Ssh – die besten Beiträge

xz ist ein unter Linux weit verbreitetes Datenkompressionsformat. Ein Entwickler der Referenzimplementierung xz-utils (https://github.com/tukaani-project/xz) hat vor kurzem eine Hintertür (CVE-2024-3094) eingebaut, mit der in manchen Linux Distributionen sshd kompromittiert werden kann. Bisher wurde noch kein CVE Score zugewiesen, aber ich schätze diese Hintertür als sehr kritisch ein. Bestimmt werden in den nächsten Tagen Heise, Golem, etc. darüber berichten, und vielleicht sogar die Mainstream Medien.

Die Hintertür wurde gefunden, weil der Schadcode Performanceprobleme in sshd verursacht hat. Glücklicherweise sind die betroffenen xz Versionen noch nicht weit verbreitet, da Pakete in vielen Distributionen nur sehr langsam aktualisiert werden. In Arch Linux wurde bereits eine betroffene xz Version ausgeliefert, aber da sshd in Arch Linux kein gz verwendet, ist ein Angriff in diesem Fall nicht möglich.

Dennoch ist dieser Vorfall äußerst besorgniserregend, da die Hintertür von einem xz Entwickler eingebaut wurde, der bereits mehrere Jahre am Projekt beteiligt war und als vertrauenswürdig galt.

Grundsätzlich galt Open Source Software als weniger anfällig für Hintertüren als Closed Source Software. Man ging davon aus, dass Hintertüren in Open Source Software gefunden werden, bevor sie überhaupt veröffentlicht werden, da der Code von vielen unabhängigen Experten überprüft wird. Ein häufig genanntes Beispiel, das diese These untermauern soll, ist ein 2003 gescheiterter Versuch, eine Hintertür in den Linux Kernel einzubauen.

Der aktuelle Vorfall zeigt, dass es sehrwohl möglich ist, Schadcode unentdeckt in weit verbreitete Open Source Software einzubauen. Dies wirft die Frage auf, inwieweit man fremder Software überhaupt noch vertrauen kann.

Seid ihr selbst von dieser Hintertür betroffen? Wie schützt ihr euch? Habt ihr Zweifel an der Sicherheit von Open Source Software? Denkt ihr, dass dieser Vorfall zu einem Umdenken bei der Vertrauenswürdigkeit von Open Source Entwicklern führen wird?

• https://lwn.net/Articles/967180/
• https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
• https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
• https://archlinux.org/news/the-xz-package-has-been-backdoored/
• https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
• https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

Im Hotel konnte ich unseren VPN server nicht erreichen (es ging nur HTTPS... dafür aber ziemlich gut...), weil die da entweder UDP oder 12345/udp (unser OpenVPN) und 54321/tcp (unser SSHD) gesperrt haben. Unser IT-Boy hat dann einen Proxy auf 443/tcp gemacht, der zwischen SSH, OpenVPN und HTTPS traffic unterscheiden kann und dann neue Verbindungen gleich an den richtigen „daemon“ weiterleitet... Das ging dann...

Jetzt meint er aber, dass es passieren kann, dass das nächste Hotel (besonders in BRICS Ländern) das Gleiche macht wie unser Proxy und SSH und VPN traffic dann einfach dropped... Er will jetzt seine eigene VPN App basteln, die über HTTPS geht...Der Vorteil an unserem eigenen kleinen privaten VPN-Server ist seiner Meinung nach, dass wir das Zertifikat selbst kontrollieren (und nicht ieine staatliche oder staatlich-kontrollierte Zertifikat-Agentur...)... Ein kommerzielles VPN lehnt unser IT-Boy also ab...

Er hat mir auch ein Bild gemalert... Gibt es vielleicht schon eine Android/iOS App, die sowas macht wie auf dem Bild (HTTPS tunnel)? Also alles was nicht schon HTTPS ist, das wird dann zu HTTPS gemacht und an ieine Proxy URL auf unserem HTTPS server in der Firma weitergeleitet...

Hi, bin 15 Jahre alt, und Hoste einen eigenen Linux (Ubuntu 22.04 LTS) Server.

Auf dem Server läuft, dass Open Source Spiel "minetest".

Es sind nur die nötigen Ports geöffnet.

Es wird ein sicherer (sha256) SSH-Key verwendet, der noch obendrauf mit einem Passwort geschützt ist.

Als Virenscanner tun clamav (installiert durch apt) sowie rkhunter (ebenfalls installiert durch apt) ihren einsatz.

Meine Routine funktioniert, wie folgt:

Jede woche ein Viren Scan per CLAMAV, dazu jede zweite woche noch einen per rkhunter. Jeden Tag kontrolle des SSH Protokolls (systemctl status ssh), sowie der laufenden Prozesse (ps aux).

Updates (auch Kernel-Updates) werden immer zeitnah installiert.

Ist das schon gut so ?

Was soll ich besser machen ?

(Er läuft leider im Heimnetz, sodass er nicht getrennt von anderen PCs im Netzwerk ist... DMZ und so ist leider nicht möglich - weil Fritz!B.)

LG

Meine index.js :

const app = require("express")();
const http = require("http").Server(app);
const io = require("socket.io")(http);

http.listen(3000,()=>{
    console.log("working")
})
app.get('/index.html', (req, res) => {
    res.send('<h1>Hello world</h1>');
  });

Lokal funktioniert das, wenn ich localhost:3000/index.html

aufrufe erscheint ein Hello World,

aber wenn ich das ganze über FTP hochlade und url/index.html aufrufe :

Leere Html Seite und Konsole Error :

index.js:1 Uncaught ReferenceError: require is not defined

Also hat der Server garkein Node JS.

SSH hab ich aber garnicht, um dann mit irgendwelchen Ubuntu Commands das zu installieren, sudo apt install nodejs ...

Sry wenn es eine Dumme Frage ist aber ich hab bis jetzt nur Serverseitig Php gemacht und das ist sehr simple.

Man benutzt Fetch oder Ajax und im php skript echo "hello world"; und das wars.

Wollte mich an Node JS Ranwagen, das ganze ist aber viel komplexer.

(Bin bei All inkl)

Hey zsm,

ich habe versucht im cmd von meinen win 11 auf ssh von meinen RPi zuzugreifen mit folgendem Command:

ssh lawi@MyPi.local

doch es kommt der fehler wie in der Überschrift.

ssh auf dem RasPi ist aktiviert und ssh auf Windows 11 wurde in den optionalen Features installiert.

MfG

lawi

P. S.: der raspi heißt mypi.local

hey zusammen,

bei mir kommt das wenn ich versuche ssh zu verwenden von meinem RasPi.

bitte helft mir weiter

Hallo,
ich habe einen Linux PC der eine integrierte SIM Karte hat.
Ich möchte mich von meinem Windows Laptop, der mittels Handyhotspot im Internet ist, mit dem Linux PC(SIM LTE) verbinden.
Daher meine Frage, was benötige ich dafür, seitens Mobilfunkanbieter, etc.??

Hi, ich und mein Bruder haben eine Challenge, wo wir uns gegenseitig hacken sollen. Ich habe schon einige Programme geschrieben, die eine SSH-Attacke ausführen, aber dann hat er einfach meine IP-Adresse bei ihm geblockt (wird sind im selben Netzwerk).

Ich konnte zwar meine IP-Adresse ändern, aber dann hat er Fail2Ban eingeschaltet, was es so gut wie unmöglich für mich macht (gleube cih zumindest).

Jetzt meine Frage: Kann ich (mit Python) eine SSH-Verbindung erstellen, aber nicht über meine, sondern über eine andere IP-Adresse? Ich glaube das heißt IP-Spoofing oder so.

Könnt ihr mir ein Beispielcode geben?

Nochmal: Ich habe 100%ige Erlaubnis dazu und würde es auf keinen Fall illegal nutzen.

angenommen ich habe einen laptop und will mit ani-cli (das spielt videos in vlc oder mpv und wird über das terminal gesteuert) darauf eben anime schauen und will das von meinem pc oder smartphone über ssh steuern, funktioniert auch bis auf das bild.

wie kann man es einstellen, das das program lokal auf dem laptop gezeigt wird

Hallo ich habe diese Frage schonmal gestellt.
Zur Frage mein Problem ist das ich ein CPU-Bottleneck habe sprich dauerhaft 100% usage ich habe bereits alles probiert sei es Bios, Treiber, Windows, Powersettings, co. deswegen habe ich mich nun dazu entschieden ein CPU upgrade zu machen. Das deutliche Problem ist das man sieht das nun die GPU ein Bottleneck hat allerdings habe ich gehört will man die GPU hoch halten. Mein Ziel sind Shooter (fhd, low-settings zb. Valorant) zu spielen also CPU lastige spiele, habe mir ein paar Benchmarks angesehen mit der rtx3060 und die kommt nicht über 90% in den Games die ich spielen will.

Meine eigentliche Frage nun 1. wenn die GPU auf 100% ist shuttert sie dann auch wie die CPU(12400f) oder nicht? 2. was bekommt man für eine Leistungsverbesserung in FPS zb. wie oben genannt Valorant?

Also passen die zwei Komponenten ohne das es wieder richtig shuttert, man mehr FPS hat, die Komponenten sich nicht gegenseitig zerstören?

SPECS:

12400f, rx 6600xt oc, 16gb ddr4

New-SPECS:

7800x3d, rx 6600xt oc, 32 ddr5

PS: Vielleicht GPU upgrade nächstes Jahr.

Versuche hier grade auf meinem Server 2 verschiedene Librarys mithilfe von Composer zu installieren.

Leider ist wohl irgendwas bei der Installation von Composer gehörig schief gelaufen: Ich konnte zwar zunächst eine Library erfolgreich installieren aber es fing damit an, dass ich alle Composerdateien im /root Verzeichnis hatte. Diese wollte ich dann via Terminal nach /var/www/html verschieben (dabei muss aus irgendwelchen Gründen eine dazugehörige autoload.php verloren gegangen sein) also den kompletten Composerordner gelöscht und alles versucht neu zu installieren und aus der noch vorhandenen composer.phar versucht die Dateien neu zu extrahieren und dabei laut Terminal sogar auf die neueste Composer Version upgegradet: Dies hat zum Teil geklappt, nur eine extrem wichtige "composer.json" wurde dabei nicht erstellt. Also zunächst mal mit mehreren verschiedenen Anleitungen versucht diese manuell zu erstellen (was ja anscheinend in 5 Minuten problemlos möglich ist).

Naja das Problem ist nun, dass ich irgendwo festsitze. Ich habe die Anleitungen im Netz befolgt, aber bisher hab ich weder genau kapiert wieso diese extrem wichtige Datei nach erneuter Installation fehlt, noch was genau in diese Datei reingeschrieben werden muss oder per Script reingeschrieben wird (Name des Projekts? die Pfade (Namespaces?) der Packages, die ich installieren möchte?), noch wie ich folgenden Fehler beheben kann:

In ArrayLoader.php line 44:

Unknown package has no name defined ([]).

Diesen Fehler bekomme ich nun seit Stunden, egal was ich mit Composer versuche, auch wenn ich einfach versuche zu debuggen oder eine erneute Installation probiere...

Irgendwelche Ideen oder Ahnungen was hier falsch gelaufen ist?

Hallo zusammen!

Auf der Website mit der Installationsanleitung von gitolite steht:

IMPORTANT: although a default openssh config will not do this (AFAIK), do not allow the user to set environment variables if you care about security at all.

Das ist so drastisch formuliert, dass ich mir etwas unbelehrt vorkomme, wenn ich jetzt hier die Frage stelle: Warum wäre es ein Sicherheitsrisiko, wenn Leute, die sich per SSH anmelden, ihre eigenen Umgebungsvariablen mitbringen dürfen?

Hallo ich habe aus versehen mein System verschossen indem ich eine lib deinstalliert habe (minecraft pi installation zwinker zwinker)

Libpng12.12

Hab alles wieder installiert aber wen ich startx mache dan kommt das raspberrypi setup was verlangt das ich ein neuen user anlege obwohl schon einer da ist kan mir jemand helfen ich habe das fenster geschlissen und die sesion neugestartet da kam wieder das fenster und auserdem ist der desktoo englisch so wie das tastatur layout

Moin, ich versuche gerade Steamcmd auf einem Raspberry pi zu Installieren aber das geht irgendwie nicht hat jemand eine idee woran das liegen könnte? Hier ein Screenshot von der fehlermeldung

Guten tag leider kann ich mein root passwort bei terminal nicht eingeben da kommt benutzter(mein name) ist nicht in der soeders datei oder sowas.

Hi, ich habe einen PublicKey in Ubuntu Server eingerichtet.

Habe PubkeyAuthentication = yes eingestellt.

Habe auch PasswordAuth = no eingestellt.

Der Key ist in authorized_keys.

Kann mich per Key auch Verbinden.
Das Problem ist, per Passwort geht auch noch.

Mein Wunsch ist es Mit einem Windows 98 PC auf das SSH vom Raspberry PI zuzugreifen um beispielsweise Konfigurationen zu ändern. Was mit meinem alten Raspberry PI2 B super ging (Bei dem Raspberry PI2 ging vor ein paar Tagen die SD Karte kaputt womit alles unbrauchbar wurde)

Gestern habe ich einen Raspberry PI 3 Model A mit der aktuellen Version von Raspberry Pi OS betrieb klar gemacht, ebenfalls habe ich denn Raspberry PI mit Samba ausgestattet (SMB Freigaben).

Vielleicht sollte ich erwähnen es geht um einen Server der Spiel Images von alten DOS Spielen bereit hält (lokal nicht nach außen Offen)

Mein Vermutung ist dass sich etwas mit der Sicherheit verändert hat und dadurch es nicht mehr geht.

Wie bringe denn PI oder den Windows Computer dazu eine Verbindung zuzulassen oder aufzubauen?

(Mir ist natürlich bewusst das ein altes System am Internet nicht immer sicher ist deswegen wird der Raspberry und die alten Windows 98 Computer nur lokal Verbunden also kein Internet)

Hi!

Ich hatte eine ähnliche frage schonmal gestellt jedoch nur die antwort bekommen, ich müsse einen Reverse Proxy einrichten, wie genau mache ich das ? Hier die Frage:

Ich möchte mehrere Linux Container für freunde betreiben sodass jeder seinen eigenen hat. Nun möchte ich das alle per port 26 auf den jeweiligen zugreifen können.

Wie würde das gehen ? Ausführliche Erklärung / Anleitung (aus dem Netz geht auch, am liebsten auf deutsch) wäre super!

Hallo :)

Ich möchte auf meinem Magic Mirror das Modul MMM-PIR-Sensor installieren. Jedoch funktioniert es nicht. Schon bei der Installation bei dem Dritten schritt scheitert es.

Wenn ich den Befehl "sudo usermod -a -G gpio pi" eingebe, bekomme ich kein Output, es steht einfach gar nichts (siehe Bild).

Beim Befehl "sudo chmod u+s /opt/vc/bin/tvservice && sudo chmod u+s /bin/chvt" ebenso.

Wie kann ich das Problem beheben?

Danke im Voraus!

LG Pingu

Meine PHP Datei hat nun folgenden Code:

<?php


function ssh($command){
    $connection = ssh2_connect($_SESSION['ip'], 22);
    
    if(ssh2_auth_password($connection, $_SESSION['username'], $_SESSION['password']) == false){
        return "ERROR";
    }
    
    $connection = ssh2_connect($_SESSION['ip'], 22, array('hostkey'=>'ssh-rsa'));


    if (ssh2_auth_pubkey_file($connection, $_SESSION['username'],
                              '/home/'.$_SESSION['username'].'/.ssh/id_rsa.pub',
                              '/home/'.$_SESSION['username'].'/.ssh/id_rsa', 'secret')) {
        
      echo "Public Key Login erfolgreich\n";
    } else {
      die('Public Key Authentication Failed');
    }


    $stream = ssh2_exec($connection, $command);
    stream_set_blocking($stream, true);
    $stream_out = ssh2_fetch_stream($stream, SSH2_STREAM_STDIO);
    return stream_get_contents($stream_out);
}


?>

Mit diesem Befehl habe ich den Key erstellt: ssh-keygen -t rsa -C "admin@ [+++ durch Support editiert +++].com"

Ich habe für PHP eine zweite Seite in der eine Form ist, und wollte wissen welche Daten man jetzt angeben müsste damit man sich anmelden kann, außer IP.

Hier die Seite:  [+++ durch Support editiert +++]