SSH Chat Server

[feldmaus]

Guten Abend,

ich suche einen Chat Server auf SSH-Basis für Debian(LMDE4). Mit SSH habe ich mich noch zu wenig auseinander gesetzt. Lese ich mir die Tage dann nochmal an. Ich wollte eine direkte/sichere/private Verbindung zu meinen Familien-Angehörigen aufbauen können. Ohne das andere mitlesen können. Was kleines einfaches wäre schön.

Im Internet habe ich

https://github.com/shazow/ssh-chat/releases/
https://www.tecmint.com/ssh-chat-linux- ... at-client/

ODER

https://www.tecmint.com/setup-secure-pr ... -over-ssh/

gefunden.

Was meint ihr? Empfehlungen?

Grüße

[Lord_Carlos]

Also soll deine Familie den auch benutzten koennen?
Soll der einfach im Terminal Funktionieren, oder soll der zwischen den Leuten via SSH verbinden?

[feldmaus]

Sollte schon über einen SSH-Client, also SSH laufen. Sprich verschlüsselte Kommunikation. Die Schlüssel sollen nur innerhalb meiner Familie bleiben. Meine Geschwister können sich ja eine Live-Linux Distribution besorgen und dann vonn überall mit mir chatten.

[pferdefreund]

Wie wäre es denn mit einem lokalen Mailserver und konsolenbasiertem Client. Dann kann die Familie per Putty oder ähnlichem direkt auf die Maschine zugreifen und per Mail (intern) kommunizieren.
Gibt ja einige Konsolen-Mail-Clients und ohne Grafik ist da auch keine hohe Systemlast zu erwarten.
Und vom Telefon aus geht es mit Juicessh - einem hervorragenden SSH-Client für Android. Gibt auch da eine reiche Auswahl an Clients

[uname]

Ich weiß ja nicht, ob deine Familie wirklich ein Live-Linux bootet.

Vielleicht wäre das eine Alternative: https://jami.net
Kannst du (auch) ohne jegliche zentrale Strukturen selbst betreiben.
Die zentralen Strukturen werden auch nur als Verzeichnis (Name zu Public-Key) verwendet und braucht man nicht.
Eine Art Threema selbst gehostet. Denn sicher ist sicher.
Es gibt Clients für Windows, Linux sowie Android und iOS.
Die Frage ist, ob du eine gemischte Struktur zulassen willst.
Willst du alle zu Linux zwingen ist das wohl eher keine Lösung.

[Lord_Carlos]

Ich bin mir immernoch nicht ganz sicher was du willst.

Sollen alle Menchlichen Beteiligten sich auf dem gleichen server einloggen via SSH, und da ein chat starten?
Oder startet jeder auf seinem Rechner ein Program, welches sich via SSH Protokoll zu anderen klienten verbindet? Das waere z.B. ssh-chat von shazow den du selber gefunden hast.

Was meint ihr? Empfehlungen?

In Zeiten von Signal oder Verschluesselter email sehe ich den Mehrwert nicht. Gerade weil Menschen Fehler machen wenn es komplizierter wird.

Wenn es selber gehostet werden soll, wuerde ich ein IRC server installieren der nur locale Verbindung akzeptiert.
Dazu The Lounge als Klient auch auf dem Server, mit nginx und lets encrypt Zertifikat.
Dann meinen Familien-Angehörigen accounts auf the lounge Einrichtugen. Das geht im browser auf Dekstoprechnern sowie Mobiltelefonen. Da muss keiner was neues Lernen.

[feldmaus]

Ich will keine Smartphones mit einbeziehen. Und auch keine Dritt-Anbieter. Nur Linux- oder von mir aus auch Mac-Clients. Möglichst wenig Schnick-Schnack. Sowas wie ssh-chat finde ich schon cool. Einfach und wenig Balast.

Ich habe ssh-chat so verstanden, dass dies der Server ist, zu dem alle ssh clients connecten?! Somit müssten meine Geschwister nur ein terminal öffnen und können dann per <ssh ip:port> sich zu meinem Laptop mit dem ssh-chat Server verbinden.

Müsste doch von der Sicherheit her reichen?

Ich habe kein Vertrauen in Programmen die zu überladen/unübersichtlich sind oder in irgendeinerweise von Dritten verwaltet werden.

Grüße

[Lord_Carlos]

Müsste doch von der Sicherheit her reichen?

Joa, versuch doch mal.

[eggy]

Falls die Verwandschaft das Ganze zu umständlich findet: es gäb da auch noch prosody als Jabberserver (XMPP).

[uname]

Das Problem ist auch, dass man sich zuvor für den Chat synchronisieren bzw. eine Zeit absprechen muss. Das wird mit SSH nicht funktionieren. Daher eher irgendwas mit Jabber/XMPP, Jami, ...

[DaCoda]

Die Verschlüsselungsschicht nennt sich TLS (ehemals SSL).

SSH, HTTPS, IMAP, ... verwenden alle TLS.

Wenn du mit SSH zu deinem "Chat-Server" (irgendein Rechner) verbunden bist kannst du wie folgt Nachrichten schicken:

Gruppenchat:

Code: Alles auswählen

wall Hi wie gehts!

Man kann auch einem bestimmten Benutzer eine Nachricht schicken. Mit talk oder write. Hat bei mir aber nicht so gut funktioniert wie wall.

[Mitigwi]

Webmin mit dem eingebauten Java Applet?
ansehen luxnote-hannover.de

[MSfree]

SSH, HTTPS, IMAP, ... verwenden alle TLS.

SSH ist unabhängig von SSL/TLS und IMAP ist völlig unverschlüsselt.

[DeletedUserReAsG]

Webmin mit dem eingebauten Java Applet?

Willkommen im Jahr 2020 – wo Browser seit Jahren schon ohne Verrenkungen keine Java-Applets mehr ausführen, und Webmin hoffentlich bald ganz tot ist. Abgesehen davon wären Webmin und Java-Applet so ziemlich die letzten Einträge auf meiner Liste, wenn es um irgendwas mit Sicherheit geht.

On-Topic: wenn’s ssh sein muss (warum auch immer man ’n dafür nicht gedachtes Protokoll hernehmen will): man könnte ’ne tmux-Session auf der Zielmaschine aufmachen, in der ’n echo-Client läuft, und jeder kann dann lustig drin rumschreiben. Ansonsten wär’s durchaus sinnvoll, ein dafür entwickeltes Protokoll herzunehmen. XMPP wurde ja schon erwähnt, prosody in der gewünschten Konfiguration wäre schnell aufgesetzt, und es gäbe sowohl Transport-, als auch E2E-Verschlüsselung (im Gegensatz zur ssh-Variante, die nur Transportverschlüsselung bieten könnte). Noch dazu gäb’s Clients für alle nennenswert verbreiteten Betriebssysteme, so dass die angedachte Frickelei mit Livesystemen entfallen könnte.

[Meillo]

Woran ich in diesem Thread immer noch haenge: Muss es unbedingt SSH sein oder muss es einfach sicher verschluesselt sein? SSH ist ja nicht die einzige Art zu verschluesseln.

Sollen sie sich unbedingt per ssh auf deinem Server einloggen (das geht ja auch per Putty von Windows aus) und die Chatsoftware laeuft dann auf deinem Server lokal im Terminal? Dann hast du keine weiteren Ports offen. Ist das das Ziel das du anstrebst?

Oder willst du einfach nur ein sicheres Chatsystem? Dann hat das aber nicht zwangslaeufig was mit SSH zu tun.

[feldmaus]

Mir geht es um ein nicht/schlecht abhörbares Chatsystem. Den Server würde ich nach telefonischer Absprache auf meinem Laptop starten und natürlich nachher wieder beenden.

Das mit prosody/jabber hört sich interessant an. Allerdings wesentlich umfangreicher als ssh-chat.

Danke und Grüße

[feldmaus]

@Niemand, was meinst Du mit, ssh bietet nur Transport-Verschlüsselung? Meta-Daten? Die Kommunikation ist doch komplett verschlüsselt? Nicht nur die Begrüßung?

@Meillo, ich wollte kein unübersichtliches Chat-System aufsetzen. Da das Unübersichtliche häufig zu Sicherheitslücken führt. Da ist ssh schon besser. Und es ist halt standardmäßig auf jedem Linux vorhanden. Mal eben schnell ins Chat-Cafe und dort privat chaten. Anders sieht es da mit einer klobigen Software aus. Da wird Dich der Chat-Cafe-Besitzer nur verwirrt angucken! Und Dir die Tür zeigen!

Die Chat-Software soll lokal unter einem Benutzer im Terminal laufen! Ich werde nur die Ports für die Chat-Server-Software temporär öffnen!

Ich habe Heute erfahren, dass die Benutzung von passphrases mit ssh-chat unsicher sei,
https://github.com/shazow/ssh-chat/issues/288
Allerdings will ich das Passwort ja gar nicht an Unbekannte verteilen, sondern nur an bestimmte Leute. Und ich möchte nur für ssh-chat ein eigenes Schlüsselpaar anlegen. Somit kommen nur Leute mit der richtigen Passphrase in meinen Chat-Server. Probleme macht der Chat-Server bei der Passwort-Abfrage, aber das müsste doch mit ssh-agent erledigt werden können?

[MSfree]

Die Chat-Software soll lokal unter einem Benutzer im Terminal laufen! Ich werde nur die Ports für die Chat-Server-Software temporär öffnen!

Ich würde einen Webchat auf einem Rechner im LAN aufsetzen. Jeder Teilnehmer kann dann einfach eine SSH-Session zu diesem LAN-Server öffnen und den lokalen Port 8000 auf den Port 80 des Webchatservers durch SSH tunneln. Mit http://localhost:8000 kann dann jeder den Webchat auf dem LAN-Server erreichen. Von aussen wäre der Webchat dann gar nicht erreichbar.

Die Sicherheit so eines Webchats ist dann auch nicht mehr so kritisch. Verschlüsselung über HTTPS kann man sich sparen, weil das Ganze sowieso schon über den SSH-Tunnel verschlüsselt ist.

[DeletedUserReAsG]

@Niemand, was meinst Du mit, ssh bietet nur Transport-Verschlüsselung? Meta-Daten? Die Kommunikation ist doch komplett verschlüsselt? Nicht nur die Begrüßung?

Die durchgehende Verschlüsselung von Teilnehmer zu Teilnehmer ist nur genau dann gegeben, wenn es a) überhaupt nur zwei Teilnehmer gibt, und b) einer der Teilnehmer den sshd selbst fährt. Bei allen anderen Konstellationen wird die Verschlüsselung an einer Stelle aufgemacht, und die Nachrichten werden neu verschlüsselt. Dagegen wurde „Ende zu Ende (E2E)“-Verschlüsselung erdacht – allerdings für Chatanwendungen nur für Chatprotokolle – nicht für irgendwas, das man für Chats missbraucht, wie ssh (das übrigens für „Secure Shell“ steht, nicht etwa für „Simple Shat“ oder so).

[feldmaus]

@Niemand, könntest Du Punkt a) weiter erläutern?

Wenn ich also den ssh-chat Server bei mir auf meinem Laptop laufen lasse und sich meine beiden Brüder, mittels Terminal und <ssh IP:PORT>, mit mir verbinden, dann ist die Kommunikation an welcher Stelle nicht verschlüsselt?

[DeletedUserReAsG]

Wenn ich also den ssh-chat Server bei mir auf meinem Laptop laufen lasse und sich meine beiden Brüder, mittels Terminal und <ssh IP:PORT>, mit mir verbinden, dann ist die Kommunikation an welcher Stelle nicht verschlüsselt?

Auf deinem Server. E2E-Verschlüsselung zeichnet sich dadurch aus, dass das nicht der Fall ist.

[feldmaus]

Antwort von den Entwicklern,

Code: Alles auswählen

[markus] Good evening. Is ssh as secure as E2E encryption? SSH was not developed for chat-software, but E2E is.

chris-work: if you host your own ssh-chat then it's as good as E2E between you and your guests.
chris-work: but between different guests, the host can theoretically eavesdrop if they modified the code
chris-work: (do I have this right?)

shazow: it's e2e encrypted the same way zoom is e2e encrypted lol
shazow: (ie. violates the definition of e2e encryption)
shazow: it's encrypted between the clients and the server, but it's all visible to the server
shazow: so, really depends on who is hosting the server and how much you trust them
shazow: meanwhile, zoom claims it's e2e encrypted but has the same properties
tyrel: this is fun https://github.com/DrunkenShells/Disclosures/tree/master/CVE-2019-18822-PrivEscal-ZoomCallRecording
chris-work: I think there should be legal repercussions for advertising e2e falsely like that. it's more than just misleading. I see it almost like "we promise never to share your email" and they go and share it willingly.
shazow: classic
chris-work: but really.. politicians don't care, in fact they want to outlaw e2e
shazow: chris-work: if the president doesn't get repercussions for outright lying, i think we live in a post-repercussions society
chris-work: ugh yeah

shazow: just make it clear that you can host your own server that you can trust :)
shazow: and post a link here so i can check it out

[DeletedUserReAsG]

Und was möchtest du damit sagen? Dass Chat über ssh keine E2E-Verschlüsselung haben kann, schrieb ich ja schon. Wer damit ’n Verständnisproblem hat, sollte sich wirklich überlegen, ob er von den Standards abweicht, weil er glaubt, so sicherer unterwegs zu sein. In der Regel machen Laien ihre Sachen so nicht sicherer, meist ist das Gegenteil der Fall.

[Lord_Carlos]

In seinem Fall wuerde ich sagen das es genau so gut ist wie E2E Verschlüsselung. Sein Server ist auch der Rechner vor dem er sitzt?
Nichts geht ueber einen dritten der mitlesen kann.

OP versuch es doch einfach mal.

[feldmaus]

Ok, ich habe es verstanden.

Frage, gibt es eine leichte E2E Chat Lösung, die schon in den meisten Linux-Betriessystemen enthalten ist, ohne extra Installation, sowie ssh. Wie so eine altbewährte ausgereifte Standard-Lösung, sowie SSH?

Von mir aus auch gerne als Terminal Anwendung.