix skillz. tip daarbij is alles stapje voor stapje doen en testen voordat je naar de volgende stap gaat.

success.

Ehm, je maakt het véél te moeilijk. Het enige wat de TS nodig heeft is SSH toegang van IP naar IP. Dus via port forwarding op de router van de ouders met alleen toegang voor het IP nummer van TS.

laat ik maar zeggen dat ervaring in dit soort zaken me het een en ander geleerd heeft van remote beheer. je hoeft de tips niet te doen, maar misschien raak ik een puntje waarbij jezelf nog niet stil hebt gestaan en waar je waarschijnlijk wel een keertje tegenaan zult gaan lopen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.