wer von Linux den Button Terminal hier kennt wird sich ueber diesen Fundus freuen, einfach die Applikation in Finder draggen und droppen und schon kann man den Terminal aus dem Finder heraus oeffnen.

Zum Google-Code-Projekt

Einfach einem DIV die ID outID geben und schon wird der Text aus var str von Geisterhand getippt.

Zunaechst installieren wir das Grundpaket
aptitude install openvpn

Nun wechseln wir in das Konfigurations-Verzeichnis
cd /etc/openvpn/

Jetzt kopieren wir Scripte zum Generieren der PKI und gehen in dieses Verzeichnis
cp -r /usr/share/doc/openvpn/examples/easy-rsa/ . && cd easy-rsa/2.0

Jetzt passen wir die Umgebungsvariablen hierfuer an
edit vars

Jetzt noch alles ausfuehren
. ./vars && ./clean-all && ./build-ca

Nun koennen wir die Schluessel fuer den Server erstellen (der Parameter server ist der beliebige Server-Name)
./build-key-server server

Anschliessend die Schluessel fuer einen Client
./build-key client1

Und jetzt noch den Diffie-Hellman-Key
./build-dh

Jetzt sind alle erforderlichen Schluessel generiert.

Jetzt muessen wir nur noch die fuer Clients erforderlichen Schluessel auf die Clients bekommen, hierfuer gibt es viele verschiedene Varianten, ich benutze hier SCP um die Files zu transportieren, andere Moeglichkeiten sind Mail, FTP, SFTP, Samba ...

Ich erstelle ein Verzeichnis und taufe es needed, dieses Verzeichnis zieh ich anschliessend per SCP auf den jeweiligen Client.
mkdir needed && cp ca.crt needed && cp client1.crt needed && cp client1.key needed

Jetzt noch den SSH_User angeben
chown SSH_USER needed && chown SSH_USER needed/* && mv needed /home/SSH_USER

client~$ scp -P 22 -r SSH_USER@host:/home/SSH_USER/needed .

Unter Mac mit Tunnelblick:

client~$ mv needed/* ~/Library/Application\ Support/Tunnelblick/Configurations/

Wieder zurueck am Server holen wir die Keys ins Konfigurations-Verzeichnis
srv:/etc/openvpn/easy-rsa/2.0# cd ../.. && mv easy-rsa/2.0/keys .

Jetzt holen wir eine Beispiel-Konfiguration
srv:/etc/openvpn# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz . && gunzip server.conf.gz

... und dieses bearbeiten
edit server.conf

Folgende Punkte sollten bearbeitet werden (die route muss an das eigene Netz im LAN angepasst werden.

port WXYZ # anything > 49151 < 2^16-1
proto tcp
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
push "route 10.0.0.0 255.255.255.0" #beispielsweise 192.168.1.0 ...

Nun noch am Server IP-forwarding aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward

... und fertig ist die Laube.

Voraussetzungen

• Samba *
• Netzinformationen (eine IP-Adresse) um die Netzadresse zu bestimmen;
  Bsp: 192.168.1.1 -> 192.168.1.0 / 24

Zunaechst bearbeiten wir die Konfigurationsdatei mit einem beliebigen Editor wie nano, pico oder vim:

srv: root# nano /etc/samba/smb.conf

Folgende Punkte muessen ueberarbeitet bzw aktiviert (ent-aus-kommentiert ) werden:

• interfaces mit folgenden Moeglichkeiten:
• interfaces = eth0
• interfaces = 192.168.0.0 / 24 sprich Netzadresse und Subnet
• bind interfaces only
• bind interfaces only = yes
• security = user

Hier ein Template fuer eine Netzlaufwerk:


[NAME] #Der Name des Netzlaufwerks, unter diesem wird es verfuegbar sein
comment = Desc #Eine Beschreibung oder Kommentar
browseable = yes #Ob es im Explorer angezeigt werden soll
read only = no #Ob geschrieben werden darf (Files erstellen)
# Siehe http://de.wikipedia.org/wiki/Unix-Dateirechte#Grundlegende_Rechte
# Wenn die Grp Schreib- und Leserechte haben soll: 0775
create mask = 0700
directory mask = 0700
guest ok = no #Gastzugang erlauben
path = /path/to/dir
valid users = %S # oder eine Auflistung der erlaubten User: hans, michael


Nun muss Samba nur noch wissen welche User, die bereits im System existieren, Samba benutzen duerfen, hierzu wird erst geadded:

smbpasswd -a USER

und anschliessend enabled:

smbpasswd -e USER

BTW: USER ist auch der gleiche Name wie er ggbf ins smb.conf-File zu schreiben ist.

Nach einem Neustart per /etc/init.d/samba restart sind die Shares auch schon verfuegbar.
Unter Windows lassen sie sich einfach per Arbeitsplatz -> Extras hinzufuegen und unter Mac mit CMD+K wenn man sich im Finder befindet.

Eine weiterfuehrende Anleitung, um Samba auch aus dem Internet erreichbar zu machen, findet sich bei OpenVPN Einrichtung.

* - Samba laesst sich unter Linux fuer gewoehnlich bequem per Paketmanager wie apt (apt-get install samba oder aptitude (aptitude install samba) installieren.

===
Kurzanleitung:

edit /etc/samba/smb.conf

interfaces = 10.0.0.0/24 # ODER eth0
bind interfaces only = yes
security = user

[NAME]
comment = Beschreibung
browseable = yes
read only = no
create mask = 0700
directory mask = 0700
guest ok = no
path = /path/to
valid users = %S

smbpasswd -a USER
smbpasswd -e USER


• Unixoides Server-Betriebssystem
• Unixiodes Client-Betriebssystem
• SSH-Server
• SSH-Client
• Benutzer dem wir SSH erlauben wollen (spaeter ssh_user genannt) *

Zunaechst erstellen wir am Client das RSA-Schluesselpaar (alternativ kann man auch analog hierzu DSA verwenden):

client$ ssh-keygen -t rsa

Der folgende Dialog erfragt Speicherort (Default: ~/.ssh/) und Passphrase (Kennwort).

Nach dem Erstellen des privaten und oeffentlichen Keys koennen wir nun den oeffentlichen Schluessel auf den Server kopieren:

client$ cat ~/.ssh/*.pub | ssh user@host 'umask 077; cat >>.ssh/authorized_keys'

Die Schluessel sind fertig, nun koennen wir SSH fertig konfigurieren. Hierzu editieren wir das Config-File (Default: /etc/ssh/sshd_config). Den Editor hierfuer kann man natuerlich frei waehlen, fuer Kleinigkeiten nutze ich gerne nano oder pico, empfehlenswert ist auch vi bzw vim.

srv: root$ nano /etc/ssh/sshd_config

Geaendert werden folgende Einstellungen:

• Port beliebig >= 49152
• AllowUsers ssh_user
• AuthorizedKeysFile %h/.ssh/authorized_keys
• ChallengeResponseAuthentication no
• PasswordAuthentication no
• UsePAM yes

Folgende Punkte muessen gesucht (In nano strg+w; in VI/VIM /) und bearbeitet bzw hinzugefuegt werden:

srv: root$ nano /etc/ssh/sshd_config

Nach einem SSH-Server-Neustart kann man bereits sein gesichertes Werk benutzen.

Eine weitere Moeglichkeit zum Sichern ist ein SSL-VPN-Tunnel á la OpenVPN und den SSH-Server nur auf eine interne LAN-IP listen zu lassen (ListenAddress W.X.Y.Z). Eine Anleitung hierzu findest du hier auf Szenenews.

* - Ein Benutzer laesst sich leicht per adduser NAME hinzufuegen.

Username: XQvfPUoO19_ai64j
Passwort: GtwdTdMRgfUIMFwoAU5m

Da diese Daten bei allen Geraeten gelten ist eine Aenderung der Daten unter Erweitert -> Benutzer waermstens empfohlen.