TS: ssh-Zugriff auf Linux-Mint Lappi im WLAN

Hello,

ich stehe gerade wie ein Ox am Berg :-)

Ich versuche, innerhalb meines LAN/WLAN per Filezilla von der WINDose auf meinen Laptop mit Linux-Mint zuzugreifen. Also genauer sftp(d) des openssh-Servers auf dem Mint-Lappi.

Installiert sind die Server auf dem Mint-Lappi.

Ping von der WINDose auf den Mint-Lappi klappt auch.

SSH-Zugriff ist aber weder per PuTTY, noch per Filezilla möglich. Der SSH-Server auf dem Lappi läuft laut systemctl. (=avtive).

Wie frage ich die Funktionstüchtigkeit des Sub-Dienstes sftpd ab?

Wo muss ich suchen?

Mit meinem alten Debain-Lappi klappt das einwandfrei!

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.

akzeptierte Antworten

  1. Moin Tom,

    hast du schon einmal vom Linux-Rechner aus probiert den Dienst selbst zu erreichen, also

    ssh localhost
    

    oder

    sftp localhost
    

    Viele Grüße
    Robert

    1. Hello,

      hast du schon einmal vom Linux-Rechner aus probiert den Dienst selbst zu erreichen, also

      ssh localhost
      

      oder

      sftp localhost
      

      nein. Aber nun nach einigen üblichen Zeilen, die hier nicht reingehören:

      Connected to localhost.
      sftp>
      

      Das funktioniert also.

      Da muss es noch irgendwo Firewall-Regeln geben, von denen ich bisher keine Ahnung habe.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  2. Hallo TS,

    Mit meinem alten Debain-Lappi klappt das einwandfrei!

    Was klappt da? Debian-Client connected zum Mint-sftpd? Windows-Client connected zu sftpd auf Debian?

    SFTP und SSH verwenden Port 22 - ich nehme an, das hast Du schon längst geprüft. Die Win-Dose muss das ausgehend zulassen und die Mint-Dose eingehend.

    Kommt der Windows Client per Brauser an einen httpd (a.k.a. Apache) auf dem Mint-Lappi 'ran? Oder per Telnet Client (telnet ip port) - Telnet ist ein Feature, das man im Windows explizit aktivieren muss (Strg+ESC, Features eingeben, TELNET suchen, Haken setzen)

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Hello,

      Mit meinem alten Debain-Lappi klappt das einwandfrei!

      Was klappt da? Debian-Client connected zum Mint-sftpd? Windows-Client connected zu sftpd auf Debian?

      Windows-Client (Filezilla) zu Debian (ssh / sftpd).

      Von Windows zu meinen beiden Raspis klappt das übrigens auch.

      SFTP und SSH verwenden Port 22 - ich nehme an, das hast Du schon längst geprüft. Die Win-Dose muss das ausgehend zulassen und die Mint-Dose eingehend.

      Das klappt ja bei allen anderen Connections auch. Ebenfalls mit meinem Webserver beim Hoster.

      Kommt der Windows Client per Brauser an einen httpd (a.k.a. Apache) auf dem Mint-Lappi 'ran?

      Den habe ich bisher noch nicht gestartet. Muss ich mal ausprobieren.

      Oder per Telnet Client (telnet ip port) - Telnet ist ein Feature, das man im Windows explizit aktivieren muss (Strg+ESC, Features eingeben, TELNET suchen, Haken setzen)

      Kann ich ebenfalls nochmal ausprobieren.

      Ich vermute da eine Out-of-the-Box-Sicherheitseinstellung von Linux Mint

      Linux bitworks-L5 5.4.0-90-generic #101-Ubuntu SMP Fri Oct 15 20:00:55 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

      Linux Mint 20.2 Uma

      die ich aber bisher leider nicht kenne.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  3. Ping von der WINDose auf den Mint-Lappi klappt auch.

    Ok. Es liegt also nicht am Netzwerk. (Ich hatte schon Kunden mit den Laptops im Gäste-WLAN, die auf Server zugreifen wollten...

    Also dann:

    (Alle Befehle als root bzw. mit sudo)

    Zunächst würde ich gerne die vollständigen Ausgaben von

    # systemctl status ssh
    

    sehen wollen.

    Bei mir sehen die so aus:

    user@trainer:~$ systemctl status ssh
    ● ssh.service - OpenBSD Secure Shell server
         Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: e>
         Active: active (running) since Wed 2021-11-24 21:46:30 CET; 18h ago
           Docs: man:sshd(8)
                 man:sshd_config(5)
       Main PID: 1301 (sshd)
          Tasks: 1 (limit: 38242)
         Memory: 2.2M
         CGroup: /system.slice/ssh.service
                 └─1301 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
    
    Nov 24 21:46:30 trainer.home systemd[1]: Starting OpenBSD Secure Shell server...
    Nov 24 21:46:30 trainer.home sshd[1301]: Server listening on 0.0.0.0 port 22.
    Nov 24 21:46:30 trainer.home sshd[1301]: Server listening on :: port 22.
    Nov 24 21:46:30 trainer.home systemd[1]: Started OpenBSD Secure Shell server.
    

    Wenn die gut sind, und auch das Listen an der richtigen oder allen IP-Adressen ausweisen würde ich mal sehen wollen, was die firewall so treibt und also

    # ufw status numbered
    

    und

    # iptables -L -n
    

    auswirft.

    1. Hello,

      Ping von der WINDose auf den Mint-Lappi klappt auch.

      Ok. Es liegt also nicht am Netzwerk. (Ich hatte schon Kunden mit den Laptops im Gäste-WLAN, die auf Server zugreifen wollten...

      Also dann:

      (Alle Befehle als root bzw. mit sudo)

      Zunächst würde ich gerne die vollständigen Ausgaben von

      # systemctl status ssh
      
      tschmieder@bitworks-L5:~$ sudo systemctl status ssh
                    
      ● ssh.service - OpenBSD Secure Shell server
           Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
           Active: active (running) since Thu 2021-11-25 13:26:06 CET; 6h ago
             Docs: man:sshd(8)
                   man:sshd_config(5)
         Main PID: 960 (sshd)
            Tasks: 1 (limit: 18890)
           Memory: 3.7M
           CGroup: /system.slice/ssh.service
                   └─960 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
      
      Nov 25 13:26:01 bitworks-L5 systemd[1]: Starting OpenBSD Secure Shell server...
      Nov 25 13:26:06 bitworks-L5 sshd[960]: Server listening on 0.0.0.0 port 22.
      Nov 25 13:26:06 bitworks-L5 sshd[960]: Server listening on :: port 22.
      Nov 25 13:26:06 bitworks-L5 systemd[1]: Started OpenBSD Secure Shell server.
      Nov 25 15:43:58 bitworks-L5 sshd[5093]: Accepted publickey for tschmieder from 127.0.0.1 port 47572 ssh2: RSA SHA256:ji6NIBP>
      Nov 25 15:43:58 bitworks-L5 sshd[5093]: pam_unix(sshd:session): session opened for user tschmieder by (uid=0)  
        
      

      Wenn die gut sind, und auch das Listen an der richtigen oder allen IP-Adressen ausweisen würde ich mal sehen wollen, was die firewall so treibt und also

      # ufw status numbered
      
      tschmieder@bitworks-L5:~$ sudo ufw status numbered  
      Status: Aktiv  
      
      # iptables -L -n
      
      tschmieder@bitworks-L5:~$ sudo iptables -L -n
      Chain INPUT (policy DROP)
      target     prot opt source               destination         
      ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain FORWARD (policy DROP)
      target     prot opt source               destination         
      ufw-before-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-before-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-after-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-after-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-reject-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-track-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain OUTPUT (policy ACCEPT)
      target     prot opt source               destination         
      ufw-before-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-before-output  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-after-output  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-after-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-reject-output  all  --  0.0.0.0/0            0.0.0.0/0           
      ufw-track-output  all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-after-forward (1 references)
      target     prot opt source               destination         
      
      Chain ufw-after-input (1 references)
      target     prot opt source               destination         
      ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:137
      ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:138
      ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:139
      ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
      ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
      ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68
      ufw-skip-to-policy-input  all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
      
      Chain ufw-after-logging-forward (1 references)
      target     prot opt source               destination         
      LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
      
      Chain ufw-after-logging-input (1 references)
      target     prot opt source               destination         
      LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
      
      Chain ufw-after-logging-output (1 references)
      target     prot opt source               destination         
      
      Chain ufw-after-output (1 references)
      target     prot opt source               destination         
      
      Chain ufw-before-forward (1 references)
      target     prot opt source               destination         
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 12
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
      ufw-user-forward  all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-before-input (1 references)
      target     prot opt source               destination         
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
      ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
      DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 12
      ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
      ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
      ufw-not-local  all  --  0.0.0.0/0            0.0.0.0/0           
      ACCEPT     udp  --  0.0.0.0/0            224.0.0.251          udp dpt:5353
      ACCEPT     udp  --  0.0.0.0/0            239.255.255.250      udp dpt:1900
      ufw-user-input  all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-before-logging-forward (1 references)
      target     prot opt source               destination         
      
      Chain ufw-before-logging-input (1 references)
      target     prot opt source               destination         
      
      Chain ufw-before-logging-output (1 references)
      target     prot opt source               destination         
      
      Chain ufw-before-output (1 references)
      target     prot opt source               destination         
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
      ufw-user-output  all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-logging-allow (0 references)
      target     prot opt source               destination         
      LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
      
      Chain ufw-logging-deny (2 references)
      target     prot opt source               destination         
      RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 3/min burst 10
      LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
      
      Chain ufw-not-local (1 references)
      target     prot opt source               destination         
      RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
      RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type MULTICAST
      RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
      ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10
      DROP       all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-reject-forward (1 references)
      target     prot opt source               destination         
      
      Chain ufw-reject-input (1 references)
      target     prot opt source               destination         
      
      Chain ufw-reject-output (1 references)
      target     prot opt source               destination         
      
      Chain ufw-skip-to-policy-forward (0 references)
      target     prot opt source               destination         
      DROP       all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-skip-to-policy-input (7 references)
      target     prot opt source               destination         
      DROP       all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-skip-to-policy-output (0 references)
      target     prot opt source               destination         
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-track-forward (1 references)
      target     prot opt source               destination         
      
      Chain ufw-track-input (1 references)
      target     prot opt source               destination         
      
      Chain ufw-track-output (1 references)
      target     prot opt source               destination         
      ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            ctstate NEW
      ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            ctstate NEW
      
      Chain ufw-user-forward (1 references)
      target     prot opt source               destination         
      
      Chain ufw-user-input (1 references)
      target     prot opt source               destination         
      
      Chain ufw-user-limit (0 references)
      target     prot opt source               destination         
      LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
      REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
      
      Chain ufw-user-limit-accept (0 references)
      target     prot opt source               destination         
      ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
      
      Chain ufw-user-logging-forward (0 references)
      target     prot opt source               destination         
      
      Chain ufw-user-logging-input (0 references)
      target     prot opt source               destination         
      
      Chain ufw-user-logging-output (0 references)
      target     prot opt source               destination         
      
      Chain ufw-user-output (1 references)
      target     prot opt source               destination         
      

      sagt mir leider im Moment noch gar nichts.
      Nur dass da kein INPUT ACCEPT mit Port 22 dabei ist, wird es wohl sein?

      Wo kann ich über die Funktion der UFW möglichst Laienverständliches nachlesen? :-O

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Nur dass da kein INPUT ACCEPT mit Port 22 dabei ist, wird es wohl sein?

        Ja. Du kannst auch den Port angeben statt 22. Für den Webserver dann 80 und ggf. 443.

        ~# sudo ufw allow ssh
        

        Wo kann ich über die Funktion der UFW möglichst Laienverständliches nachlesen? :-O

        https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-20-04-de

        1. Hello,

          herzlichen Dank!

          Nur dass da kein INPUT ACCEPT mit Port 22 dabei ist, wird es wohl sein?

          Ja. Du kannst auch den Port angeben statt 22. Für den Webserver dann 80 und ggf. 443.

          ~# sudo ufw allow ssh
          

          Wenn man weiß, wie es geht, ist es ganz einfach ;-)

          Wo kann ich über die Funktion der UFW möglichst Laienverständliches nachlesen? :-O

          https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-20-04-de

          Jetzt wird mir klar, wieso gerade aus digitalocean-Netzen soviele Angriffe kommen :-O

          DIE wissen, wie es geht.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. Danke erst einmal für den Dank.

            DIE wissen, wie es geht.

            Naja ich würde digitalocean nicht zu laut dafür loben. Die Tuturials stammen laut URLvon der Community und sind, „Äh”, „inhaltlich und qualitativ breit gestreut“. Das verlinkte Tutorial gibt es auch auf englisch und französisch, hat dann aber einen abweichenden Titel und bei der Sprachauswahl taucht die deutschsprachige Variante deshalb nicht auf…

            Ferner fehlt eine Katalogisierung und die Suche ... Ich bleibe mal höflich und schweige.

            Zusammengefasst: Schöne Mischung aus „Kraut und Rüben“ welche jede innere Struktur mindestens sorgfältig verbirgt.