Sichere Punkt-Zu-Punkt-Fernwartung einfach erklärt
Egg, 4. Mai 2023: Im heutigen Beitrag soll es um das komfortable Arbeiten mit X2Go unter Linux mit der ArchivistaBox bzw. auch mit AVMultimedia gehen. Dabei wird aufgezeigt, warum sich die Freude bei Teamviewer und Co. bis heute in Grenzen hält. Ebenfalls an dieser Stelle wird “verraten”, warum für die Sommermonate ein Auftragsstopp erfolgt.
Fernwartung bei der Archivista GmbH
Seit mittlerweile 20 Jahren arbeitet die Firma Archivista GmbH fast ausschliesslich mit Linux. Weit über 15 Jahre im übrigen mit der ArchivistaBox, denn diese wurde intern immer auch als Desktop-Umgebung verwendet. Natürlich gibt es ein zwei virtuelle Gäste, auf denen Windows läuft. Zudem steht seit zwei Jahren bei Bedarf auch ein Apple-Rechner zur Verfügung. Doch wie gesagt, die tägliche Arbeit ohne Linux, undenkbar.
Seit vielen Jahren begleitet uns dabei SSH (Secure Shell). Natürlich mag eine Fernwartung über die Konsole auf den ersten Blick mehr als archaisch erscheinen, jedoch lässt sich über diese auch mit extrem schlechter Bandbreite sehr effizient arbeiten. Sowohl für die Smartphones (JuiceSSH) als auch unter Windows (Putty) gibt es Clients. Die Fernwartung über SSH ist immer Punkt-zu-Punkt verschlüsselt. Dies erfordert zwar in aller Regel Anpassungen bei den Firewalls, jedoch dient dies der Sicherheit — und darum ergibt auch dies seinen guten Sinn.
VNC – der gute alte Begleiter
Geht es darum, dass ausnahmsweise im Support doch ein grafischer Bildschirm verfügbar sein soll, z.B. um dem Kunden auf einer ArchivistaBox direkt Funktionen zeigen zu können, leistest bis heute VNC gute Dienste. Das Protokoll ist trivial, die Technik zwar bereits etwas älter, doch sofern VNC über den sicheren Kanal SSH läuft, lassen sich VNC-Sitzungen sehr einfach und wiederum Punkt zu Punkt aufbauen. Nachteil dieser Lösung ist einzig, dass bei wenig Bandbreite VNC mitunter sehr träge reagiert.
Erfahrungen mit TeamViewer und Co
Fernwartung ohne Konfiguration versprechen Lösungen wie TeamViewer oder AnyDesk. Dabei stellen die Hersteller Server zur Verfügung, damit faktisch keine Konfiguration sowohl beim Empfänger wie beim Sender notwendig ist. Die Problematik mit dem “Dritten” besteht ganz grundsätzlich darin, dass damit dieser technologiebedingt immer mithören kann. In 25 Jahren Firmengeschichte gab es im Kontakt mit Firmen viele Sicherheitskonzepte. Mit einem gewissen Erstaunen in den letzten Jahren musste jedoch zur Kenntnis genommen werden, dass gerade Firmen, die extrem hohe Anforderungen an einen Fernzugriff haben, oft kein Problem darin sehen, wenn die Mitarbeitenden mal schnell zu TeamViewer greifen. Dabei stellen (selbst “gutmütige”) Dritte immer Sicherheitsproblem dar.
Mehr noch “stört” bei TeamViewer das Lizenz-Management. Ursprünglich zahlte jener, welche die Fernwartung im kommerziellen Umfeld wollte. Später hiess es, dass der Einsatz nur für Private kostenfrei sei. Schon dabei stellte sich die Frage, ob ein Privatkunde, der zu einer Remote-Sitzung einlädt zum Firmenkunden mutiert, wenn er z.B. kostenpflichtigen Support bei der Archivista GmbH bezieht? Gemäss eigener Erfahrung war dem so. Fast jährlich gab bzw. gibt es neue “Regeln” bei der Nutzung — meist mit entsprechend satten Preiserhöhungen.
Neuerdings lässt sich TeamViewer nur noch mit einer Registrierungspflicht einsetzen. Daher werden wir in Zukunft TeamViewer nur noch dann einsetzen, wenn der Kunde uns sämtliche Lizenzen und Konten zur Verfügung stellt.
X2Go passt wunderbar zur ArchivistaBox und AVMultimedia
X2Go ist eine Fernwartungssoftware (analog zu RDP unter Windows), die spezifisch zur Fernwartung von Linux-Umgebungen geschaffen wurde. Dadurch, dass die Sitzungen bei X2Go über den SSH-Port laufen, ist X2Go State of the Art, was Sicherheit angeht. Ebenfalls ist (wie hier aufgezeigt wird) X2Go einfach einzurichten und zu nutzen.
Bei X2Go wird immer zwischen einem Client und einem Server unterschieden. Der Client ist jener, welcher einen anderen Rechner steuern möchte und der Server stellt der zu steuernde Rechner dar. Im Standardumfang ist X2Go weder auf der ArchivistaBox noch auf AVMultimedia enthalten. Jedoch, die beiden Komponenten lassen sich einfach “nachrüsten”.
Nachfolgend wird die Installation von und zu einer ArchivistaBox beschrieben. Im Prinzip lässt sich die Anleitung für beliebige Umgebungen erweitern. Als “Server” ist “einfach” Linux notwendig, für den Client gibt es Programme für Windows, Mac und Linux. Zurück zur Installation auf einer ArchivistaBox bzw. AVMultimedia. Entweder sind über das Menü bzw. dort ‘Synaptic’ die Pakete zum Server zu installieren oder dann kann der X2Go-Server über die Konsole (als root) aktiviert werden:
apt update apt install x2goserver
Mehr ist nicht notwendig, der X2Go-Server wird automatisch gestartet. Auf dem Client sind zwei Schritte erforderlich. Erst einmal ist das Paket zu aktivieren (Synaptic oder ebenfalls als root):
apt update apt install x2goclient
Der Client ist eingerichtet, jedoch ist dieser manuell zu starten. Entweder findet sich ein Eintrag im Start-Menü oder dann kann auf der Konsole (diesmal Benutzer archivista) das Programm gestartet werden:
x2goclient
Nach dem Start erscheint das folgende Fenster:
Um eine Sitzung zu erstellen, ist das Menü ‘Sitzung’ und dort ‘Neue Sitzung’ (bzw. Ctrl+N) zu wählen:
Tragen Sie die gewünschte IP-Adresse (DNS-Name) ein. Port 22 ist allfällig durch jene Adresse zu ersetzen, welche in der Firewall für den SSH-Zugriff festgelegt wurde und beim Benutzer verwenden Sie zwingend ‘archivista’, da es auf der ArchivistaBox bzw. AVMultimedia nur diesen Benutzer gibt. Damit der Remote-Zugriff klappt, muss weiter der Desktop angegeben werden, wobei in unserem Fall ‘Mate’ erforderlich ist. Abgeschlossen wird der Vorgang mit ‘OK’. Rechts erscheint ein Eintrag in der Leiste.
Mit Klick auf den Titel des Eintrages (markiert durch roten Punkt) wird der Verbindungsaufbau gestartet. Das Passwort des Benutzers ‘archivista’ des entfernten Rechners ist einzugeben.
Nach dem Bestätigen der Eingaben erfolgt entweder direkt der Desktop oder es erfolgt allfällig (beim ersten Zugriff) noch eine Nachfrage betr. des Fingerprints.
Der Desktop mit 800×600 Pixeln mag klein erscheinen, doch lässt sich der Desktop virtuell durch Vergrössern des Fensters beliebig anpassen. Es steh nun der gesamte Desktop der ArchivistaBox zur Verfügung. Einzige Einschränkung ist Firefox. Hier ist notwendig, dass Firefox zuvor auf dem “richtigen” Desktop nicht gestartet sein darf.
Abschliessend darf festgehalten werden, dass mit X2Go eine sehr einfache quelloffene Remote-Umgebung für Linux-Rechner (hier im speziellen für die ArchivistaBox bzw. AVMultimedia) zur Verfügung steht. Und weil der Client (nachfolgend ein Beispiel einer Sitzung einer ArchivistaBox aus Windows11 heraus) für alle gängigen Betriebssysteme Windows, Mac und Linux zur Verfügung steht, lässt sich X2Go sehr universell nutzen.
Die Möglichkeiten von X2Go sind fast unbeschränkt. Mit den richtigen Einstellungen (sshfs-Paket unter Linux) können z.B. Ordner “ausgetauscht” (Sharing) werden. Ebenso ist es mit dem Paket ‘x2goserver-desktopsharing’ möglich, gemeinsam Remote-Sitzungen durchzuführen.
Bleibt noch die Frage zu klären, warum die ArchivistaBox bzw. AVMultimedia aus der Ferne (abgesehen von Support-Sitzungen) genutzt werden soll. Die Antwort ist einfach. Auf der ArchivistaBox bzw. AVMultimedia finden sich viele hochkarätige Desktop-Anwendungen (insbesondere im Bereich der Video-Bearbeitung). So sehr diese Anwendungen auch auf einem leistungsfähigen Notebook laufen können, so sehr bieten Desktop-Rechner noch immer deutlich mehr Leistung und Speicher als dies bei Notebooks der Fall ist.
Weiter können Remote-Sitzungen auch als Alternative zu VPN-Diensten wie ProtonVPN ergeben. Bei privaten VPN-Diensten wird von unterwegs zwar so auf andere Rechner zugegriffen, als würde sich mein Rechner anderswo befinden. Jedoch erfolgt dies über den Dienstleister (z.B. die Firma Proton). In aller Regel merkt der aufgerufene Dienst (z.B. Streaminganbieter) dabei nicht, dass mein Rechner etwas vorgaukelt. Rechtlich betrachtet ist unklar, ob nicht doch die Regeln des Landes gelten, von wo aus der ursprüngliche Zugriff aus erfolgt. Bei einer verschlüsselten Remote-Sitzung über den eigenen heimischen Rechner darf die Rechtsklage als klar “gelten”, der Zugriff erfolgt vom Serverstandort des X2Go-Servers aus.
Auftragsstopp Sommer 2023
Die Firma Archivista GmbH feiert in diesen Monaten ein Vierteljahrhundert Firmengeschichte. Der Alltag ist auch nach 25 Jahren spannend wie befruchtend. Allerdings ergibt sich nach dieser langen Zeit (nicht zuletzt befeuert durch die Möglichkeiten des Internets bzw. Remote-Zugriffe wie obenstehend beschrieben) doch auch der Wunsch nach längeren Auszeiten. Aus diesem Grunde werden die Sommermonate Juni, Juli und August dazu genutzt, neue Kräfte zu tanken.
Daher werden ab dem 5. Juni (d.h. von heute an gerechnet in einem Monat) keine neuen Aufträge für die Zeit bis in den tiefen August 2023 angenommen. Selbstverständlich sind davon die Wartungsverträge nicht betroffen. Alle Kunden erhalten je nach Service-Level innert 4 (Platin) oder 8 (Gold-Level) Stunden Businesszeit Support.
Dagegen werden in dieser Zeit keine Schulungsaufträge oder neue Projekte mehr angenommen bzw. ausgeführt. Bei Bestellungen im Web-Shop ist mit einer Verzögerung von einigen Tagen zu rechnen, wobei die Verfügbarkeit der Produkte erst nach einer Bestellung per Mail bestätigt werden kann. Sollten zur Verfügbarkeit unserer Dienstleistung Fragen bestehen, so stehen wir gerne per Mail unter webmaster@archivista.ch oder unter Telefon +41 44 350 05 50 zur Verfügung.
Update 12. Juni 2024: Aktuell (Version 15) scheint die Kontopflicht bei Teamviewer aktiviert zu sein. Mittlerweile steht für den Support die Lösung mit Pagekite zur Verfügung.