Linux allgemein: Ordner bleibt nicht nach mkdir

[udo1toni]

dass ich meine nur im Haushalt erreichbaren Geräte gegenseitig wie Fort Knox zu schützen soll, das ist weiterhin für mich schwer zu verstehen...

Ja, das wird gerne missverstanden. Natürlich kannst Du in Deinem Netzwerk machen, was Du willst, auf der anderen Seite hast Du ja schon gemerkt, dass Du in gewisser Weise abhängig bist. Und was mal in Deinem LAN ist, kann auf alle Geräte im LAN zugreifen. Dabei ist die FRITZ!Box beileibe kein unschlagbarer Gegner. Der Sohn eines Arbeitskollegen hat mal mit einem Pi ein kleines System gebaut, um sich in "gesicherte" WLANs zu hacken und anschließend die Fremdsysteme zu manipulieren und nur weil das illegal ist, heißt das nicht, dass es nicht jede Menge Leute gibt, die das machen, nicht mal, um jemandem gezielt zu schaden, sondern weil sie es können.
Es geht schlicht darum, nicht mehr Angriffsfläche als unbedingt notwendig zu bieten, trotzdem allen Komfort zu haben und im Notfall alle Systeme auch ohne DAU-Software bedienen zu können

[filmgucker2]

...wobei man dann aber wohl davon ausgehen kann, dass für jene Menschen, die es schaffen,
die Fritzbox zu knacken, die Herausforderung, dann innerhalb des Netzwerkes diesen
Schutz auszuschalten, nicht allzu groß sein dürfte

[udo1toni]

Und das ist der Irrtum. ssh ist sicher. Wenn Du natürlich als Passwort "passwort" nimmst, brauchst Du Dich nicht zu wundern, wenn jeder reinspaziert.
Ich habe bei mir die Authentisierung per Passwort untersagt. Das heißt, ich benötige eine Schlüsseldatei, um mich per ssh zu verbinden.
Das ist dann ähnlich sicher wie meine zufällig ausgewürfelten WPA2 Passworte mit 63 Zeichen, die knackt niemand so schnell. Ja, es ist dann "etwas" unbequem, diese Passworte von Hand einzugeben (Kindle, Nintendo Switch), aber in den meisten Fällen reicht ja ein QR-Code (Smartphone, Tablet) oder eine Textdatei per USB-Stick (Laptops).
Einen Radius Server habe ich bisher aber auch nicht (das wäre eigentlich die bessere Variante, weil dann jeder Client ein eigenes Passwort hat)

Ansonsten gibt es natürlich in Jetty jede Menge potentielle Schwachstellen, weshalb openHAB auch niemals direkt ins Internet gestellt werden sollte. Deshalb gibt es ja myOpenHAB als Dienst (wobei ich ein VPN nutze - das ist mit wireguard echt komfortabel und ebenfalls sehr sicher - damit habe ich dann auf alle Dienste in meinem LAN Zugriff)

[filmgucker2]

Gehört zwar nicht ganz zum Thema , aber da bringst Du
mich auf was: Ich habe einen Yubico Key. Könnte ich nicht
den in meinen SSH PC stecken und mir damit das Passwort für meinen Openhabian Pi sparen? Und die Sicherheit wird drastisch erhöht

[udo1toni]

Für den ssh Zugang? Vermutlich. Wobei ich keine Ahnung habe, wie man so ein Teil dafür nutzt.

Die mit Public/Private Key gesicherte ssh Verbindung läuft ganz einfach, indem man ein Schlüsselpaar generiert, im Remote Rechner den öffentlichen Schlüssel hinterlegt und sich anschließend über den Private Key verbindet. Damit ich nicht jedes Mal das Passwort des Private Key eingeben muss, verwende ich einen Key Agent, eventuell lässt sich der Yubico an dieser Stelle einklinken. Vielleicht ist der Speicher auch groß genug, um den Private Key direkt auf dem Stick zu speichern, aber das wirst Du eher wissen als ich (weil ich so ein Teil gar nicht habe).

Wenn die Verbindung mal etabliert ist, kann man in /etc/ssh/sshd_config das Login mit Passwort verbieten und anschließend sshd neu starten. Zur Sicherheit sollte man Keyboard und Monitor bereit halten, um sich notfalls lokal anmelden zu können falls man sshd kaputt gemacht hat - aber gewöhnlich gibt es da keine Probleme.