Nur OnTopic Cloud Storage in EU gesucht

[rblok]

Hast Du es jetzt hinbekommen?

10.15.7 = Catalina (meine ich ausm Gedächtnis heraus)
Bei Catalina wurde smb v1 und v2 erstmalig standardmässig abgeschaltet (Absolut mit Recht!!). Geht aber trotzdem über Umwege - was ich ausdrücklich nicht empfehle!

-> Also: Quatsch, wer behauptet, das Catalaina smb-mässig zu alt ist und aktuelles smb nicht supportet...

Hetzners Storagebox kenne ich nicht im Detail.
Auch wenn Du die Fehlermeldungen vielleicht nicht zuordnen kannst, es ist viel einfacher Dir zu helfen, wenn Du diese hier zumindest angedeutet mitteilst.
Achte natürlich darauf, keine IPs, Hostnames, Useraccounts, PW, oder ähnliche sensible Infos zu posten.
Der Fehlercode/String oder Hinweis führt zumindest in eine gewisse Richtung, wo man ansetzen kann.

Daher ist alles weitere ein rumgesuche nach der Nadel im Heuhaufen. Dennoch wage ich zu fragen:


Mit FTP über TLS meinst Du konkret FTPS? (SFTP ist nicht gleich FTPS - ein riesen Unetrschied)
Unabhängig davon: Das funktionieren wirklich all die Protokolle nicht?
Wenn ja: Sehr Strange.
Sieht für mich erstmal nach nem generellem Problem im Netz/FW aus.
Gehen andere Server mit den genannten Protokollen im Internet?
Man könnte auch das cifs protokoll erstmal versuchen (sollte aber niemals dauerlösung werden)
Im Finder unter mit Server verbinden: "cifs://user:pass@hostname/sharename" evtl ist bei Hetzner die smb v3 Version standardmässig nicht aktiv.

Du bist dir auch 100% sicher, das Du entsprechende Protokolle in der Hetzner-GUI aktiviert hast?

Siehe 1)
https://docs.hetzner.com/static/abeed496ee043d83d99887c89b933930/5a190/EN_StorageBoxGeneral2022.png

Siehe 2) - Man beachte und verstehe die ganz kleine Fussnote 1 im Link
https://docs.hetzner.com/de/robot/storage-box/access/access-overview

Wenn Du diese Dinge klargestellt hast, erst dann ist es überhaupt möglich Dir adäquat zu helfen.
(Falls Du möchtest)

Und vorab: Ich rate davon ab weder smb (v1,v2,v3), cifs, ftp, webdav noch sonstiges Zeugs was iwie ohne private-/pubkeys via Inet läuft dauerhaft zu nutzen.

Für das rantasten bzgl Fehlereingrenzung ok - aber danach: Abschalten!

Weil ich iwo gelesen habe "will ssh Zugang ohne jedes mal das PW einzugeben"...
1) hoffe damit meint keiner das er nen ssh user ohne pw anlegt
2) selbst password only (ohne ssh-keys) ist fahrlässig
3) private-/pubkeys sind mindestvoraussetzung wenn man nen server ans Inet hängt, der via ssh erreichbar ist
4) Niemals einen private key ohne PW erstellen!
5) Es gibt sehr komfortable Möglichkeiten - für die faulen Leute (kenne es selbst - Server die jetzt eher unkritisch sind richte ich ebenfalls so ein)
-> es gibt zB beim Mac die Möglichkeit, sich unter ~/.ssh/ (also user dir/.ssh) eine config datei zu erstellen.
-> würde dann Beispielhaft so aussehen

cat /Users/sequetron/.ssh/config

Host vollhonk-schlagmichtot.ru
    IdentityFile ~/.ssh/privkey_vollhonk-schlagmichtot.ru
    UseKeychain yes
        AddKeysToAgent yes
        User vollhonkuser

-> Dh beim ersten anmelden wird man gefragt ob man sein privkey pass in der keychain ablegen will. Bei bestätigen, ist es somit darin gespeichert. Und ab sofort gibt es keine Passwortabfragen mehr.
-> Wie gesagt: Nur bei eher unkritischen Servern verwenden - denn wenn man die iCloud Keychain aktiv hat, wird das PW natürlich in Apples Cloud gesynct und man hat es auf allen anderen Apple Devices...

Hui, du hast dir aber sehr sehr viel mehr Mühe gemacht als das Thema (mir) wert war. Vielen Dank für das tolle Hilfsangebot!!

Was ich bei Hetzner als sehr positiv rausstellen mag: man kann den Zugriff auf die Box komplett im Webinterface abstellen. HAb ich nich nirgendow anders gesehen. Wenn die das jetzt noch mit ner Zeitrsterung verbinden…

Ich will deinen ausführlichen Post ungern Stück für Stück durchgehen, aber Stand ist: auch der Mount über Samba funktioniert, war allerdings eh nur Nice-To-Have. Zugriff für FTP und Derivate (SFTP, TLS…) funktioniert über Client (vermutlich zu alt) nicht, da aber scp und sftp übers Terminal funktionieren, ist das recht.

Deine Einstellung über passwortlose SSH-Zugriffe teile ich absolut. Ein Backup mit RSA zu verschlüsseln und dann ohne PW irgendwo hin zu legen, ist fragwürdig.

Das einzige was ich bei Hetzner nicht hinbekomme, und es macht mich irre, ist Folgendes: Zugriff über SSH mit und passwordless-SSH funktioniert von meinem Desktop aus. Und von meinem Raspi (=Backup-Rechner) aus NICHT. Selbst wenn ich das PW bei beiden Rechnern über die Zwischenablage reinkopiere, es also identische sein müssen. EINSELF!! Und: es ging bevor Hetztner meine BOX innerhalb umgezogen hat.

Liegt aber vermutlich an meiner verwarzten Ubuntu-Server-Installation aufm Raspi. Will neu aufgesetzt werden, da bin ich prinzipiell auch offen für Empfehlungen, ich hab die Zwischenablage & den gpg-agent nie 100% hingekriegt. Meine Anforderungen sind simpel: VNC für Zugriffe übern Desktop, daher auch irgendein Windows-Manager, GPG-Agent für ewiglanges Passphrase-Caching.

 

[sequetron]

Ja dann scheinst Du ja von den Basics her erstmal glücklich zu sein.

Ich meine, langsam nachvollziehen zu können wie Deine Umgebung in etwa aussieht.

----

Wenn die das jetzt noch mit ner Zeitrsterung verbinden…

Hetzner nennt die Konfigurations-Webgui offenbar "Robot"... Wie gesagt - ich kenne das Produkt bislang nicht.
Aaaaaber: Es gibt hierfür eine API - supi!!! und die ist ja eh vieeel charmanter! Dh Du müsstest dir zwar ein eigenes Script bauen, was dann zeitgesteuert iwo abgefeuert wird (zB cron-job auf nem Linux - gibt tausende Möglichkeiten...). Dieses skript steuert "von aussen" deine Storagebox.

Schau mal in deren API-Doku hierzu rein. Ich denke, POST /storagebox/{storagebox-id} ist das, was Du benötigst:
https://robot.hetzner.com/doc/webservice/de.html#post-storagebox-storagebox-id

Wobei ich jetzt schon sehe, das die Beispiele von Hetzner leiblos zusammengewürfelt wurden.
Gerade bei POST /storagebox/{storagebox-id} ist es unklar was das Ding genau macht/kann...
Aber im Zweifel einfach mal etwas rumtesten.

Ohne selbst testen zu können, müsstest Du aber auf deinem Mac im Terminal (oder auch vom Raspi aus) zB WebDAV mit diesem One-liner steuern können. Dh einfach die Daten gemäss Deinen austauschen und direkt so ins Terminal eingeben.
WebDav per Terminal einschalten:

curl -u user:password https://robot-ws.your-server.de/storagebox/123456 -d webdav=true

WebDav per Terminal abschalten:

curl -u user:password https://robot-ws.your-server.de/storagebox/123456 -d webdav=false

BEACHTE 1: Teste nur mit Daten, die nicht wichtig sind (nicht das du aus Versehen iwas Wichtiges löschst)
BEACHTE 2: Richte am besten einen zweiten User ein, der (idealerweise) nur eingeschränkten Zugriff auf die Funktionen hat, die Du auch wirklich via API nutzen willst. Wenn möglich: Tokens nutzen! Gund: Anscheinend kann man auch via API zB Server löschen, neue Produkte bestellen, etc... Das sollte ein "Skript-User" natürlich auf keinen falll iwie machen dürfen...

-----

da aber scp und sftp übers Terminal funktionieren, ist das recht.

ssh, scp und sftp basiert exakt auf dem gleichen Grundkonstrunkt also und den gleichen ssh-keys, die Du auf deinem Desktop Rechner abgelegt hast. Bei Mac ist es: unter /Users/deinUsername/.ssh/ abgelegt auf Linuxen unter /home/deinUsername/.ssh/
Dh: Genau deshalb geht bei Dir problemlos ssh, scp und sftp...

----

und es macht mich irre, ist Folgendes: Zugriff über SSH mit und passwordless-SSH funktioniert von meinem Desktop aus. Und von meinem Raspi (=Backup-Rechner) aus NICHT. Selbst wenn ich das PW bei beiden Rechnern über die Zwischenablage reinkopiere...

Möchte nicht unhöflich sein - aber offenbar hast Du nicht wirklich verstanden wie das ssh keys Konzept funktioniert.
Hast Du Dir das hier mal angeschaut?
https://docs.hetzner.com/de/robot/storage-box/backup-space-ssh-keys

Was konkret meinst du mit PW kopieren? Das PW für den private Key? Oder den Key selbst?
- Wobei man grundsätzlich NIEMALS (never nada) einen private key auf mehreren Rechnern und Usern teilt (oder rumkopiert).
- Der Begriff Private Key sagt es ja aus: Er ist "privat". Dh jede Identität (ob rechner bzw user) haben gefälligst ihre eigenen private keys zu haben.
- die Anleitung bei Hetzner scheint steinalt zu sein. RSA ist steinalt und legacy.
- ed25519 ist state of the art. Grund: viel schneller und sicherer als RSA.
- Falls Du es wasserdicht-safe machen möchtest (Du scheinst ja aufgrund Deiner Präferenz bzgl Standort in Deutschland Wert auf security zu legen) kann ich Dich gerne unterstützen.

----

Ubuntu-Server-Installation aufm Raspi.

Vermutlich hast Du nen 4er Raspi? Der hat ja genug Power für ein echtes Desktop System mit Window-Manager ala Gnome, etc... Für 3er Versionen würde ich Raspbian nutzen...


- Grund (nur fiktiv als Beispiel): Stell dir vor, jemand hackt deinen Raspi (weil raspis meist bastelkisten sind...) und schnappt sich den private key deines Hetzner ssh Accounts.
a) Es gibt keine Möglichkeit für dich zu unterscheiden welche PCs Zugriff haben/hatten oder den Raspi Key easy zu sperren
(dies ist aber eher noch harmlos)
b) Der "Unfugtreiber" kommt ja via ssh ran... Er kann dann zB einfach dein Account-Passwort auf der Hetzner Kiste ändern, deinen ssh pub-key löschen und statdessen seinen eigenen hochladen. Du kommst erstmal nicht mehr rein. Rest kann man sich denken. Gerade wenn der "Unfugtreiber" schlau ist und das an einem Wochenende macht...

----

Auch wenn es den Anschein macht: Ich möchte nicht Klugscheißen oder Wichtigtun. Im Gegenteil - ich freue mich immer wenn Leute bereit sind security-technisch und in Bezug auf Datensparsamkeit zu achten. Ich habe schon wirklich einiges erlebt - es reicht eine kleine Unachtsamkeit aus und renommierte Firmen/Krankenhäuser/Schulen/Privatleute fangen sich ne Ransomware ein und werden gebeten Bitcoins zu überweisen. Sowas wünsche ich echt niemandem.

Zudem hab ich auch selber aus diesem Thread gelernt: Hetzner ist bzgl der Storagebox von 1TB für 4€ unschlagbar. 13€ für 5TB... Der Hammer!
Zudem bieten sie anscheinend seriös alles was man benötigt um den Space mittels diverser Protokolle/APIs so anzupassen, wie man es gerne hat.

Ich denke, wenn meine Laufzeiten beim bisherigen provider auslaufen, wage ich das Hetzner-Experiment
Auch das ist ein Grund weshalb ich mich da etwas tiefer informiert habe.

Eine Frage hätte ich an Dich: Wie sieht es mit der UL/DL Raten bei Hetzner aus?
Klar am Handy brauch ich keine hohe Performance. Aber wenn man zb Images vom Storageserver auf andere externe Server hin- und herschieben will, macht es sich durchaus bemerkbar.
Habe nur adhoc gelesen, es soll nicht wirklich prickelnd sein. Wobei man für 4€/1TB auch keine Performance-Höchstleistungen erwarten darf.

 

[sequetron]

Hat er verweigert, mit ner nicht zuordenbaren Fehlermeldung. Hab aber auch (noch) nicht ins Log geguckt. Aber bei SMB schickt er doch User & Pass unverschlüsselt, oder?

@rblok @fairplay

Hatte neulich das gleiche Problem als ich im Finder smb/cifs im Inet mounten wollte.
Ursache lag gar nicht am Client (Mac) sondern im Router (zB ist in der Fritzbox standardmässig Netbios deaktiviert).

Hetzner weist sogar direkt auf die Fritzbox hin:
https://docs.hetzner.com/de/robot/storage-box/access/access-samba-cifs/
Was ich etwas leichtsinnig finde.

Netbios ist zurecht in der Fritzbox nach- und von außen geblockt!
Es hat seinen Sinn! smb/cifs ist veraltet und sollte höchstens im LAN eingesetzt werden (was ich aber auch eher meiden würde).
Daher, wenn - dann nur kurzzeitig Netbios in der Fritte freischalten.

Besser ist es über Webdav auf die Storagebox im Finder zuzugreifen!

Übrigens - die Storagebox habe ich auch getestet. Danke für den Tipp, fairplay.
1TB für 4Euro - unschlagbar! Hat allerdings auch seine Haken und Macken.

- ssh keys werden unterstützt -> Top!
- allerdings bringt das securitymässig rein gar nix, wenn ich nirgends die PasswordAuthentication deaktivieren kann
ist ja normalerweise in der /etc/ssh/sshd_config zu setzen.

Hab ich vielleicht was übersehen? Hat jemand nen Tipp?

 

[rblok]

Ganz ganz großes SORRY an @sequetron, du bist mir schlicht »durchgegangen« und ich lese dich jetzt erst wieder. Daher nur erstmal ganz kurz weil ich natürlich nur hier nachlese weil mal wieder was nicht klappt (1TB voll & alte Backup-Chains zum Löschen gibts angeblich nicht…)

Ja dann scheinst Du ja von den Basics her erstmal glücklich zu sein.

Jap

Hetzner nennt die Konfigurations-Webgui offenbar "Robot"...

Potentiell sehr schön. Hab aber an derartigen Baustellen überhaupt keien Freude mehr

Möchte nicht unhöflich sein - aber offenbar hast Du nicht wirklich verstanden wie das ssh keys Konzept funktioniert.

Die Hetzner-Doku habe ich tatsächlich ignoriert. Aber das Thema Passwordless ssh with keys ist bekannt.

Was konkret meinst du mit PW kopieren? Das PW für den private Key? Oder den Key selbst?

Das PW natürlich. Alles andere ist Irrsinn wie du ja richtig schreibst.

- Falls Du es wasserdicht-safe machen möchtest (Du scheinst ja aufgrund Deiner Präferenz bzgl Standort in Deutschland Wert auf security zu legen) kann ich Dich gerne unterstützen.

Gern. Wobei Aufwand/Nutzen in nem gesunden Verhältnis (s.o. lieber Synths spielen als Code frickeln) stehen sollten. Aber sowas lieber per PN.

Vermutlich hast Du nen 4er Raspi? Der hat ja genug Power für ein echtes Desktop System mit Window-Manager ala Gnome, etc... Für 3er Versionen würde ich Raspbian nutzen...

Nope. Raspberry Pi 3 Model B Rev 1.

- Grund (nur fiktiv als Beispiel): Stell dir vor, jemand hackt deinen Raspi (weil raspis meist bastelkisten sind...) und schnappt sich den private key deines Hetzner ssh Accounts.
a) Es gibt keine Möglichkeit für dich zu unterscheiden welche PCs Zugriff haben/hatten oder den Raspi Key easy zu sperren
(dies ist aber eher noch harmlos)
b) Der "Unfugtreiber" kommt ja via ssh ran... Er kann dann zB einfach dein Account-Passwort auf der Hetzner Kiste ändern, deinen ssh pub-key löschen und statdessen seinen eigenen hochladen. Du kommst erstmal nicht mehr rein. Rest kann man sich denken. Gerade wenn der "Unfugtreiber" schlau ist und das an einem Wochenende macht...

Das ist kein unwahrscheinliches Szenario. Weil der GPG-Agent nicht so tut wie ich gern hätte, nutze ich das Private-Key-PW über C&P was natürlich megaschlecht ist. Aber für eine bessere Lösung, sollte ich zuerst mal das OS auf dem Rapsi neu machen & dazu hab ich wenig Lust.

Eine Frage hätte ich an Dich: Wie sieht es mit der UL/DL Raten bei Hetzner aus?

Ist gebremst & ausbaufähig. Soll ich durchmessen?

 

[rblok]

- allerdings bringt das securitymässig rein gar nix, wenn ich nirgends die PasswordAuthentication deaktivieren kann
ist ja normalerweise in der /etc/ssh/sshd_config zu setzen.

Hab ich vielleicht was übersehen? Hat jemand nen Tipp?

Gelöst? Support angefragt?

 

[fanwander]

- allerdings bringt das securitymässig rein gar nix, wenn ich nirgends die PasswordAuthentication deaktivieren kann
ist ja normalerweise in der /etc/ssh/sshd_config zu setzen.

[…]Hat jemand nen Tipp?

Bei Hetzner nachfragen, ob die das nachträglich deaktivieren können?

 

[rblok]

Eine Frage hätte ich an Dich: Wie sieht es mit der UL/DL Raten bei Hetzner aus?

Ist gebremst & ausbaufähig. Soll ich durchmessen?

11 Minuten für 1GB vom Arbeitsplatz aus (Gbit-Ethernet in den Keller, Glasfaser mit MagentaZuhause L von dort)