[gelöst] sslh richtig konfigurieren

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

[gelöst] sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 13:58:25

Ich habe eine Frage zur Konfigurationsdatei von sslh. Ich habe das Paket installiert auf einem Server, wo http auf Port 80 und SSH auf Port 443 lief. Ich habe das SSH auf 22 umgestellt und die Konfigurationszeile in /etc/default/sslh sieht so aus:

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile /var/run/sslh/sslh.pid"

Das funktioniert auch soweit, d.h. mein SSH und mein Webserver auf Port 80 funktionieren munter weiter wie es sein soll. Ich habe nur 2 kleinere Fragen:

1) ich habe Beispiele gesehen, z.B. hier http://www.linux-magazin.de/Ausgaben/20 ... ionsverbot , wo die Parameter mehrzeilig geschrieben wurden, was mir besser gefällt. Ich hab allerdings nur einen Versuch, wenn es nicht klappt, kappe ich meinen SSH-Zugang, das wäre gerade nicht praktisch. Auch habe ich da gesehen, dass Parameter -l und -s benutzt werden, die ich bei "man sslh" nicht finde - dann sollte ich lieber die ausgeschriebenen Parameter benutzen, oder? Also so:

Code: Alles auswählen

DAEMON_OPTS="
--user sslh 
--listen 0.0.0.0:443 
--ssh 127.0.0.1:22 
--ssl 127.0.0.1:443 
--pidfile /var/run/sslh/sslh.pid
"
Kann man das so schreiben, auch mit dem einsamen Leerzeichen auf der letzten Zeile?

2) Stimmen die obigen Angaben inhaltlich? Also den Apache muß ich natürlich noch anpassen, aber er soll auf alles hören, was auf Port 443 ankommt, die ssh an den lokalen Rechner, Port 22 weitergeben (das funktioniert schon) und die ssl an den lokalen Port 443 (Apache mit SSL) - geht das so oder muß das dann ein anderer sein (442, 8080 oder so?) Der "normale" http-Port 80 wird ja davon nicht beeinträchtigt, oder?
Zuletzt geändert von raiuns am 04.11.2013 22:07:03, insgesamt 1-mal geändert.
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: sslh richtig konfigurieren

Beitrag von Natureshadow » 04.11.2013 14:08:05

raiuns hat geschrieben: Kann man das so schreiben, auch mit dem einsamen Leerzeichen auf der letzten Zeile?
Ja.
raiuns hat geschrieben: geht das so oder muß das dann ein anderer sein (442, 8080 oder so?) Der "normale" http-Port 80 wird ja davon nicht beeinträchtigt, oder?
Das geht so, sofern du in /etc/apache2/ports.conf den Port 443 auf 127.0.0.1 beschränkst und in deiner sslh-Config nicht auf 127.0.0.1 lauschst, also explizit auf deiner externen Adresse.

uname
Beiträge: 10735
Registriert: 03.06.2008 09:33:02

Re: sslh richtig konfigurieren

Beitrag von uname » 04.11.2013 14:11:59

Ich hab allerdings nur einen Versuch, wenn es nicht klappt, kappe ich meinen SSH-Zugang, das wäre gerade nicht praktisch.
Das kann immer mal passieren. Wie löst du das sonst? Zudem kannst du während der Umstellung SSH auf 0.0.0.0 und einem weiteren Port horchen lassen. Zudem sollten vorhandene SSH-Verbindungen nicht abgebrochen werden.

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 14:16:31

Natureshadow hat geschrieben:sofern du in /etc/apache2/ports.conf den Port 443 auf 127.0.0.1 beschränkst und in deiner sslh-Config nicht auf 127.0.0.1 lauschst, also explizit auf deiner externen Adresse.
Also das heißt, mein Beispiel, wie es im ersten Beitrag steht, geht nicht, weil 0.0.0.0:443 die 127.0.0.1:443 mit einschließt?

Die ports.conf will ich so anpassen wie Du geschrieben hast.

uname hat geschrieben:Wie löst du das sonst?
Ich geh zum Gerät hin. Ist nur gerade ein paar Kilometer weg von mir.. :-)
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 14:25:27

Wenn ich da die (öffentliche?) IP von dem Server eintragen will, hab ich ein Problem: Die ist dynamisch (no-IP). Also das Gerät sitzt in einem Lan hinter einem DSL-Router. Kann ich die Lan-Adresse als öffentliche eintragen? Also so eine 192.168.X.X ?
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: sslh richtig konfigurieren

Beitrag von Natureshadow » 04.11.2013 14:31:12

raiuns hat geschrieben:Wenn ich da die (öffentliche?) IP von dem Server eintragen will, hab ich ein Problem: Die ist dynamisch (no-IP). Also das Gerät sitzt in einem Lan hinter einem DSL-Router. Kann ich die Lan-Adresse als öffentliche eintragen? Also so eine 192.168.X.X ?
...
...
...

Na auf der NAT-Adresse kansnt du wohl kaum lauschen, oder? Natürlich die des Interfaces.

Netzwerk-Grundlagen, bitte!

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 14:37:15

Natureshadow hat geschrieben:Natürlich die des Interfaces.
Also die Adresse vom Gateway - 192.168.X.1 ? Meintest Du die ? Ansonsten hab ich ja immer noch das o.g. Problem (dynamisch...)

Mit den Grundlagen ist das so ne Sache.. :-)
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: sslh richtig konfigurieren

Beitrag von Natureshadow » 04.11.2013 15:09:07

raiuns hat geschrieben:
Natureshadow hat geschrieben:Natürlich die des Interfaces.
Also die Adresse vom Gateway - 192.168.X.1 ? Meintest Du die ? Ansonsten hab ich ja immer noch das o.g. Problem (dynamisch...)

Mit den Grundlagen ist das so ne Sache.. :-)
Nein, die des Interfaces auf deinem Server (vermutlich eth0).

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 15:30:05

Sorry, ich versteh nicht was Du meinst - es mag stimmen, was die fehlenden Grundlagen betrifft.

in /etc/network/interfaces steht

Code: Alles auswählen

auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet static
   address 192.168.X.X
   netmask 255.255.255.0
   gateway 192.168.X.1

ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

uname
Beiträge: 10735
Registriert: 03.06.2008 09:33:02

Re: sslh richtig konfigurieren

Beitrag von uname » 04.11.2013 15:37:46

Wahrscheinlich wurde davon ausgegangen, dass es sich um einem Server im Internet handelt. Da es nicht der Fall ist kannst du wahrscheinlich mit 192.168.x.x:443 (sslh) und 127.0.0.1:443 (ssl) die beiden Devices unterscheiden. Somit wirst du wohl Apache2 nur für localhost konfigurieren müssen. Könnte jedoch etwas dumm für :80 werden falls benötigt ;-)

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 15:56:36

uname hat geschrieben:Wahrscheinlich wurde davon ausgegangen, dass es sich um einem Server im Internet handelt.
Nein, siehe oben. Wenn ich Dich richtig verstehe, dann sollte ich so schreiben? :

Code: Alles auswählen

DAEMON_OPTS="
--user sslh
--listen 192.168.X.X:443  (IP-Adresse des Geräts im LAN)
--ssh 127.0.0.1:22
--ssl 127.0.0.1:443
--pidfile /var/run/sslh/sslh.pid
"
Dem Port 80 tue ich ja nichts, und Apache2 hat 2 unterschiedliche Konfigurationsdateien für "mit und ohne" SSL. Warum könnte es da für Port 80 "dumm werden" ?
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

uname
Beiträge: 10735
Registriert: 03.06.2008 09:33:02

Re: sslh richtig konfigurieren

Beitrag von uname » 04.11.2013 16:12:21

Die Konfiguration würde ich einfach mal an deiner Stelle testen. Das mit den unterschiedlichen Konfigurationsdateien ist natürlich ein Argument.

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 16:14:05

Das werd ich, aber dazu setz ich mich dann eben an die Konsole.
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: sslh richtig konfigurieren

Beitrag von Natureshadow » 04.11.2013 16:29:00

Deine Konfiguration oben sieht korrekt aus.

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 22:06:39

Also - die Konfiguration funktioniert so - ich kann immer noch SSH, und der "normale" Webserver (Port 80) funktioniert auch.

Jetzt mach ich mich an's https.. Das Einzige, was mir aufgefallen ist, ist, dass ich immer mal in der SSH-Sitzung

"connect: Connection refused" lese - also so als ob immer mal unterbrochen wird und dann die Verbindung wiederkommt.
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: sslh richtig konfigurieren

Beitrag von Natureshadow » 04.11.2013 22:07:47

raiuns hat geschrieben: "connect: Connection refused" lese - also so als ob immer mal unterbrochen wird und dann die Verbindung wiederkommt.
Das klingt eher nach Portforwarding über SSH. Benutzt du das?

-nik

dirk11
Beiträge: 2654
Registriert: 02.07.2013 11:47:01

Re: sslh richtig konfigurieren

Beitrag von dirk11 » 04.11.2013 22:14:01

raiuns hat geschrieben:Ich hab allerdings nur einen Versuch, wenn es nicht klappt, kappe ich meinen SSH-Zugang, das wäre gerade nicht praktisch.
Nein. Du hast so viel Versuche, wie du Lust hast, so lange die ssh-Verbindung nicht z.B. durch Stromausfall/DSL-Ausfall, versehentliches Schließen des Terminalfenster oder sowas unterbrochen wird. Durch einen Neustart des ssh-Daemon wird eine bestehende ssh-Verbindung nicht unterbrochen, sie bleibt unangetastet! Du kannst in einem Terminal-Fenster deine "Sicherheits-ssh-Verbindung" aufrechterhalten und im anderen rumfummeln.
Allerdings gibt es natürlich Einschränkungen, die einem aber der gesunde Menschenverstand auch klar machen sollte, so kann ein entfernen des Kernelmodul für die Netzwerkschnittstelle z.B. die ssh-Verbindung unterbrechen...

raiuns
Beiträge: 343
Registriert: 19.06.2013 12:51:34

Re: [gelöst] sslh richtig konfigurieren

Beitrag von raiuns » 04.11.2013 22:19:46

ja, benutze ich (manchmal) für UltraVNC. Also meistens gehe ich mit Putty von einem PC aus drauf. Ich hab allerdings vorher auch schon Port forwarding genutzt, ohne diesen Effekt.. naja ist auch nicht kritisch - nach ein paar Sekunden kann ich weitertippen.
ASRock ION 330 Nettop (Intel Atom N330 1.6GHz, 2GB RAM, 320GB HDD, nVidia 9400-Ion)

Benutzeravatar
Natureshadow
Beiträge: 2157
Registriert: 11.08.2007 22:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Radevormwald
Kontaktdaten:

Re: [gelöst] sslh richtig konfigurieren

Beitrag von Natureshadow » 05.11.2013 10:57:59

raiuns hat geschrieben:ja, benutze ich (manchmal) für UltraVNC. Also meistens gehe ich mit Putty von einem PC aus drauf. Ich hab allerdings vorher auch schon Port forwarding genutzt, ohne diesen Effekt.. naja ist auch nicht kritisch - nach ein paar Sekunden kann ich weitertippen.
Dann ist es nicht das Portforwarding.

Antworten