Re: Fernwartung bei Muttern - ssh-tunnel mit vnc und login auf VM

To: debian-user-german@lists.debian.org
Subject: Re: Fernwartung bei Muttern - ssh-tunnel mit vnc und login auf VM
From: Dexter Filmore <Dexter.Filmore@gmx.de>
Date: Fri, 17 Oct 2008 12:48:13 +0200
Message-id: <[🔎] 200810171248.13353.Dexter.Filmore@gmx.de>
In-reply-to: <[🔎] gd1rcb$kds$1@ger.gmane.org>
References: <[🔎] gd1rcb$kds$1@ger.gmane.org>

Am Dienstag, 14. Oktober 2008 12:13:31 schrieb Peter Schütt:
> Hallo,
> meine Mutter benutzt Etch und hat hier und Probleme und am Telefon ist das
> immer ein bißchen schwierig.
>
> Wie kann ich am einfachsten eine Fernwartung aufsetzen (alá VNC), so daß
> ich von zu Hause den Bildschirm meiner Mutter sehen kann?
> Ich selbst benutze Lenny.
>

Hab dafür folgendes: 
Auf meiner Supportkiste ist eine VM, auf der kaum mehr installiert ist als X 
und ein minimalistischer Fenstermanager wie XFCE oder Fluxbox, theoretisch 
täte es auch X mit nem xterm.
Die VM hat eine feste IP und ein PortFW auf meinem Router von 5900 auf 5900.

Auf der Maschine gibt's einen Account "support".
Die Login-shell für diesen account ist aber nicht /bin/bash, 
sondern /pfad/zu/support-skript

Alles, was die Gegenseite jetzt nich braucht ist ein skript "support_session" 
oder wie auch immer, das folgendes macht:
einen ssh-Tunnel zu deiner IP (Abfrage oder eine DynDNS-Adresse hardcoden, ich 
empfehle letzteres), der port 5900 forwardet. Wenn der Tunnel steht einen 
VNC-Server aufbauen (x11vnc, kann das existierende Display 0 benutzen 
ungleich anderer), der *nur* auf localhost Verbindungen akzeptiert, sonst 
nirgends! Und nur eine einzige!

Im Supportskript auf deiner Seite muss nichts weiter passieren, als dass ein 
VNC-Viewer localhost:0 aufruft.

Das war's.

Vorteile:

Der User hat durch die fehlende login-shell keine Möglichkeiten in deinem 
System wandern zu gehen.
Der Traffic ist verschlüsselt (ich empfehle blowfish als ssh-cipher, von wegen 
overhead, cpu usw. aes ist etwas.. lahm.)
Selbst wenn es jemand schaffen sollte, deine Support-Maschine zu 
kompromittieren - es ist eine VM. Restore Snapshot, bähm. Könnte man sogar 
skripten..
Wenn die VM unten ist, kann dein Router fröhlich Port 5900 forwarden - läuft 
ins Nichts.
Der User ist auf der sicheren Seite - du kannst nicht irgendwelche Befehle 
absetzen, ohne dass man es auf der anderen Seite sieht, es ist kein "Ghost in 
the Machine" den man nicht sieht bzw von dem man nicht weiss, dass er da ist.

Der User muss NICHT an seinem Router rumfummeln und Ports forwarden oder 
dergleichen, da seine ssh-Verbindung ausgehend ist.
M.E. der größte Vorteil dieser Lösung. Ich kenne Leute, die schaffen 
copy&paste nicht, mit denen ein PortFW am Telefon aufsetzen ist... 
illusorisch.

Dex


-- 
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d--(+)@ s-:+ a C++++ UL++ P+>++ L+++>++++ E-- W++ N o? K-
w--(---) !O M+ V- PS+ PE Y++ PGP t++(---)@ 5 X+(++) R+(++) tv--(+)@ 
b++(+++) DI+++ D- G++ e* h>++ r* y?
------END GEEK CODE BLOCK------

http://www.vorratsdatenspeicherung.de

Reply to:

Follow-Ups:
- Re: Fernwartung bei Muttern - ssh-tunnel mit vnc und login auf VM
  - From: Uwe Kerstan <uwe.kerstan@gmx.de>

References:
- Fernwartung bei Muttern
  - From: Peter Schütt <peter_remove_this_@pstt.de>

Prev by Date: Re: Paket Problem: Das Paket srcd muss reinstalliert werden
Next by Date: Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?
Previous by thread: Re: Fernwartung bei Muttern
Next by thread: Re: Fernwartung bei Muttern - ssh-tunnel mit vnc und login auf VM
Index(es):
- Date
- Thread