Wenn man einen frisch installierten Server bekommt hat dieser manchmal einen komischen Hostname. Dann ergibt es Sinn, diesen an die eigenen Bedürfnisse anzupassen. Das ganze ist einfach und geht schnell. Erstmal kannst du mit folgendem Befehl anzeigen lassen wie der derzeitige Name ist:
hostnamectl
Und ändern kannst du ihn mit dem folgenden Befehl:
hostnamectl set-hostname test02.cy3er.de
Meinen Hostname „test02.cy3er.de“ musst du natürlich gegen deinen gewünschten Hostname austauschen.
Nach einem Neustart wird auch bei root@v6752 wird dann root@test02 angezeigt wenn alles geklappt hat.
Was ist SSHFS? SSHFS ist ein FUSE-Modul, mit dem man entfernte Server über SSH in das eigene Dateisystem einbinden kann. Man kann mit diesem Modul, Dateien und Verzeichnisse auf dem entfernten Rechner editieren, kopieren oder verschieben. Wenn man eine stabile Verbindung hat,ist es so wie wenn die Dateien und Verzeichnisse auf dem lokalen Computer liegen.
Installation
sudo apt-get install sshfs
Benutzung
Wenn du nun das entfernte System einhängen möchtest, brauchst du erst mal einen leeren Ordner. In diesem Beispiel legen wir einen Ordner Namens /storage an.
sudo mkdir /storage
Das Einhängen erfolgt im Terminal über folgenden Befehl, vorher haben wir einen Ordner namens /storage erstellt:
Wenn der Befehl ohne Fehler ausgeführt wird, wird der Inhalt des entfernten Verzeichnisses /storage unter dem lokalen Verzeichnis angezeigt. Die Berechtigungen, die du auf dem entfernten Verzeichnis hast, sind die Berechtigungen, die der entfernte Benutzer hat: Standardmäßig werden lokale Rechte von SSHFS ignoriert. Das bedeutet, dass selbst wenn die UID des lokalen und des entfernten Benutzers nicht gleich sind, wie in diesem Fall, kannst du die Operation trotzdem durchführen. Wenn wir etwas innerhalb des gemounteten Verzeichnisses bearbeiten, tun wir es als der entfernte Benutzer, mit dem wir uns verbunden haben.
Anderen Benutzern den Zugriff auf den Mountpoint erlauben
Wenn der SSH-Port an deinem System nicht der Standartport 22 ist kannst du via -p[deinPort] eine Verbindung mit deinem Port aufbauen.
Einhängen des entfernten Verzeichnisses beim Booten
Hier gibt es einiges zu beachten. Das erste ist, dass du fuse.sshfs als Dateisystem verwendest. Zweitens haben wir die Einhängeoption IdentityFile verwendet, um den Pfad eines SSH-Schlüssels anzugeben. Das automatische mounten beim Start des Systems kann nur dann automatisch funktionieren, wenn die Verbindung ohne Passworteingabe funktioniert. Das lässt sich mit einem SSH-Schlüssel realisieren. Hier haben ich den IdentityFile „privatekey“ aus dem Verzeichnis „/home/user01/.ssh/privatekey“ genutzt. Den Public Key musst du vorher in der Datei /home/testuser01/.ssh/authorized_keys auf dem Remoteserver hinterlegen.
Dieser Befehl muss nun noch in die Datei /etc/fstab geschrieben werden.
sudo nano /etc/fstab
Mit diesem Befehl kannst du die Konfigurationsdatei /etc/fstab öffnen.
Dort trägst du dann deinen Befehl zum automatischen verbinden ein. Das kann dann etwa so aussehen, natürlich mit deinen Werten.
Um zu testen ob das funktioniert hat, kannst du deinem System folgenden Befehl übergeben
sudo mount -a
Mit dem Befehl „df -h“ kannst du dir alle Speichermedien und ihrem Verbrauch anzeigen lassen
Aushängen des entfernten Verzeichnisses Mit dem folgenden Befehl lässt sich das mit SSHFS eingebunden Remote Verzeichnis wieder trennen.
fusermount -u /storage
Fazit
Also ich selbst nutze diese Technik schon eine ganze Weile um meine restic Backups auf einem entfernten Server zu kopieren. Das funktioniert auch ohne Probleme. Wenn dir ein Fehler auffällt dann schreib mir gern eine Nachricht über mein Kontaktformular.
Wie es im Titel schon steht, soll es im heutigen Beitrag um das auf Debian basierte System YunoHost gehen. Wir gehen gemeinsam durch, wie man es kinderleicht installiert. Außerdem installieren wir erste App’s um mit dem guten Stück etwas herumexperimentieren.
Für meinen Test hat mir auf Anfrage [Werbung] 1fire.de einen vServer mit den folgenden Daten zur Verfügung gestellt. Vielen Dank an Danny Lotz :
2 CPU-Kerne
4 GB RAM (DDR5)
100 GB NVMe SSD
1 GBit/s Uplink
20 TB Traffic
1 IPv4-Adresse
1 IPv6 /64-Netz
Für die Yunohost Installation benötigen wir Debian 11 ! Das ist eine der Voraussetzungen für die Installation. Weitere Voraussetzungen sind:
2 GHz CPU-Kern
512MB – 1GB RAM
eine Domain oder Subdomain
1 IPv4 Adresse
Also haben wir mit dem vServer alles was wir brauchen.
Zur Vorbereitung für unsere Yunohost Installation benötigen wir noch zwei Pakete:
apt install curl ca-certificates
Dann können wir schon den Installations-Script ausführen:
curl https://install.yunohost.org | bash
Dann startet auch schon die Installation die erste Meldung müssen wir mit „Yes“ bestätigen.
Die folgende Meldung bestätigen wir auch mit „Yes“ dadurch geben wir das Okay das unser SSH-Dienst von nun an von Yunohost organisiert wird. Im Einstellungsmenü lassen sich später noch Dinge konfigurieren.
Jetzt installiert er ein paar Pakete, die so benötigt werden.
Wenn das alles durch ist, kommt eine Meldung das die Installation erfolgreich war „YunoHost Installation completed!“
Nun geht die Installation im Browser weiter, dafür geben wir wie in der Meldung geschrieben unsere Server IP mit https://IPv4 ein und dann geht es weiter. Dort erwartet uns gleich eine Fehlermeldung. Das liegt daran, da wir noch kein Sicherheitszertifikat hinterlegt haben. Also können wir mit einem Klick auf „Erweitert“ und dann auf „Risiko akzeptieren und fortfahren„. Wenn man sonst solch eine Meldung bekommt sollte man wirklich immer abchecken was man dort tut.
Nun kommt eine Meldung mit Gratulation und hier kannst du schon mal stolz auf dich sein. Als nächsten Schritt klickst du auf Anfangen.
Nun geht es an die Domainangabe. Hier klickt ihr auf „Ich möchte eine eigene Domain bzw. Subdomain eingeben„. Das machst du dann. Und klickst auf „Weiter“
Dann geht es an die Erstellung des ersten Administrator Accounts. Dort wieder alles ausfüllen und auf „Weiter“ klicken.
Der nächste Schritt wird ein paar Minuten dauern. Lehne dich einfach zurück und warte auf dein Schlüsselfertigen Server.
Nun ist der Server soweit. Jetzt sollten wir noch ein Let’s Encrypt Zertifikat für unsere Subdomain anlegen, damit wir nicht ständig die Meldung bekommen das mit unserem Zertifikat nicht stimmt. Aber vorher machen wir noch die initial Diagnose. Dafür klickst du einfach auf „Diagnose“ wenn du dich eingeloggt hast. Dort klickst du anschließend auf die Initiale Diagnose starten
Dann wenn der Prozess fertig ist kommt eine Auflistung mit Infos über den Server und wahrscheinlich ein Paar Fehlermeldungen. Diese können wir vorerst ignorieren.
Jetzt klickst du auf das YunoHost Logo um wieder zum Hauptmenü zu gelangen. Dort klickst du auf „Domänen“ Und dann auf deine Subdomain bzw. Domain Dann wählst du die Registergruppe Certificate
Nun kannst du mit einem Klick auf Installation des Let’s Encrypt-Zertifikat das Zertifikat für deine Domain erstellen und installieren.
Das kann wieder einen Moment dauern. Aber dann kommt die Meldung das alles gut gelaufen ist.
Jetzt kannst du dich aus dem Panel einmal „Abmelden“. Nun kannst du dich ohne Fehlermeldung mit deiner Domain bzw. Subdomain am Panel anmelden. Bei mir ist das die Subdomain test01.cy3er.de Nun haben wir die Grundinstallation fertig.
Jetzt geht es ans rumprobieren und wie ich auch gern sag, rumspielen. Die Menüführung von YunoHost ist aus meiner Sicht so ziemlich selbsterklärend.
Unter dem Punkt „Konten„, lassen sich noch mehr Nutzer:innen zum Server hinzufügen. Die Unterkategorie „Domänen“ hast du ja schon kennengelernt, über diese Option lassen sich noch weitere Domains/Subdomains hinzufügen. Der Punkt „Applikationen“ dient der Software Installation. Dort gibt es z.B. WordPress, Owncloud, Nextcloud, Invidious und viele mehr. Mit dieser Option, lassen sich viele Apps kinderleicht installieren und updaten. Dann der Punkt „System aktualisieren“ ermöglicht eine einfache Aktualisierung des gesamten YunoHosts Unter dem Punkt „Werkzeug„, lassen sich einige Einstellungen des Systems vornehmen z.B. Konfiguration der Firewall oder weitere Einstellungen. Außerdem gibt es die Option „Diagnose„, hier kannst du schauen ob es Fehler in der Konfiguration des Servers gibt.Dort geht es vor allem um die DNS-Einstellungen. Und der letzte Punkt „Datensicherung“ hilft dir beim erstellen von Backups. Du kannst ein komplettes Backup vom YunoHost Server machen oder nur einzelne Dienste. Die Datensicherung findet dabei nur auf dem selben System statt, daher empfehle ich noch eine separate Kopie des Backups auf einen anderen Server oder dem heimischen PC zu sichern. Zu dem Thema Backup, findest du hier weitere Informationen.
Fazit zur Installation Also aus meiner Sicht war das eine gemütliche Runde ohne große Anstrengung. Am Anfang musste ich im Cloud-Panel von 1fire.de meine virtuelle Maschine aufsetzen. Dort wurde ich sehr gut durch die Installation geführt. Die Installation erfolgte auf Knopfdruck. Dort habe ich mir ein Debian 11 installieren lassen. Vor der Installation konnte ich direkt meinen SSH-Schlüssel hinterlegen, sodass ich mich direkt mit Key statt mit Password anmelden konnte. Die Bereitstellung erfolgte innerhalb einer Minuten. Ich bin absolut fasziniert wie schnell das ging. Dann habe ich mich mit meinem root Account direkt via SSH eingeloggt. Dort habe ich wie oben beschrieben zwei Pakete zur Vorbereitung der YunoHost Instanz, installiert. Auch die YunoHost Installation ging sehr schnell von statten.
Um noch mehr von YunoHost zu erfahren, lohnt es sich auch die offizielle Dokumentation zu lesen. https://yunohost.org/de
Einen eigenen Minecraft Server zu betreiben, hat einige Vorteile. Man kann z.B. die Einstellungen des Servers wählen. Du kannst außerdem entscheiden ob es ein privater Server nur für dich und deine Freunde wird, oder ob du diesen für die Allgemeinheit freigibst. Debian 12 ist für dieses Vorhaben das geeignete Betriebssystem. Im folgenden kannst du mit der Anleitung lernen, wie du einen eigenen Minecraft Server Stück für Stück aufsetzt. Diese Anleitung müsste auch auf einem RaspberryPi laufen, wurde aber nicht getestet.
Als erstes musst du dich mit deinem Server über das Terminal verbinden.
Du brauchst einige Pakete, die du herunterladen musst. Dazu gibst du im Command Line Terminal folgende Befehle ein:
Mit wget lassen sich Datein via HTTPS direkt auf den Server runterladen Das brauchen wir, wenn wir die Minecraft Server Software downloaden.
screen
Mit screen kann man bestimmte Befehle im Hintergrund weiterlaufen lassen auch wenn man das Terminal schließt.
openjdk-17-jre
Das ist die sogenannte Headless Java Version. Diese wird benötigt um die Minecraft Server Software überhaupt zu starten.
User anlegen für den Server
Es ist am besten, den Minecraft-Server unter einem eigenen Konto laufen zu lassen, anstatt root oder ein anderes Konto zu verwenden. Das ist aus Sicherheit einfach besser. Erstellen ein neues Konto in Debian mit dem folgenden Befehl:
sudo useradd -m -r -d /opt/minecraft minecraft
Minecraft Server installieren
Es ist ohne Probleme möglich später auch mehrere Minecraft Server Instanzen auf einem Host zu betreiben. Daher geben wir dem ersten Server einen Namen und legen für diesen Server einen eigenen Ordner an. In dem Fall „creative“
Den Link im Befehl musst du mit deinem kopierten Link von der Minecraft Website austauschen um die aktuelle Version zu haben. Dann drückst du einfach [ENTER] und der Download beginnt.
Bevor du den Minecraft-Server installieren kannst, musst du die Nutzungsbedingungen akzeptieren. Das geht am schnellsten mit diesem Befehl:
Diesen Inhalt in die Datei einfügen und abspeichern, anschließend den File verlassen.
Unter diesem Punkt kannst du noch den Arbeitsspeicher zuweisen, wie viel der Server bekommen soll. Es sind 2GB eingestellt. Mehr sind natürlich besser: „-Xmx2G“ das G steht für die Gigabyte.
Wer sich mit dem Thema Self-Hosting auseinander setzt kommt früher oder später auf das Thema Nextcloud. Und wenn du einen vServer mit genügend freiem Speicherplatz hast, kannst du dir ja einen Cloud Server aufsetzen. Wenn du wissen willst wie, hier folgt jetzt die Anleitung.
Apache2 Webserver Installation
Zuerst installieren wir einen Webserver, ohne diesen bekommen wir nix im Browser angezeigt. Mit dem folgenden Command wird Apache2 auf deinem Server installiert:
sudo apt install apache2
UFW installieren
Ohne eine Firewall geht es nicht. Die bekannteste Firewall ist IPTables. Aber diese ist in der Konfiguration ziemlich schwierig. Daher nutzen wir für unseren Server UFW. Also gleich mal installieren:
sudo apt install ufw
Nun müssen wir die Firewall „UFW“ noch konfigurieren. Die Firewall blockiert per Anfangseinstellung alle Ports, d.h. das erst einmal kein Dienst von Außen aufgerufen werden kann. Aber wir brauchen ein paar offene Ports, damit wir unserer Server nutzen können. Da fällt mir gleich der erste ein, der SSH Port, sonst kannst du dich nicht an der Konsole anmelden. Also stellst du diesen eine. Diesen Port solltest du von 22 auf einen Wunschport ändern im Kapitel „Konfiguration SSH“. Bei mir nehme ich jetzt Port 10240 diesen habe ich in der SSH-Konfigurtion so gesetzt. Dazu mehr findest du in dem Beitrag Absicherung eines Debian Server.
sudo ufw allow 10240/tcp
Dann öffnen wir gleich mal noch die Ports HTTP und HTTPS diese werden in der Regel benötigt. Wenn du keinen Webserver betreiben möchtest, kannst du diesen Schritt überspringen.
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Jetzt hast du die ersten Ports geöffnet aber müssen noch die Firewall einschalten. Daher ist es wichtig das du den richtigen SSH Port angegeben haben, sonst sperrst du dich selbst aus dem System aus. Firewall einschalten:
sudo ufw enable
Diese Info musst du mit einem „y“ bestätigen. Es kommt noch die Meldung: „Firewall is active and enabled on system startup“ Im Anschluss ist nun auch die Firewall aktiv. Und sollte einige Angriffe abhalten. Wenn du einen neuen Dienst installierst, musst du dann in Zukunft die dazugehörigen Ports öffnen.
Installation PHP 8.2
Über diesen Befehl wird PHP 8.2 installiert und dazu noch einige Plugins welche für die reibungslose Funktion von Nextcloud benötigt werden.
Jetzt kannst du direkt nach der Installation checken, ob auch das Richtige installiert wurde
php --version
Nun musst du noch die Konfigurationsdatei für Nextcloud anpassen. Alles Stück für Stück. Mit dem nächsten Befehl kannst du die Config Datei öffnen. Da diese Datei sehr lang ist und das stressig wird die einzelnen Werte zu suchen, kannst du die Suchfunktion von nano nutzen. Wenn du im Editor bist kannst du einfach [Strg]+[W] drücken dann erscheint eine Suchleiste. Gib einfach deinen Begriff ein und du springst an die Stelle in der Config Datei.
sudo nano /etc/php/8.2/apache2/php.ini
Kommentiere aus den Parameter date.timezone und geben Sie die richtige Zeitzone für PHP ein.
date.timezone = Europe/Berlin
Erhöhen Sie den Standardwert der Parameter memory_limit, upload_max_filesize, post_max_size und max_execution_time. Passe die Werte nach Bedarf an. Das Memory_limit orientiert sich stark am Arbeitsspeicher. Mein Server hat nur 1GB also belasse ich es bei 512MB.
Jetzt, wenn alle Werte angepasst sind, kannst du den Apache2 Server neustarten und damit die neue Konfiguration aktivieren.
sudo systemctl restart apache2
Installation MariaDB Server
Nachdem du nun den Apache2 Webserver und PHP in der Version 8.2 installiert hast, brauchen wir noch einen Datenbank Server. Hier installieren wir MariaDB Server.
sudo apt install mariadb-server
Nach der Installation kannst du mit folgendem Befehl schauen ob der Server läuft
sudo systemctl is-enabled mariadb
sudo systemctl status mariadb
Wenn alles glatt gelaufen ist sollte es in etwa so bei dir aussehen
Jetzt musst du noch den MariaDB Server absichern, das passiert mit dem folgenden Befehl
sudo mariadb-secure-installation
Während des Prozesses solltest du „Y“ eingeben, um zuzustimmen und die Konfiguration auf MariaDB anzuwenden, oder „n“ eingeben, um nicht zuzustimmen und die Konfiguration als Standard zu belassen. Nachstehend findest einige MariaDB-Konfigurationen, nach welchen du gefragt werden wirst.
Drück ENTER wenn du nach dem MariaDB root password gefragt wirst
Gib n ein wenn du noch unix_socket_authentication method gefragt wirst
Gib Y ein, um ein neues Passwort für den MariaDB-Root-Benutzer einzurichten. Gib dann das neue Kennwort ein und wiederholen den Vorgang.
Gib Y ein, um den anonymen Standardbenutzer aus MariaDB zu entfernen.
Gib dann erneut Y ein, um die Remote Anmeldung für den MariaDB-Root-Benutzer zu deaktivieren.
Gib Y ein, um den Standard-Testdatenbank von MariaDB zu entfernen
Gib abschließend erneut Y ein, um die Tabellenberechtigungen neu zu laden und die Änderungen zu übernehmen.
Nun ist MariaDB fertig installiert und abgesichert.
Datenbank und User erstellen
Nun legst du eine Datenbank an und dazu einen Nutzer an, beides brauchst du für die Installation von Nextcloud. In der Datenbank werden dann später z.B. die Kalenderdaten, Kontakte usw.
Mit dem Befehl meldest du dich am Datenbank-Server an:
sudo mariadb -u root -p
Das sind die Befehle zum erstellen der Datenbank und des Users Am besten du kopierst die Zeilen einzeln in die Konsole und drückst jeweils ENTER
CREATE DATABASE nextcloud_db;
CREATE USER nextclouduser@localhost IDENTIFIED BY 'StrongPassword';
GRANT ALL PRIVILEGES ON nextcloud_db.* TO nextclouduser@localhost;
FLUSH PRIVILEGES;
Mit dem Befehl „quit“ meldest du dich vom Datenbank-Server ab.
Download Nextcloud
Um den Download von Nextcloud zu verarbeiten benötigst du noch zwei Tools, die du nun installieren wirst. Das ist „wget“ zum Download von Nextcloud und „unzip“ zum Entpacken.
sudo apt install wget unzip -y
Jetzt wechseln wir in das Verzeichnis, wo die Programmdaten von Nextcloud hin kommen.
Dann vergibst du noch für den gesamten Ordner „nextcloud“ die nötigen Rechte.
sudo chown -R www-data:www-data nextcloud
Erstellen des VirtualHosts unter Apache2
Nachdem du das Nextcloud Softwarepaket heruntergeladen hast, musst du die neue Konfiguration des virtuellen Apache2-Hosts erstellen, der für den Betrieb von Nextcloud verwendet werden soll. Stell sicher, dass die Domain auf die IP-Adresse deines Debian-Servers für deine Nextcloud-Installation zeigt.
Nun erstellen wir den vituellen Host unter Apache2 Wir legen dazu eine neue Datei im Verzeichnis /etc/apache2/sites-available/
Mit dem ersten Befehl legen wir mit dem virtuellen Host eine neue Seite an die der Webserver nun bereit stellt. Der zweite Befehl checkt ob die Syntax von der Konfiguration so passt.
Nun starten wir nochmal den Apache2 Webserver neu.
sudo systemctl restart apache2
Absicherung der Nextcloud mit SSL-Zertifikat
Um eine zusätzliche Sicherheitsebene für Ihre Nextcloud hinzuzufügen, richten Sie HTTPS innerhalb Ihrer virtuellen Apache2-Host-Konfiguration über Certbot ein. Certbot ist ein Tool zur Generierung kostenloser SSL/TLS-Zertifikate von Letsencrypt. Erstmal muss dieses Tool aber installiert werden:
sudo apt install certbot python3-certbot-apache
Und dann nutzen wir gleich das Tool um unser Zertifikat zu erzeugen und es dann mit unserer Seite zu verknüpfen. In dem Command müsst ihr eure E-Mail anpassen und auch eure Domain/Subdomain.
Wenn alles durchgelaufen ist müsste es bei dir möglich sein die Domain aufzurufen ohne eine Sicherheitsmeldung zu bekommen. Dort erscheint dann die Installationsmaske von der Nextcloud.
Installation der Nextcloud
In diesem Abschnitt startest du die Nextcloud-Installation über den Webbrowser. Dabei wirst du den Admin-Benutzer für Nextcloud anlegen.
Ruf den Webbrowser auf und gib deinen Domainname deiner Nextcloud-Installation auf (z.B.: http://storage.cy3er.de/). Du solltest automatisch auf eine sichere HTTPS-Verbindung umgeleitet werden und , wirst aufgefordert einen Administrator-Benutzer für Nextcloud anzulegen.
Benutzername und Passwort kannst du selber wählen. Das wird dann automatisch der Admin-Account.
Dann musst du noch die Datenbank Daten eintragen Username, Datenbankname und Passwort. Diese haben wir in dem Schritt „Datenbank und User erstellen“ angelegt.
Dann wenn du alle Daten eingetragen hast, brauchst du nur noch auf installieren drücken. Das dauert dann einen kleinen Moment je nachdem wie schnell dein Server so ist. Das ist dann auch das Ende. Du hast fertig einen Nextcloudserver installiert. Jetzt wird dir nur noch eine Frage gestellt, ob du ein paar nützliche Tools installieren willst. Das kannst du entscheiden danach bist du dann aber wirklich fertig.
Du wirst in diesem Tutorial lernen, wie du ein Schlüsselpaar bestehend aus öffentlichem Schlüssel (public key) und dem geheimen Schlüssel (private key) generierst. Dazu benötigst du das Programm puttygen.
So sieht das Programm aus. Nun kannst du einfach auf „Generate“ klicken und das Schlüsselpaar fängt an zu generieren. Während des Prozesses musst du innerhalb des Fensters deine Maus bewegen. Die Mausbewegung wird genutzt um ein möglichst starkes Muster für die Verschlüsselung zu erstellen.
Im Anschluss siehst du die fertigen Schlüssel. Jetzt solltest du auch noch bei „Key passphrase“ und „Confirm passphrase“ deine Passphrase mit der dein Privatekey geschützt wird eintragen. Dann kannst du sowohl „PublicKey“ und „PrivateKey“ speichern.
Mit diesem Schlüsselpaar kannst du dich dann in putty zum Server verbinden. Wenn du die Keys in z.B. Powershell nutzen willst musst du noch über die Menüleiste „Conversations“ -> „Export OpenSSH Key“.
Bei den meisten Providern für vServer aller Art, gibt es die Möglichkeit den Server automatisch installieren zu lassen. Daher zeige ich jetzt nicht die komplette Installation von Debian 12. Das werde ich in einem anderen Tutorial noch nachholen. Wir gehen nun bei dieser Anleitung davon aus, das wir einen frisch installierten Debian Server vor uns haben. Am besten noch haben wir uns mit dem Root-User angemeldet.
Non-Root User anlegen und mit sudo Rechten ausstatten
Nun kannst du erstmal einen non-Root-User anlegen und diesem sudo Rechte übertragen. Dazu nutzen wir folgenden Befehl
adduser bernd
Dort wird nach einem Passwort gefragt und noch ein paar Andere Daten. Das Passwort ist wichtig die anderen Daten kannst du auch ohne Eingabe mit Enter bestätigen. Zum Schluss noch die Eingabe eines Y und der User „bernd“ ist angelegt. Du kannst natürlich einen selbst gewählten Namen nutzen.
Dann installierst du das Paket sudo
apt install sudo
Im Anschluss kannst du dem Nutzer „bernd“ die sudo Rechte zuweisen. Das sind im Prinzip Admin Rechte für das System. So brauchst du dann nicht mehr mit Root anmelden und hast trotzdem die Möglichkeit Updates einzuspielen und Pakete zu installieren. Nun die Gruppenzuweisung von sudo an User „bernd“
usermod -aG sudo bernd
Nun kannst du dich mit dem Command „exit“ mit dem User Root abmelden.
exit
Dann melden wir uns mit dem User bernd an
ssh nonroot@deineip
Dann kannst du es gleich mal ausprobieren, ob sudo Rechte vorhanden sind. Wir aktualisieren einfach mal unsere Paketliste. Dort werdet ihr nach dem User-Passwort von „bernd“ gefragt.
sudo apt update
SSH Public Key Authentifizierung
Dieser Part ist für Linux Systeme beschrieben für Windows findet ihr hier eine Anleitung. Der Schritt findet auf deinem Computer und nicht auf dem Server statt. Für euren persönlichen PC Account habe ich den Namen user genommen. Also ist euer Home Verzeichnis: /home/user
Nun öffnest du deinen Terminal und wechselst in das versteckte Verzeichnis „.ssh“ – Dieses liegt in deinem /home Verzeichnis.
cd /home/user/.ssh
Wenn es dieses noch nicht gibt dann leg es einfach mit „mkdir .ssh“ an. Nun legst du in diesem Ordner unser Schlüsselpaar bestehend aus Public und Private Key .
ssh-keygen -b 4096
Dort wirst du gefragt wie du die Schlüsseldatei nennen möchtest, ich hab sie im Screenshot key01 genannt. Dann noch eine Passphrase und nochmal bestätigen. Dann Enter und zack ist das Schlüsselpaar erstellt und kann verwendet werden.
Nun musst du noch den Public Schlüssel auf das Zielsystem übertragen, dafür nutzt du den Befehl ssh-copy-id
Dann wirst du wie bei der SSH Verbindung nach deinem Passwort vom Server User gefragt. Dieses gibst du ein und dann wird der Public Schlüssel auf den Server geschoben. Wenn das alles geklappt hat, kannst du dich ohne Passwort nur mit Passphrase und Schlüssel anmelden.
ssh -i /home/user/.ssh/key01 bernd@ipvomserver
Konfiguration SSH
Nun widmen wir uns dem SSH-Dienst und konfigurieren diesen so das er die nötigsten Einstellungen bekommt. Dazu musst du die Konfigurations-Datei des SSH-Dienstes bearbeiten. Diese öffnest du mit folgendem Befehl:
sudo nano /etc/ssh/sshd_config
So etwa sollte die Konfigurations-Datei aussehen nun musst du einige Werte anpassen. Wenn du die Datei runter scrollt kommen noch einige weitere Werte die angepasst werden müssen.
Der Wert Port steht am Anfang auf 22. Aus Sicherheitsgründen sollten wir diesen ändern. Dazu kannst du dir eine Zahl ab 10240 aussuchen
LoginGraceTime 2m
vor diesem Wert das „#“ löschen um die Funktion zu aktivieren
PermitRootLogin no
Root soll sich weder mit Password noch Pubkey anmelden können
StrictModes yes
vor diesem Wert das „#“ löschen um die Funktion zu aktivieren
MaxAuthTries 6
vor diesem Wert das „#“ löschen um die Funktion zu aktivieren
PubkeyAuthentication yes
Pubkey Schlüssel Authentifizierung
PasswordAuthentication no
Dieser Wert wird auf No gesetzt weil wir das verbieten wollen
Wenn diese Werte angepasst sind, kannst du die Konfigurationsdatei speichern [Strg]+[O] + [ENTER] und mit [Strg]+ [X] verlassen.
Nun startest du den SSH-Dienst neu:
sudo service ssh restart
Fail2Ban installieren
Nun installierst du ein Tool, das Bots und Hacker davon abhalten soll unseren SSH Zugang zu übernehmen. Dabei bemerkt das Tool, wie von bestimmten IP Adressen Anmelde-Versuche kommen. Wenn diese eine bestimmte Anzahl von malen nicht funktioniert hat, sperrt Fail2Ban diese IP für einen bestimmten Zeitraum. Installation:
sudo apt install fail2ban
Firewall UFW
Ohne eine Firewall geht es nicht. Die bekannteste Firewall ist IPTables. Aber diese ist in der Konfiguration ziemlich schwierig. Daher nutzen wir für unseren Server UFW. Also gleich mal installieren:
sudo apt install ufw
Nun müssen wir die Firewall „UFW“ noch konfigurieren. Die Firewall blockiert per Anfangseinstellung alle Ports, d.h. das erst einmal kein Dienst von Außen aufgerufen werden kann. Aber wir brauchen ein paar offene Ports, damit wir unserer Server nutzen können. Da fällt mir gleich der erste ein, der SSH Port, sonst kannst du dich nicht an der Konsole anmelden. Also stellst du diesen eine. Diesen Port solltest du von 22 auf einen Wunschport ändern im Kapitel „Konfiguration SSH“. Bei mir nehme ich jetzt Port 10240
sudo ufw allow 10240/tcp
Dann öffnen wir gleich mal noch die Ports HTTP und HTTPS diese werden in der Regel benötigt. Wenn du keinen Webserver betreiben möchtest, kannst du diesen Schritt überspringen.
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Jetzt hast du die ersten Ports geöffnet aber müssen noch die Firewall einschalten. Daher ist es wichtig das du den richtigen SSH Port angegeben haben, sonst sperrst du dich selbst aus dem System aus. Firewall einschalten:
sudo ufw enable
Diese Info musst du mit einem „y“ bestätigen. Es kommt noch die Meldung: „Firewall is active and enabled on system startup“ Im Anschluss ist nun auch die Firewall aktiv. Und sollte einige Angriffe abhalten. Wenn du einen neuen Dienst installierst, musst du dann in Zukunft die dazugehörigen Ports öffnen.
Es spielt, bei den meisten Menschen, eine zentralisierte Rolle.
Wir
informieren uns
dokumentieren unsere Erlebnisse
wir lassen uns erinnern
wir kommunizieren auf sämtlichen Ebenen
wir lassen uns unterhalten
erledigen Bankgeschäfte
spielen Games
erkunden WeltWeitesWissen
lernen
kollaborieren mit unserem Team
Diese Liste kann natürlich noch weiter ergänzt werden. Was wir aber auch oft tun, blind diesem Gerät zu vertrauen. Das tut schon was es soll. Aber wenn es das dann mal nicht mehr tut, sind wir nicht vorbereitet. Dann sind die Urlaubsbilder von 2022 weg, Bilder von sonstigen wichtigen Ereignissen. Oder auch die Daten aus dem Kalender, Kontakte und gespeicherte Aufgaben.
Backup
Daher ist es wichtig die eigenen Daten in regelmäßigen Abständen zu sichern. Wie und wo du die Daten speicherst kommt auf deine Situation an.
Betriebssystem Laptop/Computer : Windows, Linux oder Mac. (Es gibt auch noch andere Betriebssystem – Ausnahmen bestätigen die Regel)
Kleiner Ausschnitt aus meiner Backup Strategie. Ich betreibe auf einem vServer in Deutschland eine Nextcloud Instanz. Dort werden meine Daten verschlüsselt abgelegt. Von dieser Instanz wird 2 mal täglich ein Backup auf einen Backup vServer in Canada mit dem Repo Backup Tool Restic abgelegt. Einmal wöchentlich holt sich ein Computer bei Mir zu Hause alle neusten Daten von dem Server in Canada. Sowohl der vServer in Deutschland als auch der in Canada werden beide von einem RAID60-Array beschrieben. Das heißt bei beiden Host Systemen können bis zu 2 Festplatten ausfallen ohne das ein Datenverlust folgt bzw. das ich überhaupt etwas merke. Ah und zusätzlich habe ich auch noch auf meinem Laptop eine Kopie der Daten aus der Nextcloud.
Nun hört sich das sicherlich ziemlich übertrieben an. Aber ich habe 1 Jahr etwa an diesesm Plan gebastelt und rum getestet und bin damit nun zufrieden.
Um diese beiden vServer zu betrieben muss ich die Ressourcen natürlich anmieten.
vServer Deutschland 8,90 €
vServer Canada 5 € Sind also gesamt 13,90 € und da ich wirklich sehr viel mit meiner Nextcloud arbeite und auch auf den Servern ein paar andere nützliche Dienste betreibe, lohnen sich die Kosten für mich.
Um die Daten in einer gemanagten Umgebung zu betreiben kann ich Hetzner StorageShare sehr empfehlen. Diese habe ich selbst eine Weile benutzt Dort gibt es ab 5,11€ eine Nextcloud Instanz mit 1TB Speicherplatz und das ganze soll wohl mehrmals täglich automatisiert gesichert werden. Soviel zum Backup meiner Datenlandschaft.
Was mach ich, wenn es weg ist?
Im besten Fall
Das Smartphone war zum Zeitpunkt des Verlustes gesperrt, alle Deine Daten auf dem Smartphone sind verschlüsselt und die SIM Karte ist mit einer PIN geschützt. In diesem Fall:
Das ist eine eindeutige Identifikations Nummer deines Smartphones bzw. deines SIM Kartensteckplatzes, wenn wir es genau nehmen. Über diese Nummer kann die Polizei dein Gerät orten. Bei einer Diebstahlmeldung bei der Polizei ist es daher von Vorteil, wenn du diese Nummer zur Hand hast.
SIM Karte Sperren
Ruf deinen Mobilfunkanbieter an, erkläre dem Support Mitarbeiter, dass du dein Smartphone samt SIM Karte verloren hast. Damit umgehst Du, dass der Dieb sich als Smartphones Besitzer ausgeben kann (Anrufe in deinem Namen führt, SMS mit Verifizierungscodes für Passwortänderungen oder zur Bestätigung von Buchungen erhält).
Wenn du dir sicher bist, das dein Smartphone gestohlen wurde, dann solltest du die Polizei rufen
Wenn du die Möglichkeit hast, solltest du von allen wichtigen Accounts die du dort auf dem Smartphone genutzt hast, das Passwort ändern. Beispiel: Paypal, Google, Facebook, Instagram, TikTok, ebay, Kleinanzeigen, Deutsche Post, Spotify, Payback, Krankenkassen App, Wenn du ein Wallet von Android oder Apple nutzt um kontaktlos zu zahlen, dann ändere auch dort die Daten bzw. sperre zur Not auch deinen Bankzugang. Bei allen Accounts wo es dir irgendwie möglich ist, sperre den Zugang oder ändere das Passwort
dann ist es schwierig da etwas zu retten, außerdem wird es auch schwierig den ein oder anderen Account wieder zu beschaffen
Bei Android brauchst du in der Regel einen Google Account. Von diesem solltest du die Daten wissen. Wenn du die 2FA Auth von Google nutzt, musst du von irgend einem anderen Gerät die neue Anmeldung auf einem neuen Smartphone zusätzlich bestätigen.
Und jetzt?
Daten aus Backup wiederherstellen
In der Hoffnung das Sie ein Backup gemacht haben, können Sie es auf dem „neuen“ Smartphone wieder herstellen. Sowohl Google als auch Apple stellen dir ein gewisses Volumen an Speicherplatz in der Cloud zu Verfügung. Wenn sie das aktiviert hatten bevor das Smartphon weg gekommen ist, werden sie direkt beim ersten Start eines „neuen“ Smartphone gefragt, ob sie die Daten aus der Cloud wiederherstellen wollen. Das kann sinnvoll sein für Kontakte, Aufgaben, Kalender usw. Alles was andere Daten angeht ist meist ein anderer Speicherort angebracht, z.B, eine Speicherkarte oder ein eigener Cloudspeicher wie der von Hetzner (weiter oben beschrieben)
Nicht den Kopf hängen lassen
So ein Verlust bzw. Defekt eines Smartphones kann eine Stresssituation auslösen. Das ist ganz klar, weil es ja schließlich auch um die privaten eigenen Daten geht, Gerade auch der Verlust von Bildern kann sehr schmerzlich sein. Aber genau dieser Punkt wo du nach einem Verlust, deines Gerätes stehst, ist ein guter Zeitpunkt sich um die eigene Backupstrategie zu kümmern. Das ist nicht nur etwas für Nerds und Fachleute. Mit etwas lesen und probieren, kannst auch du deine Daten etwas besser absichern und bei einem erneuten Verlust viele Nerven sparen.
Wenn du einen Serverdienste an deinem privaten Internetanschluss zur Verfügung stellen möchtest, ist neben Portfreigaben, eine feste IP Adresse notwendig. Am heimischen Anschluss hast du in den meisten Fällen keine Möglichkeit eine feste IP Adresse zu bekommen. An einem privaten Anschluss wird bei fast allen Providern die Verbindung nach eine gewissen Zeit zwangsgetrennt oder zumindest die IP-Adresse erneuert. Bei einigen Providern kannst du eine feste IP gegen eine Pauschale buchen.
Das ist aber auch kostenlos möglich: Stichwort Dynamic DNS, kurz DynDNS.Bei dieser Prozedur, überträgt der Router die aktuelle IP-Adresse, sobald sie sich ändert an einen DynDNS Anbieter. Bei diesem kann man sich eine Subdomain erstellen, welche dann immer auf die gerade vergebene IP-Adresse zeigt. So ist es möglich trotz wechselnder IP immer erreichbar zu sein, weil der Router in Verbindung mit dem DynDNS Anbieter den Job übernehmen.
Vorrausetzungen
Router mit DynDNS Funktion (z.B. FritzBox)
einen Account und eine Subdomain bei einem DynDNS Anbieter
Anbieter DynDNS Service;
selfhost.de (FreeAccount)
freedns.afraid.org (viele verschiedene Subdomains)
Eigene TLD (z.B bei wint.global oder strato.de)
Registrierung DynDNS Service
Jetzt geht es in die Praxis über, wir legen uns einen Account beim DNS Anbieter an, erstellen uns dann einen Subdomain und bringen dann noch der FritzBox bei wie sie immer die richtige öffentliche IP an den DNS Anbieter weitergibt. Aber alles nach und nach.
Den DNS Anbieter findest du unter https://freedns.afraid.org Dort musst du dir einen kostenlosen Account anlegen. Dort klickst du einfach auf Sign up Free
Anschließend bekommst du folgende Seite zu Gesicht ![Registrierung Maske freedns.afraid.org]()
Dort trägst du alle nötigen Daten ein und klickst anschließend auf „Send Activation Mail“. Nun sollte in den nächsten Sekunden/Minuten eine Aktivierungsemail bei dir eintreffen. Dort klickst du auf den Aktivierungslink um den Registrationsprozess abzuschließen.
Dann kannst du dich mit deiner USERID und gewähltem Passwort einloggen. Jetzt kannst du dir eine Subdomain aussuchen, über die dann später dein Server/PC hinter der Fritzbox bei dir erreichbar ist.
Subdomain anlegen
Klick dafür einfach auf der linken Seite auf „Main Menue“ und in der erscheinenden Tabelle auf „Subdomain“. Anschließend erscheint ein Schriftzug „Add Subdomain“
Dort kannst du deine Subdomain aussuchen.
Type
A
Subdomain
deinwunschname.mooo.com
Domain
mooo.com (kann frei gewählt werden)
Destination
Deine derzeit öffentliche IP erscheint hier, diese kann dort so übernommen werden
TTL
Nur Premium TTL steht für TimeToLive
Wildcard
kein Haken
Wenn das alles erledigt ist, ist der Teil beim DynDNS Anbieter erstmal erledigt. Nun musst du noch die Fritzbox konfigurieren, damit sie die Subdomain kennt und das die Fritzbox in regelmäßigen Abständen deine öffentliche IP an den DynDNS Anbieter schickt und automatisch angepasst.
Konfiguration FritzBox
Dafür loggst du dich wie gewohnt in deine FritzBox ein und suchst den Menüpfad :
Internet > Freigaben > Tab(DynDNS)
DynDNS benutzen
Haken setzen!
DynDNS-Anbieter
Benutzerdefiniert
Update-URL
Hier kommt die Adresse rein, die es ermöglicht, die öffentliche IP automatisch beim DynDNS Anbieter anzupassen, wenn eine Änderung stattgefunden hat.
Domainname
Hierkommt deine gewählte Subdomain rein submaxxi.mooo.com
Benutzername
Hier kommt deine USERID mit der du dich einloggst bei freedns.afraid.org
Passwort
Hier kommt dein Passwort rein mit dem du dich einloggst bei freedns.afraid.org
Um die Update-URL herauszufinden gehst du wie folgt vor Du gehst in das Backend von freedns.afraid.org.
Dann wählst du auf der linken Seite im Menü „Dynamic DNS“ aus. Relativ weit unten steht deine Subdomain. Daneben steht „Direct URL“ -> Dort machst du einen Rechtsklick drauf und wählst „Link Adresse kopieren“ Nun hast du die Update-URL in deiner Zwischenablage und kannst diese einfach per Drag&Drop in das Feld „Update-URL“ in die Eingabemaske der Fritzbox eingeben. Wenn das alles erledigt ist klickst du im FritzBox Backend auf „Übernehmen“.
Nun hast du eine Subdomain angelegt und diese mit deiner FritzBox verknüpft. Ab jetzt wird dem DynDNS Anbieter immer die neuste öffentliche IP Adresse gemeldet und als A Record in der Subdomain eingetragen.
Nun kannst du z.B. mit einem RaspberryPI einen Webserver der über deine Subdomain erreichbar ist über Port 80/443 mit der Fritzbox für das WWW freigeben.
Zum Thema Protfreigabe schreibe ich bald einen Artikel und werde somit an die Serie anknüpfen. In der Zeit kannst du ja die FritzBox auf die nästen Schritte vorbereiten. Bis dahin erstmal frohes Basteln.
Es kann nützlich sein, wenn man z.B. einen WebDAV Account, einer Nextcloud in ein Dateisystem unter Linux einzubinden. Um beispielsweise ein automatisches Backup der eigenen Dateien einzurichten.
Installation
Um das zu erreichen, benötigen wir zu erst das Linux Paket davfs2
Unter Debian und Ubuntu, die den apt Paketmanager nutzen geht das wie folgt:
Dieser Befehl ist für das „einmalige“ einhängen. Wenn es automatisch auch bei einem Neustart eingehängt werden soll dann kannst du das in der Datei /etc/fstab hinterlegen.
Wenn die Daten in der /etc/fstab hinterlegt wurden, lässt sich die WebDAV-Resource ganz einfach mit diesem Befehl einbinden:
mount /media/example
Um die WebDAV-Resource wieder auszuhängen bzw. aus dem Dateisystem zu entferenen nutzt du den Befehl fusermount.
fusermount -u /media/example
Wenn fusermount nicht funktioniert kann es sein, dass du noch das Paket fuse nachinstallieren musst.
sudo apt install fuse
Login Daten hinterlegen
Um nicht bei jedem einbinden bzw. beim automatischen einbinden die Login Daten einzugeben, kannst du die Login Daten hinterlegen. Diese werden dann in /etc/davfs2/secrets oder ~/.davfs2/secrets
Nur Benutzername: /media/example Benutzername
Benutzername und Passwort: /media/example Benutzername Passwort
