[solved]Ajenti SSL Verschlüsseln

[herophil322]

Hallo Freunde,

ich stehe gerade vor dem Problem Ajenti "http://ajenti.org/" mit einer SSL Verschlüssel zu versehen. Für die, die es noch nicht wissen, Ajenti ist ein Weboberfläche mit vielen schönen funktionen zum verwalten des Servers. Außerdem sei gesagt das ich nicht viel Ahnung von der erstellung mit SSL Zertifikaten mit OpenSSL haben, deswegen bedanke ich mich schonmal im Voraus:D.

Erstmal das Config File liegt unter: /etc/ajenti/ " und nennt sich "ajenti.conf", welch Wunder^^.

Sieht wie folgt aus:

[dashboard]
powerwidget = right,0
loadwidget = left,0
networkwidget = right,1
memwidget = left,1

[users]
admin = {SHA}dqPWCvZwoll4sm/9x1MSt3Y9rCs=

[ajenti]
cert_key = /etc/ajenti/ssl/ajenti.key // wurde von mir hinzugefügt
firstrun = no
bind_host =
bind_port = 8000
cert_file = /etc/ajenti/ssl/ajenti.pem // wurde von mir hinzugefügt
ssl = 1
update_server = meta.ajenti.org
auth_enabled = 1
plugins = /var/lib/ajenti/plugins
htdocs = /var/lib/ajenti


Das SSl Zertifikat musste man ja auch ertsellen, habe etwas gesucht und bin auf diesen Befehl gestoßen:

openssl req -new -x509 -days 365 -nodes -out /etc/ajenti/ssl/ajenti.pem -keyout /etc/ajenti/ssl/ajenti.key

Sollte Ajenti dann ja über https://myip:8000 erreichen könne, leider tut der da nichts, kann mir jemand sagen was ich Falsch mache, denk mal an die Zertifikat erstellung

Mfg herophil322

[rendegast]

In ajenti garnichts mit ssl einstellen,
stattdessen an irgendeinen localhost-Port binden,
dann mit ssh Port-Forwarding machen?
Damit umgehst Du auch eventuelle Probleme in der ssl-Implemetierung des Dienstes.

[herophil322]

Wieso einfach wenns auch kompliziert geht^^.
Werd mal schauen, thx.

Würde trotzdem gerne das Problem gelöst haben;)

[herophil322]

JFYI Leider noch keine Lösung gefunden.

[Cae]

Leider noch keine Lösung gefunden.

Fuer was? SSL oder die Alternativempfehlung SSH-Tunnel (der ich mich uebrigens anschliesse)?

Gruss Ce

[herophil322]

Leider noch keine Lösung gefunden.

Fuer was? SSL oder die Alternativempfehlung SSH-Tunnel (der ich mich uebrigens anschliesse)?

Gruss Ce

Wenn du hier erklärst wie die Variante mit dem SSH-Tunnel funktioniert, würde ich Sie mal teste;)

lg und besten dank herophil322

[Cae]

Wenn du hier erklärst wie die Variante mit dem SSH-Tunnel funktioniert, würde ich Sie mal teste;)

Das kannst du auch selbst in der Manpage zu ssh(1) nachlesen.

• Dienst auf localhost und irgendeinen Port binden, hier 127.0.0.1:12345
• von der zugreifenden Maschine aus

  Code: Alles auswählen

  $ ssh -L 127.0.0.1:12345:127.0.0.1:12345 user@host

  abfeuern und die Shell offen lassen
• Browser anwerfen und zu http://127.0.0.1:12345/ navigieren

Das war's schon. Man kann mit geeigneten Optionen die Shell auch unterdruecken oder wegforken lassen... steht alles in der Manpage.

Gruss Cae

[fbartels]

Crosspost:
http://forum.ubuntuusers.de/topic/ajent ... hluesseln/

[Cae]

Na klasse.

Gruss Cae

[herophil322]

Wenn du hier erklärst wie die Variante mit dem SSH-Tunnel funktioniert, würde ich Sie mal teste;)

Das kannst du auch selbst in der Manpage zu ssh(1) nachlesen.

• Dienst auf localhost und irgendeinen Port binden, hier 127.0.0.1:12345
• von der zugreifenden Maschine aus

  Code: Alles auswählen

  $ ssh -L 127.0.0.1:12345:127.0.0.1:12345 user@host

  abfeuern und die Shell offen lassen
• Browser anwerfen und zu http://127.0.0.1:12345/ navigieren

Das war's schon. Man kann mit geeigneten Optionen die Shell auch unterdruecken oder wegforken lassen... steht alles in der Manpage.

Gruss Cae

Ich habe mir das jetzt angeschaut, aber so möchte ich das nicht einrichten, ich will ohne weiteres von irgendeinen PC mit dessen Webbrowser auf Ajenti zugreifen können und das verschlüsset. Die einfachste Variante wäre, und wäre mir am liebsten, ein Zertifik zu erstelllen mit einen Key, leider wie schon am Anfang gesagt bekomme ich das nicht so hin.

[herophil322]

So ich entschuldige mich hier für das Crossposting, wollte eigentlich nichts böses sonder brauchen dass das dringent funktioniert, hab mir dabei nicht gedacht...

Ich würde mich freuen wenn mir dennoch jemand helfen könnte:

Ich probiere und probiere und nichts geht...

Ich hab mir jetzt nach dieser Anleitung

http://www.howtoforge.de/anleitung/howt ... stellen/2/

Ein cert.pem + key.pem erstellt und das Zertifikat über einen eigens erstellte CA (wie in der Anleitung) signiert.

Leider kein erfolg:

Hier nochmals die Ajenti Conf zum aktuellen Status:

Code: Alles auswählen

[users]
admin = {SHA}dqPWCvZwoll4sm/9x1MSt3Y9rCs=

[dashboard]
powerwidget = right,0
loadwidget = left,0
networkwidget = right,1
memwidget = left,1

[ajenti]
cert_key = /etc/ajenti/key.pem
firstrun = no
bind_host =
bind_port = 8000
cert_file = /etc/ajenti/cert.pem
nofx = 0
ssl = 1
update_server = meta.ajenti.org
auth_enabled = 1
plugins = /var/lib/ajenti/plugins
htdocs = /var/lib/ajenti

Vielleicht kann mir ja jemand sagen was da falsch rennt.

Lg & besten dank herophil322

[herophil322]

Also ich hab das mit dem SSH tunnel geschaft, nur wie kann man denn wieder schließen unter Debian ^^?

[fbartels]

Einfach die SSH Verbindung beenden.

[herophil322]

So habe nun mein Problem gelöst:
Hier ein "How Do" von mir wie ich es gelöst habe:


Um Ajenti zu Verschlüsseln benutzen wir einen SSH Tunnel, Sie müssen folgende Schritte befolgen:

Um den Tunnel Am Server zu öffnen geben Sie folgendes ein:

Code: Alles auswählen

ssh -L 127.0.0.1:8000:127.0.0.1:8000 root@0.0.0.0

Sie können mit folgendem Befehl überprüfen ob der Tunnel offen ist:

Code: Alles auswählen

netstat -anp --inet | egrep '(^Proto|8000)'

Es sollte dann ein Ausgabe wie diese erscheinen:

Code: Alles auswählen

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:8000          0.0.0.0:*               LISTEN  
1123/python

Der SSH Tunnel besteht auch nach einen neustart des Systems, sollten Sie den offenen Zugang auf Port 8000 schließen wollen, brauchen Sie die „PID“ des Prozesses dazu. Die PID Zahl sehen Sie oben zum Schluss, es ist die Zahl 1123.

Sie können jetzt mit folgeden Befehl den SSH Zugang am Server wieder schließen.

Code: Alles auswählen

kill -9 PID

Sprich in unseren Fall

Code: Alles auswählen

kill -9 1123

Und nun binden wir Ajenti auf die IP & den Port „127.0.0.1:8000“ damit ist Ajenti nur mehr über den SSH Tunnel erreichbar, das machen wir indem wir die „ajenti.conf“ bearbeiten:

Code: Alles auswählen

nano /etc/ajenti/ajenti.conf

Und passen diese Zeilen an:

Code: Alles auswählen

bind_host = 127.0.0.1
bind_port = 8000 

Nun noch Ajenti neustarten

Code: Alles auswählen

/etc/init.d/ajenti restart

vielleicht kann ich ja mal irgendjemanden die Suche damit ersparen, Rechtschreibfehler darf man sich behalten;)