Passwörter Raspiblitz

Hallo liebe Gemeinde,

ich habe einen Raspiblitz. Läuft alles top, soweit. Ich habe aber eine Frage zu den Passwörtern A B C

Passwort A ist für den admin Login via SSH - soweit klar.

Passwort C für den Zugriff auf die Lightning Wallet - auch klar.

Aber Passwort B ?

Warum ich frage: Mal angenommen…

Mein Bruder hat eine Node und ich soll ihm „Support“ geben, falls mal ein Neustart vonnöten ist oder sonstiges. ICH (!!!) möchte aber nichts mit seiner (!!!) Wallet versenden können. Ich möchte also nicht auf sein Guthaben Zugriff haben.

Lediglich den Zugriff per SSH. Logge ich mich also ein, möchte der Blitz direkt Passwort C. Könnte ich damit über seine Coins verfügen? Brauche ich dafür Passwort B?

Ich weiß, dass man in der bitcoin.conf das Password B einsehen kann.

Also kurz und knapp: Ich möchte per SSH Zugriff auf die Node haben, aber keine Möglichkeit haben etwas mit seinem Guthaben anfangen zu können (versenden). Dennoch möchte ich z.b. RTL installieren können, channels verwalten. aber NICHT an seine Layer1 Wallet… ich hoffe das ist alles halbwegs verständlich :smiley: :smiley:

Danke

Ware soetwas mit einem YubiKey realisierbar? Kann man das Passwort B und C darauf speichern und es wird dann abgerufen? Wäre ja P0rn0 :slight_smile:

Der Node funktioniert ja nicht wenn PW C nicht verwendet wurde. Dann startet LND nicht.

1 „Gefällt mir“

gibt es eine Lösung über 2-Faktor? Bei Umbrel gibt es sowas ja bereits… Dann könnte bei einer Abfrage mein Bruder den Stick einstecken und ich kann „drauf“

Nein, wenn der Node läuft und man hat Zugriff auf den ssh Login hat man Zugriff auf alles. Für YubiKey sehe ich da jetzt keine Anwendung.

1 „Gefällt mir“

Na ich könnte mich zwar per SSH einloggen, das Passwort C ist aber auf einem Yubikey gespeichert. Ohne Key kein Login. Wäre super!

Du kannst doch SSH mit SSH-Keys (als zusätzliche Authentifizierungsoption) konfigurieren, dann bräuchtest du für den SSH-Login kein Passwort zu benutzen. SSH-Login mit Passwort bzw. SSH-Key (muss nicht Yubikey sein) können parallel laufen.

Passwort B ist das RPC-Passwort mit dem andere Programme z.B. mit dem Bitcoin-Daemon „sprechen“ können und Kommandos absetzen, die der ausführen soll.

2 „Gefällt mir“

Danke für deinen Lösungsansatz. Es geht mir persönlich um das Passwort C. Ich möchte davon keine Kenntnis haben. Bei Umbrel geht das z.b. Ich kann mich über SSH einloggen, für das Interface brauche ich aber die 2-Faktor-Authentifizierung.

Geht es um Fernwartung, also SSH-Zugriff, wenn man nicht vor Ort ist? Wer ist dann bei der RaspiBlitz-Node ggf. vor Ort?

Da fällt mir höchstens so’n USB-Hacker-Gadget ein, das eine Tastatur emulieren kann und das man so konfigurieren könnte, daß es z.B. auf einen Tastendruck hin das Passwort C automatisch „tippt“. Wenn dein Bruder das Gadget (mit Anleitung) passend einrichtet, hättest du keine Kenntnis vom Passwort C, könntest es aber zu Wartungszwecken bei Bedarf trotzdem eingeben (lassen).
Eieiei, sehr um die Ecke, durch die Brust, ins Auge…

1 „Gefällt mir“

Selbst wenn du dann irgendwie an Passwort C vorbeikommst und LND entsperrst, hast du via SSH doch trotzdem Vollzugriff auf Funds etc via ssh-Menü oder Command Line :thinking:

3 „Gefällt mir“

Darauf wollte ich hinaus. Ich dachte aber, dass das Passwort B quasi für Transaktionen als Bestätigung gilt (meine Node hat derzeit 0 Funds, daher konnte ich es nicht testen) Aber danke. Für eure Hilfe, muss ich leider zurück zu Umbrel / Citadel.

Man möge mich korrigieren, aber auch in umbrel kannst du sicherlich über commandline Befehle Transaktionen onchain und Lightning ohne weitere Passwörter durchführen, sofern du via ssh im Terminal bist

Da sehe ich bei Umbrel auch wenig Hindernisse, wenn man sich per SSH an Umbrel anmelden kann. Ist vielleicht wg. der Docker-Container ein wenig komplexer, aber kein Hindernis. Schlimmer noch, denn Umbrel entsperrt seine Lightning-Wallet automatisch, da ist keinerlei User-Eingriff z.B. nach einem Reboot nötig. Wer physischen Zugriff auf Umbrel hat, hat so gut wie alles, was er zum Ausgeben der Wallets braucht bzw. kann es sich auf triviale Art und Weise verschaffen.
Ich würde mich gerne vom Gegenteil überzeugen lassen!

Sobald du dich bei Umbrel anmelden kannst, liegt dir doch eh alles zu Füßen. Man kann sich selbst die Mnemonic Seed Wörter der Lighning-App anzeigen lassen.

Im Dateisystem wird in einer Datei ein Seed-Geheimnis abgespeichert, wobei ich noch nicht vollständig durchdrungen habe, wie sich was daraus ableitet (aber ich habe auch nicht vor Umbrel wirklich mit echten Coins zu benutzen, daher bin ich da etwas zu faul, dem mit Energie nachzusteigen).
Ich zitier’ mich mal selber:

Interessant wäre die Frage, ob die aktivierbare 2-Faktor-Anmeldung darauf einen Einfluß hat. Ganz ehrlich, ich bezweifele das mal stark, da sich sonst App-Passwörter ändern müssten. Ich meine, ich hätte das mal getestet, als ich zum Test die 2-Faktor-Anmeldung aktiviert habe. Kann mich nicht erinnern, daß die App-Passwörter sich geändert hätten. Bezüglich dieser seed-Datei habe ich nicht getestet, da ich damals noch keine Kenntnis davon hatte.

Ein Yubikey ist nicht dafür da um Passwörter zu „speichern“

Du authentifizierst dich mit dem Schlüssel, da werden keine Passwörter raus kopiert oder so.

wie komme ich in das ncurses SSH-Menu? Welchen Command?

Puh, Raspiblitz ist bei mir lange her aber Probier mal „raspiblitz“ oder „menu“

1 „Gefällt mir“

Danke. Funktioniert so.

Warum lange her? Gibt es was besseres als RaspiBlitz? Sorry für die dumme Frage, bin Neuling im Betrieb eines Nodes

Keine dumme Frage :wink: Ich glaube für den Anfänger gibt es Stand jetzt imo nichts Besseres als Raspiblitz. Daher ist der Weg schon richtig. Bei mir laufen Bitcoin Core und LND (sowie andere Tools) inzwischen in getrennten Proxmox Containern, quasi selbst aufgebaut. Das erleichtert (mir) die Verwaltung und ich bin bei Aktualisierungen nicht auf andere angewiesen

1 „Gefällt mir“

Proxmox Container = LXC Linux Container - Proxmox VE. Stimmt das?

Warum nicht Docker/Podman?

Ich kenne Proxmox nicht, kannst du mir mehr darüber erzählen?

Sprich du hast Bitcoin Core und LND selbst installiert und konfiguriert, diesen Weg werde ich auch gehen nachdem ich mit RaspiBlitz Erfahrungen gesammelt habe.

Ich habe mich bis heute nur wenn nötig mit Docker beschäftigt. Proxmox hatte ich vorher schon genutzt. Du hast hier via Weboberfläche eine nutzerfreundliche Möglichkeit VMs und Container zu erstellen und zu verwalten. Die Container sind hier bereits auf OS Level isoliert und du emulierst quasi ganze Betriebssysteme. Und ja, ich habe dann Bitcoin Core (und LND, und LNbits) als einzelnen Container laufen.

Proxmox an sich läuft dann einfach via RAID 1, lässt sich fantastisch backupen, sogar auf mehrere Nodes verteilen. Nutze es nicht nur für Bitcoin relevante Services

1 „Gefällt mir“