Liebes Team von Nextbox!
Da ich seit dem Start der Nextbox von Seiten des Herstellers keinerlei Aktivitäten hinsichtlich einer Aktualisierung feststellte, weder beim Debian-Server noch bei Nextcloud, möchte ich wenigstens über ssh die Aktualisierung von Debian selbst in die Hand nehmen. 3 Monate ohne Aktualisierung geht einfach nicht.
Dazu benötige ich den ssh-Zugang.
Wenn es in der Beschreibung der Nextbox heißt, man benötige nur geringe Fachkenntnisse, so sollte die Einrichtung des ssh-Zugangs doch ein wenig erläutert werden. Für mich genügt es nicht, wenn ich lese, dieser Zugang könne in der nextbox-app angelegt werden. Dort wird ein öffentlicher Schlüssel verlangt. Der ist zunächst mit ssh-keygen anzulegen, aber wie geht es dann weiter? Reicht es, den öffentlichen Schlüsse wie verlangt mit paste einzugeben? Wie ist die Adresse? ssh nextbox@[server-ip]? Was passiert mit dem private-key?
Wenn aber debian 10 und die Dockerapp irgendwie verbandelt sind, dürfte vielleicht kein apt-get upgrade gemacht werden, oder?
Laufen UFW und fail2ban auf dem Server? Wie sind sie konfiguriert?
Exakt dies ist das von NextBox versprochene verhalten, mit einer Ausnahme: Natürlich gibt es Updates Dazu gibt es auch hier einen FAQ Eintrag: Software FAQ - Nitrokey Documentation
Grundsätzlich wird unattended-updates von Debian für Updates benutzt, welches per Definition und Name “unattended” ist, also keine Interaktion benötigt und entsprechend auch keine Nachrichten verschickt oder ähnliches. Wenn man sehen will was passiert, kann man die Logs runterladen und im Paket die unattended-logs anschauen, da ist geloggt wann, was ge-updated wurde.
Die NextBox(-App/-Daemon) Pakete selbst wird auch über diese Mechanik aktualisiert, die Version kann man auf der Übersichtsseite der NextBox sehen und ist in dem Zeitraum der letzten 3 Monate von 1.0.3 auf heute 1.0.9 ge-updated worden, inklusive diverser Bugfixes und kleinerer Features. Das nächste Update steht hier diese oder nächste Woche an.
Das ist eine, wenn nicht die standard-Mechanik, für Logins mit einem Schlüsselpaar die sehr verbreitet ist. Einige Informationen stehen bereits in “System Settings” (z.b. der User: nextuser) und als IP sollte man die lokale IP benutzen. Der private Schlüssel sollte auf dem Rechner verbleiben (der ist ein Geheimnis) und der öffentliche kann/soll wie dokumentiert in das Feld eingegeben werden in “System Settings” in der NextBox App.
Grundsätzlich darf man im System gerne selbst apt-get update und apt-get upgrade machen, es werden bestimmt zusätzliche Pakete geupdated (z.b. paar RPI spezifische Pakete) weil diese nicht als sicherheitsrelevant zählen und entsprechend nicht unattended-geupdated werden. Aber es ist ganz klar nicht nötig, da es unattended-upgrades gibt. Die Docker-Container empfehlen wir nicht zu updaten, damit macht man quasi unsere Mechaniken kaputt, also alles auf eigene Gefahr (apt-get upgrade übrigens natürlich auch).
Nein, die Laufen nicht auf dem Server, ist auch nirgends so beschrieben.
Ich habe SSH wie oben beschrieben eingerichtet und dafür den Pubkey verwendet, der an meinem Nitrokey FIDO2 hängt (eingerichtet wie hier beschrieben).
Allerdings verlangt das SSH-Login jetzt ein Paßwort.
Gibt’s eine spontane Idee, was ich falsch gemacht habe?
Dazu gibt es auch hier einen FAQ Eintrag: