[OS X]SSH-Remote-Lösungen unter OSX (dazu VNC, KVM)

[quarx]

@quarx
vielleicht kannst du ein bisschen genauer werden. Weil ich weiß nun nicht auf welche Probleme du dabei gestoßen bist? Würde mich freuen, wenn anstelle der vielen Lob-Huddeleien auch eine Diskussion entfalten würde.

Und welche weiteren Port-Forwarding-Möglichkeiten hätten dich da noch interessiert? Über ssh -R und -D?

Naja, mich persönlich würden eher detailliertere Informationen zu den Optionen -X und -Y interessieren, also generell zur Verbindung zwischen einem X-Client und einem X-Server durch einen ssh-Tunnel. Es kann jetzt natürlich sein, dass das ein wenig am eigentlichen Thema "Port-Forwarding" vorbeigeht. Vielleicht ist das X11-Tunneling sogar ein eigenes Tutorial wert...

Die Probleme, die ich beim X11-Tunneling hatte, lagen im Prinzip im Update von Mac OS X Panther auf Tiger. Denn Panther nutzte eine andere Version von OpenSSH als Tiger. An sich ja ein ganz normaler Umstieg auf eine neuere ssh-Version, aber gerade beim X11-Forwarding hat sich die genaue Funktionsweise der -X und -Y Optionen verändert. Ich hatte nach dem Tiger-Update Probleme, vom Mac aus die grafische Oberfläche von Matlab (die ja auf Java basiert) auf einem entfernten Unix-Rechner aufzurufen, mit der Option -X. Es hagelte dort einige X11-Fehlermeldungen. Diese ließen sich aber durch Umstieg auf die -Y Option beheben. Unter Panther lief noch alles einwandfrei mit -X.

Hier gibt es übrigens ein offizielles Apple-Dokument zu diesem Thema.

Und hat es eigentlich schon jemand umgekehrt geschafft, sich auf einem Mac via ssh einzuloggen, dort X11-Programme zu starten und deren Ausgabe auf einem fremden Rechner anzuzeigen (also den Mac als X-Client zu nutzen)? Das hab ich irgendwie noch nicht hinbekommen.

[Cyrics]

Meldest du dich da per SSH auf dem Server so an, dass die Ports der Servers
so getunnelt werden, dass die HardwareFirewall nur den SSH Port durchlässt und
die Anderen Ports des Servers durch den SSH getunnelt werden?

Ich weiss nun leider nicht, was du mit HardwareFirewall meinst. Wenn du vielleicht den Router meinst, dann hab ich bei diesem nur den SSH-Port geöffnet, das ist richtig. Alle anderen Dienste wie webmin auf 10000 werden dann über SSH auf Port 666 drüber geleitet.
Du sagst ja dem Server ganz genau, welchen Port, und damit welchen Dienst, du per SSH auf deinen Client übertragen willlst per SSH.
Du kannst es dir so vorstellen, dass SSH das kleine Nadelöhr ist. Sowohl bei Client als auch bei Server ist dagegen ein riesiges Gebilde aus Diensten. Mit der Anfrage per SSH an den Server gibst du dem Server die Anweisung Teile dieses riesen Gebildes zusammen zu packen, und alles per SSH auf einem einzigen Port, und somit über einen Dienst, über den Router hinweg zu den Client zu transferieren. Hier wird nun dieses riesige Gebilde wieder entpackt und so hingestellt, wie du es bei diener Anfrage angefordert hast.

Und nochwas: Ist wenn man sich so anmeldet z.B. mit 10000:bla@bla.com:10000,
dass man sich somit wie bei VPN im Heim-Netzwerk befindet? Weil ich will
dass das Webmin ausschließlich surch den SSH getunnelt wird und dass, es kein
anderes benutzen kann außer er meldet sich per SSH an.

MfG Matthias

Argh... tut mir echt leid, aber ich versteh dich nicht. Lass doch ein paar Füllwörter weg, dann klappt das sicher besser. Ich weiss nun nicht worauf zu hinaus willst
Also wenn du dich per SSH anmeldest, bzw. eine SSH-Verbindung mit dem Server aufgebaut hast, dann kann man dies schon mit einem VPN-Netzwerk vergleichen. SSH ist kein Dienst der ein großes Netzwerk aufbaut und alle zu sich einlädt, sondern es bleibt, wie auch bei VPN eine private Versammlung zwischen Client und Server. Was der Server dann daraus macht, ist seine Sache. Wenn dieser nun noch weitere 1000 SSH-Gäste einlädt, dann greifen die auch alle auf dem Server zu. Aber du kriegst davon nichts mit, weil es eine reine private Verbindung zwischen dir und dem Server ist.
Das nur du Webmin steuern kannst, kannst du entweder dadurch erreichen, dass nur du eine Schlüsseldatei mit Passphrase besitzt und alle anderen aussperrst indem du Passwort-Authentifizierung, egal wie, deaktivierst. Damit bist du der einzige, der dann Zugriff per SSH auf den Server hat. Webmin selbst kannst du aber nicht anweisen nur auf dich zu hören. Wie auch?! Dafür musst natürlich einen Nutzer anlegen, der nicht admin oder dergleichen hast und alle Rechte von admin oder root auf diesen neuen Nutzer übertragen. Lösch die alten Nutzer, wenn alles gut klappt mit dem neuen Nutzer. Wenn aber andere root-Rechte haben und auf dem Server physisch zugreifen können, können sie per Tool dein Passwort auslesen, wenn sie wollen. In Webmin ist dies als letzte Sicherheitslösung gedacht... was mir auch einmal wirklich den Ar*** gerettet hat.

@pete
ja, Danke, das du es ansprichst. Ich hab dies tatsächlich getestet, und es verlief schrecklich. Also ich hoffe du meinst einfach mal die Lösung VNC-Passwort setzen und Chicken of the VNC nutzen.
Also erstmal nutze ich immer den VNC-Server, weil dieser einfach mehr Optionen bietet. Die Einstellungen, die bei Zugriffsrechte bei Apple Remote Desktop in der Sicherheitseinstellung möglich sind, sind ja eher bescheiden. Soweit ich das mitbekam, gehört eigentlich auch nur das Passwort-Setzen zu einer VNC-Funktion. Alles andere ist komplett ARD (Apple Remote Desktop) bezogen, was ich aber nicht nutze.
Wenigstens empfehlen eben viele immer Chicken of the VNC als Viewer für VNC-Verbindungen. Doch dieses löst bei mir immer schwere Fehler auf, bzw. öffnet sich am liebsten gleich 20mal. Alle 3 Sekunden etwa öffnet sich ein neues Fenster. ChickenVNC bekommt nicht mal mit, dass ein Passwort zur Anmeldung nötig ist, und bricht das Anmelden dann einfach ab. Der VNC-Viewer fragt dann wenigstens einfach nach dem Passwort.
Also meine Erfahrungen waren da nicht so goldend. Ich hab mich daher mit dieser Möglichkeit zurückgehalten und wollte lieber die ausführliche Variante mit mehr Spielraum nutzen.

@all
man kann bei Systemeinstellung -> Sharing -> Apple Remote Desktop -> Zugriffsrechte (unten rechts) in der Option ein VNC-Passwort einfügen. Nun kann man sich per VNC-Viewer oder das angesprochene Chicken of the VNC sich schnell mal eben auf den Server verbinden. ChickenVNC läuft dabei aber nicht immer so, wie ich es gerne hätte. Die Einstellungen unter Systemeinstellungen reichen mir persönlich auch nicht aus, aber für ein schnelles Arbeitsfläche freigeben reicht es sicher, obwohl ich es nie ausgiebig getestet hatte, um mir ein ganz klares Bild davon machen zu können.

@quarx
ich kenn mich da anscheinend wirklich zu wenig aus mit der Materie um dir da die gewünschten Informationen liefern zu können. Ich würde mich freuen, wenn du ein solches Thema hier mal genauer vorstellen würdest. Wäre sicher der erste, der sich dafür interessiert. Also ansich interessiert es mich wirklich sehr, aber ich kann dir da wohl wirklich nicht so weiter helfen, wie du es dir wünschst

und das mit deiner 3er-Konstellation würde ich ja immer zu gerne ausprobieren, aber dafür fehlen mir leider die Spielzeuge. Ich darf leider hier nicht jeden Mac zum SSH-Client und SSH-Server umstellen *g*
Also mir wurde es so erklärt, dass der Mittelsmann, also der X-Client eine SSH-Verbindung zum X-Server aufbaut und eine Verbindung zum dritten fremden Rechner zusätzlich aufsetzt. Nun startet der X-Client via SSH die Anwendung über SSH und leitet den Port an den dritten Fremden und dessen Zielport. Mir fehlt hier wirklich der dritte Rechner um das aber mal in die Tat umzusetzen. Ansich hört sich das alles sehr simpel und machbar an.

[Cyrics]

was mir sonst immer mal auffiel war die Tatsache, dass sobald ein Wechsel zwischen den Plattformen stattfand, dass die VNC-Verbindung noch lahmer als sonst ist.
Also von Windows auf SuSe war bisher das Lahmste, was ich mitbekam. Von Windows auf OSX ging eigentlich ganz gut.
Ich glaub es hier immer entscheidend wie das Ganze ins System eingebunden ist. So müsste ja eigentlich die VNC-Server und VNC-Viewer-Geschichte besser funktionen von der Geschwindigkeit her, oder?

Das geistert mir zumindest immer im Kopf herum, weshalb ich darauf vertraue.

und ja stimmt, ChickenVNC hatte die Fenster immer geöffnet bei einer Verbindung auf localhost. Werd es morgen mal noch genauer testen mit dem zweiten Mac im Haushalt.

[stk]

Moin,

sehr geiles Tut!

Vielleicht kann mir in Ergänzung zu dem Thema auch noch jemand auf die Strümpfe helfen, wie ich es schaffe nach einer VPN-Einwahl (OS X Server) nicht nur den Server selbst in ARD/VNC zu sehen sondern auch noch alle anderen Rechner im Netz. Irgendwo scheint da auf dem Server eine Routingangabe zu fehlen.

Gruß Stefan

[palmetshofer]

Hat sich alles erübigt Cyrics. Hab mir dein Tut nochmal genau durchgelesen
und alle Antworten gefunden
Tut mir leid, aber ich habs net anders ausdrücken können

Funktioniert prächtig. Hat aber ein bisserl gedauert alles auf SuSe umzudenken

Wenns dir Recht ist werd ich dein Tutorial in Form eines "schönen",
übersichtlichen PDFs mit Links und allem drum und dran hier in diesem
Thread Posten.

Webmin hab ich jetzt so Konfiguriert:

Die einzige IP die zugelassen wird ist 127.0.0.1, also der "localhost".
Alle Zugriffe laufen ebenfalls auf einem anderen Port und explizit
über 127.0.0.1. Selbige Restriktion auch für die Benutzer von Webmin.
SSL ist aktiviert und die Passwortverschlüsselung hochgeschraubt.
Hier gibt es ein Tut dafür.

Per iptabels-Skript wurden alle Ports außer SSH gesperrt.

Der Router "übersetzt" mit NAT den SSH Port.

Somit ist alles so wie ich es will


MfG Matthias

[angelone]

schickes tutorial.

die zeichnung is das beste! dafür gibts 100 gummipunkte ^^

[quarx]

Eventuell könnte man zum Tutorial noch die Möglichkeit ergänzen, via Xnest und XDMCP einen Linux-Rechner vom Mac aus fernsteuern zu können, ohne sich dafür dort einloggen zu müssen.

[Cyrics]

das hatte ich gestern auch gelesen, aber hätte es nun nicht hiermit in Verbindung gebracht. Aber das würde gut passen... da mir die Erfahrung mit Xnest fehlt und ich auch keine Notwendigkeit sehe bei einem Linux-System die GUI-Ausgabe umzuleiten, würde es mich zwar interessieren, aber nicht umsetzen.

Ich hab das Problem, dass die GUI der meisten Linux-Distributionen meiner Meinung nach eher großer Mist sind. Von der Handhabung und Schnelligkeit hab ich per Konsole eigentlich alles schneller gelöst. Aber ich bin auch nicht auf die GUI angewiesen. Daher ist auf allen Server-Systemen an denen ich arbeite die GUI nicht installiert.

Mit dem Konsolen-Browser ist es auf jeden Fall schwierig vernünftig im Internet zu surfen das mach ich weiterhin über meinen Mac *g*

[quarx]

... ok, verbuchen wir's mal als exotische Alternative. Brauchen tut man das Linux-GUI eigentlich nicht, da hast Du Recht. Dachte mir halt, verlinken könnte nicht schaden.

[Cyrics]

ich will das Ganze hier mal etwas up-to-date, wie es neudeutsch so schön heisst, halten.

In diesem Thread wurde über die Zukunft des Computers und die neusten Fortschritte und Aussichten berichtet. Sollten die Quantenrechner irgendwann nutzbar sein, wäre sehr stark abzuraten von den herkömmlichen Verschlüsselungen, wie ich sie hier anführte (bspw. RSA, DSA etc.).
Die Schlüssellängen können von Computern ab einer bestimmten Länge oder Größe (man nimmt allgemein alles größer als 1 KB an) derzeit nicht in ausreichender Zeit entschlüsselt werden.
Alternative Verschlüsselungsverfahren wurden in dem oben genannten Thread genannt.