Bitte löschen

Jan-Frederik Stieler

Monsterator
Moderator
Hi,
soweit ich das jetzt gesehen habe sollte alles funktionieren.
Nur finde ich es etwas merkwürdig ssh und XRDP zu installieren.
Auch weil Du von Sicherheit gesprochen hast.
Was Du noch machen kannst ist den standard pi user zu löschen oder Du benennst ihn um. Weil jeder kennt diesen User und auch das Passwort.

Und das mit de mApache würd ich mir auch nochmal überlegen ob Du da nicht lieber ngnix einsetzen willst.
Bei fail2ban müsstest Du dann mal schauen ob es für den ngnix auch standardfilter gibt.

Da ich jetzt bzgl. Linux (Raspberrian) auch noch nicht so 100% sattelfest bin wäre es abergut wenn noch jemand anderes was dazu schreibt.

Grüße
 

Zvoni

Erfahrenes Mitglied
Was ich eher seltsam finde, ist dass du überhaupt RDP für einen Server brauchst.
Und was soll an SSH unsicher sein? Deine config sieht sogar besser als meine aus. Und für SSH kannst du sogar verschlüsselte Verbindungen aufbauen: OpenSSH Public Key Authentifizierung unter Ubuntu – Thomas-Krenn-Wiki
Die Frage die du dir stellen musst: Von wo soll der Pi erreichbar sein? Über das Internet? Per Port-Forwarding? Per VPN? Da sind die Angriffsstellen.
 

Zvoni

Erfahrenes Mitglied
Wenn du "Admin"-Zugang wirklich nur aus dem lokalen LAN willst/brauchst, dann ist aber SSH vollkommen ausreichend. Da finde ich sogar VNC (egal welchen) überflüssig, da es mMn nur unnötigen Overhead erzeugt.
FTP-Zugang von wo?
 

Zvoni

Erfahrenes Mitglied
Ah, OK!
Dein Setup erinnert mich nämlich an das, an welchem ich gerade für unseren Verein arbeite, mit dem Unterschied, dass diverse Dienste (FTP) eben auch von aussen (=Internet) erreichbar sein sollen.
als FTP-Server kann ich dir Proftpd empfehlen. Config ist relativ einfach.
Aber dann die Frage: Wieso FTP von nur "Zuhause"? Wieso nicht einfach Samba-Share/Freigabe und gut ist?
 

Zvoni

Erfahrenes Mitglied
Hmmm, ich versuche gerade zu verstehen, wie man mit TeamViewer auf eine Linux-Kiste kommen will, es sei denn man lässt TeamViewer auf dem Pi unter Wine laufen (pfui bäähh)
 

Zvoni

Erfahrenes Mitglied
Ist ne rudimentäre smb.conf. Es gibt noch den ein oder anderen "Schalter" um es noch sicherer zu machen.
Ich such mal zuhause meine smb.conf raus (bin grad auf Arbeit)

EDIT: Uh Oh...
Code:
- Terminal@alice: sudo chmod 777 /var/www/html/
Nix gut. Ordner (und Dateien) gehören root:root, aber mit 777 erteilst du einen Blankoscheck an "World" zu tun und zu lassen, was sie wollen. Hätte eher "775" erwartet.

EDIT2: Und der nmbd-daemon ist mehr oder weniger überflüssig
 
Zuletzt bearbeitet:

Zvoni

Erfahrenes Mitglied
Wer soll denn alles auf den Share?
Ausserdem glaube ich mich daran zu erinnern, dass "root:root" für den www-Ordner keine gute Idee ist, weil der Ordner eigentlich dem User gehören soll, in dessen Prozessraum der Apache laufen soll ("www:www"?)
und du kannst deshalb keine Unterverzeichnisse erstellen, weil der User "alice" nicht Mitglied der Gruppe "root" ist (und auch nie sein sollte).
Ich glaube mit Installation vom Apachen wird automatisch "www" als User und auch als Gruppe angelegt.
chown den Ordner zurück zu "www:www" und füge deinen user "alice" der Gruppe "www" zu, und schon reicht 775 aus um Unterverzeichnisse anzulegen
 

Zvoni

Erfahrenes Mitglied
Wie versprochen, anbei meine smb4.conf (ist von meinem FreeBSD-Server, aber Samba ist Samba).
Samba ist Version 4.10.
Ich habe mal das zfs-spezifische rausgeworfen
Code:
[global]
server string = Zvoni's Server
workgroup = WORKGROUP
log file = /var/log/samba4/%m.log
max log size = 50
disable netbios = yes
map to guest = bad user
security = user
server role = standalone server
deadtime = 15
dns proxy = no
idmap config * : backend = tdb
delete veto files = yes
store dos attributes = yes
veto files = /Thumbs.db/.DS_Store/._.DS_Store/.apdisk/._*/
strict locking = no
directory name cache size = 0
dos filemode = yes
acl allow execute always = yes
create mask = 0775
directory mask = 0775
invalid users = nobody root
aio read size = 65536
aio write behind = yes
aio write size = 65536
max connections = 10
write cache size = 65536

[brick1]
comment = Brick1 on Server 01
path = /server/brick1
valid users = @MyGroup
read only = no

[brick2]
comment = Brick2 on Server 01
path = /server/brick2
valid users = @MyGroup
read only = no
Es gibt noch weitere Attribute (siehe man-pages für Samba), wie Guest OK, browsable usw.
Einfach mal nachlesen.
Falls du Fragen hast....
 

Neue Beiträge