Nach der Anmeldung als admin und dem zugehörigen Passwort muss man nur folgenden Befehl absetzen, die neue Lizenz als TXT in das SSH Fenster einfügen und mit CRTL+D den Befehl beenden.

system register

Die Befehle wären nach erfolgreichen Login folgende:

configure
time 01/25/2024
time 11:05:00
time
write memory
exit
exit
exit

Zeile 1 wechselt in den Konfiguration-Modus.
Zeile 2 erwartet das Datum in der Form MONAT/TAG/JAHR
Zeile 3 erwartet die Uhrzeit in der Form STUNDE/MINUTE/SEKUNDEN
Zeile 4 kontrolliert die Eingabe bzw. gibt die eingestellte Uhrzeit aus
Zeile 5 schreibt die Konfiguration (bootfest)

Zeile 6, 7 und 8: Man muss tatsächlich 3x exit eingeben um den Switch zu verlassen.

Installation unter Debian:

apt update && apt install map

Installation unter OSX:

brew update && brew install nmap

Welche Hosts laufen im Netz:

nmap -PE -sn -oG - 192.168.1.0/24

Alle Rechner im lokalen Netz mit offenen Port 443 (https) finden:

sudo nmap -oG - -p 443 192.168.1.0/24 | awk -F " " '/open/ {print }'

Mehrere Ports auf einmal scannen:

sudo nmap -oG - -p 22,80 192.168.1.0/24 | awk -F " " '/open/ {print }'

Die Ausgabe wäre dann etwa folgende:
Host: 192.168.1.12 () Ports: 22/closed/tcp//ssh///, 80/open/tcp//http///

Eine IP/Host auf beliebte offene Ports scannen (20 Stk.):

nmap --top-ports 20 192.168.1.12
nmap --top-ports 20 192.168.1.*
nmap --top-ports 20 192.168.1.0/24

Noch vieles mehr ist unter: https://www.elektronik-kompendium.de/sites/net/2104261.htm

Hier noch ein paar Namen die ich verwende:

• jumphost.systemtechnics.de (günstiger vServer im Rechenzentrum)
• st-raspi (lokaler RaspberryPi Server über den wir Tunneln
• 10.0.0.0/24 ist das interne Netz an dem der RaspberryPi hängt.

Nach dem erfolgreichen anmelden per SSH auf dem Jumphost müssen ein paar vorarbeiten geleistet werden, damit eingehende Verbindungen in den SSH-Tunnel weiter geleitet werden.
Dazu öffnen wir die Datei /etc/ssh/sshd_config und schreiben ans das Ende (oder suchen uns die passenden Kommentarzeilen aus):

GatewayPorts yes
ClientAliveInterval 60
ClientAliveCountMax=2

Damit die Änderungen angewendet werden starten wir mit service sshd restart den Daemon neu. 

Melden wir uns nun bei dem RaspberryPi mit SSH an. 

Wir erstellen uns zuerst ein Public- & Private- Key damit wir keine Passwörter bei der Verbindung zu unserem Jumphost benötigen. Dies geht am schnellsten mit

ssh-keygen -t rsa -b 4096
cat /root/.ssh/id_rsa.pub

Diesen Public Key fügen wir auf dem Jumphost in die Datei /root/.ssh/authorized_keys ein.

Wir können nun mit folgender Syntax eine Verbindung von unserem RaspberryPi zu unserem Jumphost starten und den Port ins das interne Netz weiter leiten.

ssh -p 22 -N -R 5101:10.0.0.10:5001 root@jumphost.systemtechnics.de

Im obigen Befehl verbinden wir uns mit Port 22 (-p 22), öffnen auf dem Jumphost (jumphost.systemtechnics.de) den Port 5101 (5101:10.0.0.10:5001) und leiten diesen an die interne IP-Adresse 10.0.0.10 (5101:10.0.0.10:5001) an den Port 5001 (5101:10.0.0.10:5001) weiter.

Mit einem Browser kann ich nun im obigen Beispiel auf meine Synology NAS von extern zugreifen: https://jumphost.systemtechnics.de:5101

Diese Verbindung ist dann natürlich nur offen so lange die SSH Verbindung besteht. Möchte man diesen Tunnel nun dauerhaft erhalten, so kann man das Tool autossh verwenden. Dessen Installation erfolgt Debian typisch wie folgt:

apt install autossh

Setzen wir nun an obigen Befehl folgendes voran, dann wird der SSH Tunnel im Hintergrund gestartet und am „leben“ erhalten.

autossh -M 0 -f -o ConnectTimeout=10 -o ServerAliveInterval=60 -o ServerAliveCountMax=2 -p 22 -N -R 5101:10.0.0.10:5001 root@jumphost.systemtechnics.de

Wer mag kann dies gerne noch über den Cron ( @reboot) auf dem RaspberryPi bootfest machen.

pico /etc/crontab

@reboot root autossh -M 0 -f -o ConnectTimeout=10 -o ServerAliveInterval=60 -o ServerAliveCountMax=2 -p 22 -N -R 5101:10.0.0.10:5001 root@jumphost.systemtechnics.de

Hier mal exemplarisch ein Bild von vSphere und einem vmWare 6.0 Server

Auf dem Source-Server wird SSH-Server UND SSH-Client benötigt, auf dem Ziel-Server reicht natürlich der SSH-Server.

Anschließend kann man die Maschinen auf dem neuen/anderen als neue VM registrieren.

fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 fail2ban-client status

Die Umsetzung ist denkbar einfach. Zuerst müssen wir uns natürlich korrekt auf dem System anmelden und im Anschluss die Datei /etc/issue.net editieren.

pico /etc/issue.net

Dort kann man die gewünschte Meldung eingeben und entsprechend speichern. Im Anschluss müssen die den SSH-Daemon dazu bringen diese auch zu verwenden. Dazu editieren wie die Datei /etc/ssh/sshd_config und suchen nach der Zeile Banner

pico /etc/ssh/sshd_config

Diese dann wie folgt einstellen. (In der Regel ist die Zeile auskommentiert)

# no default banner path

Banner /etc/issue.net

Nach dem Neustart des SSH-Daemon wird bei der Anmeldung vor dem Passwort Prompt die Meldung ausgegeben. (Siehe Bild oben)

service ssh restart

Bei der Authentifizierung mittels SSH-Keys (welches ich empfehle und bevorzuge), gibt es natürlich kein Passwort Prompt. Die Meldung wird dann aber trotzdem ausgegeben.

/usr/lib/python2.7/dist-packages/paramiko/ecdsakey.py:164: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
 self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python2.7/dist-packages/paramiko/kex_ecdh_nist.py:39: CryptographyDeprecationWarning: encode_point has been deprecated on EllipticCurvePublicNumbers and will be removed in a future version. Please use EllipticCurvePublicKey.public_bytes to obtain both compressed and uncompressed point encoding.

Abhilfe schafft das Python Modul aus den Buster Backports zu verwenden. Dazu muss entsprechend die sources.list bearbeitet werden.

pico /etc/apt/sources.list

Und eine weitere Zeile (sofern nicht schon vorhanden) hinzugefügt werden:

deb http://ftp.debian.org/debian buster-backports main

Wie immer müssen dann die Sourcen neu geladen werden und anschließend kann man von den Backports das aktuellere Modul installieren.

apt update && apt -t buster-backports install "python-paramiko"

Zuerst machen wir den Accesspoint stromlos. Anschliessend drücken wir den Reset-Pin und halten diesen gedrückt während wir den AP wieder mit Strom versorgen. Nach ca. 10 Sekunden sollte man den Reset-Pin los lassen. Die LED am Accesspoint hören kurz auf zu leuchten.
Während des Neustarts sollte man das Gerät nicht ausschalten!

Nach dem Reset hat der Accesspoint die IP Adresse 192.168.1.20 sofern im Netz kein DHCP läuft. Benutzername/Passwort lautet: ubnt/ubnt .

Unter dem Downloadportal von Unifi ( https://www.ui.com/download/ ) kann man sich z.B. mit wget eine aktuelle Firmware passend zum eigenen Produkt herunter laden. Dieses kann man anschliessend mittels scp auf den Accresspoint speichern.

scp BZ.ar7240.v4.0.15.9872.181229.0259.bin ubnt@192.168.1.20:/tmp/fwupdate.bin

Nach dem Upload kann man sich mittels ssh aus den Accesspoint Verbindung und folgenden Befehl eingeben:

syswrapper.sh upgrade2 &

Nach dem Neustart ist die Firmware aktuell.

ping -o W.X.Y.Z ; ssh W.X.Y.Z

oder

ssh -o ConnectTimeout=480 -o ConnectionAttempts=12 W.X.Y.Z