[HaBo]

zerohaxxor · 11.06.09, 19:22

Hi leute,ich wollte mal fragen,ist es möglich eine Website/Forum wie auch immer nur über einen SSH Tunnel erreichbar zu machen unter Linux/Windows etc ?

Und wen ja wie genau ?

easteregg · 11.06.09, 19:24

meinst du von aussen oder von innen, sprich du hintern nem ssh tunnel auf des forum zugreifen?

das geht zb mit putty, dynamischen nen port durchleiten, und dann nen socksproxy in deinem browser aktivieren. dazu googlest du am besten mal nach "socks proxy putty"
gibts viele anleitungen.

andersrum, ne website der öffentlichkeit nur durch einen sshtunnel bereitzustellen wird schon schwieriger, macht aber auch nicht wirklich richtig sinn!

Anzeige

- Anzeige -

zerohaxxor · 11.06.09, 19:30

Das zweite,das man die seite nur über einen SSH Tunnel erreichen kann.

Das erste ist leicht,dazu gibt es wirklich mehr als genug lesestoff.

metax. · 11.06.09, 20:54

Naja, als erstes müsstest du die Website für alle Adressen außer localhost sperren. Dann kannst du einen SSH-Tunnel vom Client zum Server (auf seinem HTTP-Port) errichten (z.B. Client:1234 -> Server:80). Wenn du jetzt bei dir auf Port 1234 eine HTTP-Anfrage absetzt, läuft das durch den Tunnel und der Server sieht den Traffic, als würde er über die Loopback-Schnittstelle kommen (also von Localhost) und du wirst nicht geblockt.

mfg, metax.

zerohaxxor · 11.06.09, 22:37

mmmmm das ist aber nicht so einfach wie es da steht,wen man da einen fehler macht hat man sich ganz schnell selber ausgespeert.

Gibt es ein tutorial dazu irgentwo ?

beavisbee · 11.06.09, 23:03

auf dem Server den Webserver nur an 127.0.0.1 binden (edit: oder zumindestens für 'ne bestimmte Domain sperren, wenn's mehrere auf dem Server gibt - siehe metax' nachfolgenden Post) und nur SSH nach außen hin offen lassen.

SSH-Tunnel aufbauen:
http://www.ch-becker.de/?SSH-Tunnel
http://www.ch-becker.de/?SSH-Tunnel%20Linux

edit: ach ja, weiß jetzt nicht, was du für 'nen Server hast, aber hier mal noch ein Debian Secure HowTo zum Thema SSH
http://www.debian.org/doc/manuals/se...s.de.html#s5.1
Das meiste davon lässt sich ja sicher 1:1 auch auf andere Distris übertragen...

edit2: zwecks Aussperren: weiß jetzt nicht, ob es bei dir um einen privaten Server zu Hause geht, den du von außen erreichen willst, oder einen Root-Server - für zweiteres: viele Anbieter bieten die Möglichkeit, dass du über ein Administrations-Backend, wo du auch Server neu aufsetzen, bestellen, etc. kannst, den Server in einen Rescue-Modus fahren kannst, wo du wieder per SSH drauf kommst (so wie ich das von meinem Anbieter kenne, wird da ein Root-Passwort generiert und per Mail geschickt) und deine Fehler berichtigen kannst... informiere dich am besten einfach mal bei deinem Root-Anbieter, was da möglich ist.

edit3: und wenn du nicht willst, das andere, die auch Zugriff auf den Server bekommen sollen, 'nen Shell-Zugriff bekommen, dann mach einfach folgendes:

erstelle einen neuen User-Account (auf meinem Bastel-Server heißt er z.B. "tunneltux") und dem gibst du ein Passwort, was du ebenfalls den Leuten, die Zugriff bekommen sollen, nennen kannst (meinetwegen wieder "tunneltux")

und in der /etc/passwd setzt du hinten den letzten Parameter des Users - die Shell - auf /bin/false.

Sollte nun jemand versuchen, sich normal per SSH zu verbinden oder bei dem Aufbau des Tunnels die Konsole zulassen, dann wird die Verbindung sofort wieder beendet.

Um diesen User dann nutzen zu können, muss man noch einen zusätzlichen Parameter (unter Linux -N - bei der plink.exe von Putty musst du in der Hilfe mal nachschauen, ob's da auch -N ist...) verwenden. Nur, wenn die Remote Console deaktiviert ist, wird der Tunnel aufgebaut - fertsch.

metax. · 11.06.09, 23:10

Naja, du brauchst ja eh Shell-Zugriff für den SSH-Tunnel.
Von daher kann nicht viel passieren, wenn du den Webserver umkonfigurierst (sofern du die alte Konfiguration irgendwo sicherst).
Im Zweifel würde ein
Deny From all
Allow from 127.0.0.1
an passender Stelle der Webserverkonfiguration schon ausreichen, falls du nur einen Teil des Webservers auf diese Art sichern willst.
Aber aussperren kannst du dich alleine mit der Apache Konfiguration ja wohl kaum, oder?

mfg, metax.

12.06.09, 00:08

Zwecks Ausperren:
Leg dir einen Cronjob an, welcher deine Konfiguration auf eine funktionierende Konfiguration alle 15min zurücksetzt. Solltest du dich nun einmal aussperren hast du somit in spätestens 15min wieder Zugriff.
Eine andere Möglichkeit ist Port-Knocking. Laufe eine Reihe von Ports ab, die deinen SSH-Server beendet und eine neue Session mit einer funktionierenden Konfiguration startet.
Da sollten der Fantasie wirklich keine Grenzen gesetzt sein. Jemand, der sich selbst am SSH aussperrt sollte der Server weggenommen werden, denn derjenige hat keine Ahnung von dem, was er tut. Ist ja schon schlimm genug, dass du für ein einfaches Problem ein Tutorial suchst...

Anzeige

- Anzeige -

11.06.09, 19:22	#1 (permalink)
zerohaxxor Registriert seit: 05.02.08 Likes: 0	Website über SSH Tunnel Anzeige Hi leute,ich wollte mal fragen,ist es möglich eine Website/Forum wie auch immer nur über einen SSH Tunnel erreichbar zu machen unter Linux/Windows etc ? Und wen ja wie genau ?

11.06.09, 19:24	#2 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 62	meinst du von aussen oder von innen, sprich du hintern nem ssh tunnel auf des forum zugreifen? das geht zb mit putty, dynamischen nen port durchleiten, und dann nen socksproxy in deinem browser aktivieren. dazu googlest du am besten mal nach "socks proxy putty" gibts viele anleitungen. andersrum, ne website der öffentlichkeit nur durch einen sshtunnel bereitzustellen wird schon schwieriger, macht aber auch nicht wirklich richtig sinn! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

11.06.09, 20:54	#4 (permalink)
metax. Registriert seit: 22.01.07 Likes: 10	Naja, als erstes müsstest du die Website für alle Adressen außer localhost sperren. Dann kannst du einen SSH-Tunnel vom Client zum Server (auf seinem HTTP-Port) errichten (z.B. Client:1234 -> Server:80). Wenn du jetzt bei dir auf Port 1234 eine HTTP-Anfrage absetzt, läuft das durch den Tunnel und der Server sieht den Traffic, als würde er über die Loopback-Schnittstelle kommen (also von Localhost) und du wirst nicht geblockt. mfg, metax. __________________ Wenn keiner zuschaut, teile ich heimlich durch Null! Meine Homepage: Planet Metax \| meine Bilder: DeviantArt \| Twitter

11.06.09, 23:10	#7 (permalink)
metax. Registriert seit: 22.01.07 Likes: 10	Naja, du brauchst ja eh Shell-Zugriff für den SSH-Tunnel. Von daher kann nicht viel passieren, wenn du den Webserver umkonfigurierst (sofern du die alte Konfiguration irgendwo sicherst). Im Zweifel würde ein Deny From all Allow from 127.0.0.1 an passender Stelle der Webserverkonfiguration schon ausreichen, falls du nur einen Teil des Webservers auf diese Art sichern willst. Aber aussperren kannst du dich alleine mit der Apache Konfiguration ja wohl kaum, oder? mfg, metax. __________________ Wenn keiner zuschaut, teile ich heimlich durch Null! Meine Homepage: Planet Metax \| meine Bilder: DeviantArt \| Twitter

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

11.06.09, 19:30	#3 (permalink)
zerohaxxor Themenstarter Registriert seit: 05.02.08 Likes: 0	Das zweite,das man die seite nur über einen SSH Tunnel erreichen kann. Das erste ist leicht,dazu gibt es wirklich mehr als genug lesestoff.

11.06.09, 22:37	#5 (permalink)
zerohaxxor Themenstarter Registriert seit: 05.02.08 Likes: 0	mmmmm das ist aber nicht so einfach wie es da steht,wen man da einen fehler macht hat man sich ganz schnell selber ausgespeert. Gibt es ein tutorial dazu irgentwo ?

11.06.09, 23:03	#6 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 77	auf dem Server den Webserver nur an 127.0.0.1 binden (edit: oder zumindestens für 'ne bestimmte Domain sperren, wenn's mehrere auf dem Server gibt - siehe metax' nachfolgenden Post) und nur SSH nach außen hin offen lassen. SSH-Tunnel aufbauen: http://www.ch-becker.de/?SSH-Tunnel http://www.ch-becker.de/?SSH-Tunnel%20Linux edit: ach ja, weiß jetzt nicht, was du für 'nen Server hast, aber hier mal noch ein Debian Secure HowTo zum Thema SSH http://www.debian.org/doc/manuals/se...s.de.html#s5.1 Das meiste davon lässt sich ja sicher 1:1 auch auf andere Distris übertragen... edit2: zwecks Aussperren: weiß jetzt nicht, ob es bei dir um einen privaten Server zu Hause geht, den du von außen erreichen willst, oder einen Root-Server - für zweiteres: viele Anbieter bieten die Möglichkeit, dass du über ein Administrations-Backend, wo du auch Server neu aufsetzen, bestellen, etc. kannst, den Server in einen Rescue-Modus fahren kannst, wo du wieder per SSH drauf kommst (so wie ich das von meinem Anbieter kenne, wird da ein Root-Passwort generiert und per Mail geschickt) und deine Fehler berichtigen kannst... informiere dich am besten einfach mal bei deinem Root-Anbieter, was da möglich ist. edit3: und wenn du nicht willst, das andere, die auch Zugriff auf den Server bekommen sollen, 'nen Shell-Zugriff bekommen, dann mach einfach folgendes: erstelle einen neuen User-Account (auf meinem Bastel-Server heißt er z.B. "tunneltux") und dem gibst du ein Passwort, was du ebenfalls den Leuten, die Zugriff bekommen sollen, nennen kannst (meinetwegen wieder "tunneltux") und in der /etc/passwd setzt du hinten den letzten Parameter des Users - die Shell - auf /bin/false. Sollte nun jemand versuchen, sich normal per SSH zu verbinden oder bei dem Aufbau des Tunnels die Konsole zulassen, dann wird die Verbindung sofort wieder beendet. Um diesen User dann nutzen zu können, muss man noch einen zusätzlichen Parameter (unter Linux -N - bei der plink.exe von Putty musst du in der Hilfe mal nachschauen, ob's da auch -N ist...) verwenden. Nur, wenn die Remote Console deaktiviert ist, wird der Tunnel aufgebaut - fertsch.

12.06.09, 00:08	#8 (permalink)
.doc Guest Likes:	Zwecks Ausperren: Leg dir einen Cronjob an, welcher deine Konfiguration auf eine funktionierende Konfiguration alle 15min zurücksetzt. Solltest du dich nun einmal aussperren hast du somit in spätestens 15min wieder Zugriff. Eine andere Möglichkeit ist Port-Knocking. Laufe eine Reihe von Ports ab, die deinen SSH-Server beendet und eine neue Session mit einer funktionierenden Konfiguration startet. Da sollten der Fantasie wirklich keine Grenzen gesetzt sein. Jemand, der sich selbst am SSH aussperrt sollte der Server weggenommen werden, denn derjenige hat keine Ahnung von dem, was er tut. Ist ja schon schlimm genug, dass du für ein einfaches Problem ein Tutorial suchst...

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
SSH-Tunnel	MrSpider	Network · LAN, WAN, Firewalls	5	08.05.09 13:49
Samba und VPN-Tunnel	Mr. Frogman	Network · LAN, WAN, Firewalls	0	01.09.07 15:02
ssh-tunnel	.smash	Linux/UNIX	15	31.05.07 23:29
SSH-Tunnel	kalil1234	Linux/UNIX	26	18.04.07 21:17
Tunnel Lösung über SSH	Mc Pocket	Internet Allgemein	0	23.07.03 14:31

[HaBo]

Website über SSH Tunnel