Rootserver Fragen

[rolfti]

Soory, hab mich festgefahren daher der fade Titel, mein Ziel:

Code: Alles auswählen

 mit dmcrypt verschlüsselter rootserver, plus vsftpd und passwortlogin für ausgewählte benutzer in einem chroot, das ganze als sftp, ssl verschlüsselt mit zertifikat.

Code: Alles auswählen

Mein Stand: Mit dmcrypt verschlüsselter rootserver, knockd-Anmeldung, plus "SSH-Login in einen Käfig" erfolgreich umgesetzt

Die Anmeldung via knockd klappt doch dannach happerts:
ausgewählte benutzer in einem chroot erstellen???
vsftpd, mit folgender Anleitung: http://archiv.debianhowto.de/de/vsftpd/ ... ation.html , leider kommt kontin. "falsches Passwortd
Zudem noch ne Frage Der Server beinhaltet 3-Netzwerkkarten, Die Idee wäre, ihn am Schluss in der DMZ mit einer der vier öff. IP-Adressen (fix) auszustatten. Dennoch möchte ich vom LAN (Klass-A-Netz 10.xxx.xxx.123), darauf zugreifen können.
Frage: Wie müsste man das Netzwerk konfigurieren um unnötige Risiken von Aussen zu vermeiden?
Edit:

Code: Alles auswählen

Hier die Fehlermeldung beim vsftpd: 
Error:	Authentication failed.
Error:	Critical error
Error:	Could not connect to server

[Saxman]

Schön daß du dich an meinem Konzept versuchst..

Also Ich hab das so bei mir gelößt und auch so gemeint:
vsftpd macht sehr intensiven Gebrauch von chroots wenn du ihn läßt.

In der vsftpd.conf folgendes Einstellen:

#keine Anonymen user
anonymous_enable=NO
#user die einen lokalen Account haben erlauben
local_enable=YES
#vsftpd benutzt unpriviligierten acct den du anlegen musst
nopriv_user=ftpsecure
#jetzt sperren wir noch die lokalen user in ihr Homeverzeichniss
chroot_local_user=YES

zusätzlich noch in
/etc/ftpusers: list of users disallowed FTP access am besten alle user die es auf dem system gibt eintragen und nur den einkommentieren der ftp Zugang haben soll.

Ich hoffe das war einigermaßen verständlich.

Schönen Gruß

[rolfti]

Danke @Saxmann, recht hast, dein Konzept hat's mir angetan. Dann setze ichs mal um...
Wie hast dus mit dem Netzwerk umgesetzt, oder hast du den Server zugemietet?

[Saxman]

Danke @Saxmann, recht hast, dein Konzept hat's mir angetan. Dann setze ichs mal um...
Wie hast dus mit dem Netzwerk umgesetzt, oder hast du den Server zugemietet?

Der server steht bei mir unter dem Schreibtisch,ist per DynDNS angebunden und ist quasi die Datentankstelle für meinen Laptop wenn Ich unterwegs bin. Bei deinem Netzwerkproblem kann Ich dir insofern nicht wirklich weiterhelfen.

Schönen Gruß

[mragucci]

Zudem noch ne Frage Der Server beinhaltet 3-Netzwerkkarten, Die Idee wäre, ihn am Schluss in der DMZ mit einer der vier öff. IP-Adressen (fix) auszustatten. Dennoch möchte ich vom LAN (Klass-A-Netz 10.xxx.xxx.123), darauf zugreifen können.
Frage: Wie müsste man das Netzwerk konfigurieren um unnötige Risiken von Aussen zu vermeiden?

Das musst Du mal ein wenig (viel) deutlicher erläutern: Was genau willst Du?
Wenn Du nicht willst dass etwas von "Aussen" erreichbar ist, dann darf eben kein Dienst auf eine der externen IPs lauschen.

PS: Ein Server steht nicht in einer DMZ und gleichzeitig in einem internen LAN, das führt den Sinn einer DMZ ad absurdum

[rolfti]

Das musst Du mal ein wenig (viel) deutlicher erläutern: Was genau willst Du? Recht hast, im Grunde genommen gehts mir um zweierlei:

Code: Alles auswählen

1. ein von aussen (www) erreichbaren Rootserver aufbauen-absichern der getrennt vom LAN abgeschottet ist. (Interner Zugriff LAN möglich, jedoch nicht fix) sozusagen als Testserver.
2. vom Internet via Laptop auf einen im LAN eingerichteten Rechner zuzugreifen, bspw. via Open-VPN, SSH? 

Frei nach dem Motto: "Aus zwei mach ein" Faultier eben
Sorry, komm wohl nicht darum zwei Rechner differenziert einzurichten?

[roli]

Sorry, komm wohl nicht darum zwei Rechner differenziert einzurichten?

Wie sieht's denn mit Virtualisierung aus? Ich gehe mal nicht davon aus, das du dich aus dem Internet mit deinem Heimserver verbinden willst um dann die Berechnung der 4732-sten Nachkkommastelle von Pi zu starten, oder? Die dadruch reduzietre Performance wirst du sicher verkraften koennen. Meistens "ideln" die Server eh vor sich hin.
Was jetzt welcher der beiden von dir geplanten Server machen soll ist mir allerdings nicht klar.

[rolfti]

Hallo mein erstes Erfolgserlebnis, ich kann mich mit FileZilla via (TLS/SSL) am Server anmelden. Dennoch bleiben gewisse Fragen:

Code: Alles auswählen

a) Anmeldung erfolgt über standart eingerichtete USER die auf beiden Seiten (Local+Server) die gleiche ID nutzen. Obwohl in Filezilla kein /wurzelverzeichniss sichtbar ist - wie kann ich prüfen, dass XY nur in seinem /home aktiv bleibt?

Code: Alles auswählen

b) Der Rechner wurde mit der "Knockd-Anmeldung" konfiguriert, dennoch klappt der ftp-transfer. - Ist das ok?

Versucht man jedoch sich via ssh einzulogen kommt:

Code: Alles auswählen

ssh: connect to host 10.xxx.xxx.xxx port 22: Connection refused

dass soweit korrekt ist (Port-Nummer xxx)