Cockpit Projekt per SSH an der Weboberfläche anmelden?

Hallo,

Meine Frage ist ob es einen Weg gibt bei dem Cockpit-Projekt für Linux sich an der Weboberfläche mit SSH-Authentifizierung anzumelden, also kein Passwort sondern mit einem privatem Key um eine höhere Sicherheit zu gewährleisten.

1 Antwort

BeamerBen

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Linux

25.01.2024, 15:56

Du kannst in Cockpit meines Wissens Keys hinterlegen die sich auf dem Host auf dem Cockpit läuft befinden um dich auf andere Hosts zu verbinden. Sicher keine perfekte Lösung und eventuell auch nicht nachdem du suchst.

Ansonsten: Nein, mir wäre dafür keine Lösung direkt in Cockpit bekannt.

Hier findest du Docs zu Authentication in Cockpit https://cockpit-project.org/guide/latest/authentication.html#initial-auth

Meine Frage an dich wäre, was ist denn dein Ziel mit Cockpit? Meine Empfehlung wäre

den Zugang zu Cockpit nur aus einem lokalen Netz oder VPN zu erlauben, man könnte natürlich auch einen reverse Proxy mit Authentication davor schalten oder ähnliches.
eventuell einen zetralen Cockpit Server zu nutzen und dann auf andere Hosts über SSH & Cockpit per SSH Key verbinden
oder andere Tools nutzen.

Für die Dinge die man mit Cockpit machen kann nutze ich andere Tools für die kein User Zugang über Password auf dem System nötig ist:

Für Monitoring & Metrics nutze ich z.B. prometheus + grafana,
für Automatisierung/Configuration Ansible (nutzt SSH)
und für Authentication über SSH - neben normalen SSH Keys - FIDO basiert über YubiKeys.
Logs habe ich keine konkrete Empfehlung, aber gibt definitiv einige Tools

Für die Möglichkeit auf andere Server die nicht exposed sind im selben Netz zuzugreifen reicht auch reines SSH, z.B. über die -J Option.

Woher ich das weiß:Berufserfahrung – Privat und beruflich damit zu tun

Ähnliche Fragen

Quantencomputer und ED25519?

Hallo, ich habe gehört das ed25519 mit 256bit etwa rsa mit 3000 bit entsprechen soll von der sicherheit. Nun aber eine Frage, bei herkömmlichen computern mag das stimmen, aber was ist mit qunaten computern? mit 256bit kann doch ein quanten rechner mit 256+ qubits das ed25519 verfahren knacken und so zB bei ssh anhand des public keys den private key generieren oder? insofern wäre doch rsa 2048 in dieser hinsicht sicherer oder nicht?

...zur Frage

SSH: Host key verification failed.?

Ich habe mir einen Raspberry Pi mit Kali Linux für den Raspberry Pi (32-Bit). Jetzt will ich versuchen, eine SSH Verbindung zu ihm aufzubauen. Eigentlich war die Idee eine VNC-Verbindung mithilfe des TightVNCViewer aufzubauen, aber ich krieg nicht mal eine normale SSH-Verbindung zustande. Auf dem Bild sieht man den Fehler. Den Key mit fingerprint habe ich natürlich überprüft und er stimmt.

...zur Frage

Bester/günstigster Webhost für Node Js Applikationen?

Am besten mit ssh, günstig , inkl 1 domain reicht mir , ssl, datenbank, ftp email. Speicher eigentlich nur paar gb,

...zur Frage

Ist beim IONOS Webhosting eine NodeJS-Installation möglich?

Ist es mit dem "Webhosting Plus"-Paket möglich, NodeJS zu installieren?

Ich habe mich mit putty über SSH mit dem Server verbunden, aber weiß nicht genau, was die nächsten Schritte sind.

Bash-Kommandozeile und anscheinend Debian steht da. Falls man mehr Infos braucht, stellt Nachfragen.

Es ist ein Standard-Website-Hosting-Paket, wie bei allen Anbietern All-Inkl, Strato.

SSH wahrscheinlich ohne Admin-Rechte, paar Domains inklusive, PHP vorinstalliert, usw..

Gibt es nicht sowas wie

wget -- nodejs@latest

oder so?

...zur Frage

Per ssh Programme öffnen

Hallo Leute,

Ich würde gerne per ssh ein Programm öffnen (zum Beispiel Firefox). Doch dann kommt immer der Fehler "cannot open display".

Hat da jemand erfahrung?

Liebe Grüsse Maalur

...zur Frage

Wie aktiviere ich X-Frame-Option auf Tomcat Server?

Hallo zusammen

in meiner Firma wurde eine Software eines Drittanbieters massgeschneidert und für uns eingeführt. Eine Funktion der neunen Software. Sie kann iFrames anzeigen. Im Grunde ist es ein Monitoringtool, wie es in der IT oft zur Anwendung kommt. Und dieses Tool kann eben iFrames anzeigen. Nun geht das auch, wenn das iFrame auf eine externe Seite verweist. Wenn wir aber eine Seite in der eigenen Domain (also z.B. intranet) anzeigen wollen, geht das nicht.

mit viel google ich das Problem soweit analysiert, dass ich sagen würde folgendes steht hier an:

die X-Frame-Option muss aktiviert werden.

Ich habe auch raus, dass das offenbar auf dem Server gemacht werden muss, auf welchem die Software betrieben wird. Dachte erst das ist eine Browsereinstellung. Auf alle Fälle, ihr dürft raten, krieg ich es nicht hin.

Die Applikation wir auf einem Tomcat / Catalina gefahren und auf Azure gehostet. Wenn ich auf dem Server (Tomcat) unter /usr/local/tomcat/config die web.xml Datei manipuliere (wie durch einige Formen ergooglet) überspielt mir Azure jedes mal das Verzeichnis mit frischen Files. das angepasste web.xml greift somit nie. Ich weiss nicht warum jedes Mal ein frisches Verzeichnis angelegt wird.

auch habe ich einen stackOverflow-Post gefunden bei dem auf das web.config File in Azure verwiesen wird. Nur leider wird nicht erwähnt, wo ich das finden kann (wäre so zu sagen mein zweiter Lösungsansatz). Weiter wird folgendes erwähnt:

"X-Frame-Options is not working when hosted in the Azure app service, it works fine locally, When the run the application ( React + Web API ) locally and I have created an HTML page with an iFrame in it accessing the localhost URL when X-Frame-Options is set to DENY in middleware like below, then it works fine iFrame won't be able to load the site.

app.Use(async (context, next) =>

{

context.Response.Headers.Add("X-Frame-Options", "DENY");

await next();

});

Same code when hosted and when we put the hosted Azure app service URL in the iFrame, then it iFrame is able to load the app, which is kind of weird."

Problem also erkannt. nur weiss ich nicht, wo ich diese Manipulation vornehmen kann. steh hier total an. Habt ihr eine gute Idee zur Lösung des Problems?

Grüsse euch

...zur Frage

Hintertür in xz gefunden - Kann man überhaupt noch einer Software vertrauen, die man nicht selbst geschrieben hat?

xz ist ein unter Linux weit verbreitetes Datenkompressionsformat. Ein Entwickler der Referenzimplementierung xz-utils (https://github.com/tukaani-project/xz) hat vor kurzem eine Hintertür (CVE-2024-3094) eingebaut, mit der in manchen Linux Distributionen sshd kompromittiert werden kann. Bisher wurde noch kein CVE Score zugewiesen, aber ich schätze diese Hintertür als sehr kritisch ein. Bestimmt werden in den nächsten Tagen Heise, Golem, etc. darüber berichten, und vielleicht sogar die Mainstream Medien.

Die Hintertür wurde gefunden, weil der Schadcode Performanceprobleme in sshd verursacht hat. Glücklicherweise sind die betroffenen xz Versionen noch nicht weit verbreitet, da Pakete in vielen Distributionen nur sehr langsam aktualisiert werden. In Arch Linux wurde bereits eine betroffene xz Version ausgeliefert, aber da sshd in Arch Linux kein gz verwendet, ist ein Angriff in diesem Fall nicht möglich.

Dennoch ist dieser Vorfall äußerst besorgniserregend, da die Hintertür von einem xz Entwickler eingebaut wurde, der bereits mehrere Jahre am Projekt beteiligt war und als vertrauenswürdig galt.

Grundsätzlich galt Open Source Software als weniger anfällig für Hintertüren als Closed Source Software. Man ging davon aus, dass Hintertüren in Open Source Software gefunden werden, bevor sie überhaupt veröffentlicht werden, da der Code von vielen unabhängigen Experten überprüft wird. Ein häufig genanntes Beispiel, das diese These untermauern soll, ist ein 2003 gescheiterter Versuch, eine Hintertür in den Linux Kernel einzubauen.

Der aktuelle Vorfall zeigt, dass es sehrwohl möglich ist, Schadcode unentdeckt in weit verbreitete Open Source Software einzubauen. Dies wirft die Frage auf, inwieweit man fremder Software überhaupt noch vertrauen kann.

Seid ihr selbst von dieser Hintertür betroffen? Wie schützt ihr euch? Habt ihr Zweifel an der Sicherheit von Open Source Software? Denkt ihr, dass dieser Vorfall zu einem Umdenken bei der Vertrauenswürdigkeit von Open Source Entwicklern führen wird?

Weitere Informationen

https://lwn.net/Articles/967180/
https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://archlinux.org/news/the-xz-package-has-been-backdoored/
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

...zur Frage

Remmina SSH mit anderem Port?

Hallo,

wie kann ich bei Remmina (v1.4.11) per SSH mit anderem Port als Default (22) verbinden? Also quasi

ssh user@server -p2222

Ich habe keine Option in Remmina gefunden, die das anbietet. Falls jemand einen alternativen SSH Connection Manager kennt, der das kann, würde ich mich über Empfehlungen freuen.

Danke für alle Antworten im Voraus

...zur Frage

Pip install funktioniert nicht – pip Kommando kann nicht ausgeführt werden?

Ich habe viele Lösungsvorschläge aus dem Internet probiert, ohne Erfolg. Das Kommando Pio wird nicht ausgeführt.

Ich habe bspw. "sudo apt-get install python-pip" ausprobiert und er hat dann was installiert, aber dennoch wird kein Kommando ausgeführt. Auch wenn ich nach der pip Version checken kommt da nichts.

Ich arbeite an einem Chromebook mit der secret shell Chrome extension verbunden mit einem raspberry pi. Hat bisher gut geklappt aber pip klappt leider nicht.

...zur Frage

Termius(ssh client) shortcut um eine tmux session zu verlassen?

Hallo, ich habe ein Problem mit meinem Ubuntu Server. Ich benutze als ssh client Termius und habe mir mit tmux eine session erstellt und ich kann diese session aber nicht verlassen (so das sie im hintergrund weiterläuft) und der shortcut strg b + d funktioniert auch nicht. Vielleicht ist es unter einem anderen Shortcut eingespeichert . Hat jemand eine Idee wie ich das Problem beheben kann?

...zur Frage

SSH nach Installation von OpenMediaVault nicht mehr möglich?

Ich habe auf meinem Raspberry Pi 3 B Rasbian Lite installiert (also ohne Desktop) und konnte ihn über SSH steuern. Seit ich die NAS Software OpenMediaVault installiert habe bekomme ich immer "Network Error: Connection timed out". Die IP-Adresse ist richtig und sonst sehe ich auch keine Fehler kann mir jemand helfen?

Durch einen Ping bekomme ich nur die Antwort von einer anderen IP-Adresse "Zielhost nicht erreichbar".

Schon mal Danke für alle Antworten :)

...zur Frage

Über SSH zum Pi verbinden ERROR?

Ich habe es schon über:

Linux mit : ssh pi@{IP}

Windows mit Putty

Bei Linux kommt :

ssh: connect to host [IP] port 22: No route to host

Bei Windows:

Error : Network unreachable

Was genau ist das Problem oder was mache ich falsch ?

...zur Frage

wie kann ich einen ubuntu server von auserhalb an und aus schalten?

habe nähmlich einen homeserver und möchte jetzt wissen wie ich diesen von auserhalb wenn ich zb im urlaub bin an und aus schalten kann

...zur Frage

OpenVPN Key + Passwort?

Hey,

Ich habe mir auf meinem dedicated Linux Server mit dieser Anleitung (https://zap-hosting.com/guides/docs/de/vserver_linux_openvpn/) OpenVPN auf meinem Debain 10 Server installiert. Dies hat auch alles wunderbar funktioniert, doch ich möchte jetzt neben der Standard .ovpn Datei auch noch ein Passwort als Authentifizierung benutzen (Da ich mehrere user habe sollte dieses Passwort für jeden VPN Zugang anpassbar sein). Nun ist meine Frage an euch, wie könnte ich dies bewerkstelligen ohne OpenVPN neu zu installieren.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen