[Home] [1.] [2.] [3.] [4.] [5.] [6.] [7.] [8.]


3. Einfache Internetdienste

  1. Konfiguration des Internetservers
    Konfiguriere den inetd-Internetserver, so daß ftp (in.ftpd), telnet, nettalk, finger und rlogin Zugang zu deinem Rechner möglich sind. Verwende dazu yast2 (" Network/Basic", "Start/Stop Services", "on with custom configuration"; im Wesenlichen editierst du dabei die Datei /etc/inetd.conf.)

  2. Testen der Konfiguration
    Teste deine Konfiguration. Zunächst überprüfe, ob du die entsprechenden Services von deinem lokalen Rechner aus nutzen kannst. Falls du erfolgreich warst, schließe dich mit deinem Nachbarn zusammen und testet gegenseitig eure Konfigurationen.

  3. Die TCP-Wrapper
    Konfiguriere die TCP-Wrapper, so daß Zugriff auf das ftp-Service nur von deinem lokalen Rechner aus erlaubt ist (etc/hosts.[allow,deny], falls nötig: man hosts_options). ). Teste diese Konfiguration (zunächst mittels tcdpmatch, dann wieder gemeinsam mit deinem Nachbarn). Verfolge die Fehlermeldungen in /var/log/messages. (Zu diesem Zweck öffne ein neues root-Fenster und gib tail -f /var/log/messages ein.) ACHTUNG: Nach jedem Editieren der Konfigurationsdateien muß du den inetd zwingen diese neu einzulesen (rcinetd reload).
    Optional: Konfiguriere die TCP-Wrapper, so daß root bei jedem unerlaubten Zugriff eine mail erhält, die die Details des Zugriffsversuchs mitteilen.

  4. Der xinetd-Internetserver (optional)
    Installiere das xinetd-Paket (rpm -ihv xinetd.rpm). Deaktiviere im yast2 den inetd, aktiviere dafür den xinetd (RC-Config-Editor). Konfiguriere dein System für telnet und ftp Zugang (editiere dazu /etc/xinetd.conf, falls nötig: man xinetd.conf) ).
    Achtung: der xinetd verfügt war über eine eigene Zugangsbeschränkung, die in /etc/xinetd.conf konfiguriert werden kann, liest aber auch etc/hosts.[allow,deny] und verhält sich dementsprechend!

  5. (Un)-Verschlüßelte Paßwörter: Telnet und Secure Shell
    Um uns das Risiko unverschüßelter Paßwörter drastisch vor Augen zu führen installiere den Portsniffer sniffit. Starte Sniffit im interaktiven Modus (sniffit -i) und mache dich mit der grundlegenden Bedienung vertraut.
    Gehe nun gemeinsam mit deinem Nachbarn vor. Öffnet eine Telnet-Verbindung von einem Rechner zum anderen (Achtung: TCP-Wrapper entsprechend konfigurieren!) und verfolgt die Verbinung mit Sniffit. Könnt ihr das Paßwort herausfinden?
    Startet (otional) eine FTP-Verbindung und verfolg sie mit. (Falls der FTP-Client nicht installiert ist, findest du die Pakete ftp.rpm (Standard FTP-Client) und ncftp.rpm (komfortablerer FTP-Client; vor allem für anonymes FTP) hier.) Wie stehts nun um die Paßwörter/den Rest der Verbindung?

    Zum Unterschied startet nun eine ssh und/oder eine sftp(Secure FTP-Client)-Verbindung. (Vergewissere dich, daß der ssh-Dämon (sshd) läuft und im RC-Config-Editor als gestartet eingetragen ist ("Start-Variables", "Start Network").
    Achtung: auch der sshd liest die Dateien etc/hosts.[allow,deny] und verhält sich dementsprechend!

    Wie stehts jetzt um die Paßwörter/den Rest der Verbindung?

  6. Secure Shell Keys
    Erzeuge nun (als normaler Benutzer) ein dsa-Keypaar und konfiguriere den root-Account so, daß du ohne Passwortabfrage eine ssh-Verbindung auf den root-Account machen kannst (man ssh). Konfiguriere die Initialisierung des KDE-Desktops so, daß der gesamte KDE unter dem ssh-agent läuft. Optional: Erstelle dir ein KDE-Icon zum laden deines Keys.

    Detaillierte Anleitung: Erstelle das Keypaar mit ssh-keygen -t dsa; akzeptiere das Defaultfile zum Speichern der Keys und wähle nach Belieben eine Paßphrase. Im Verzeichnis .ssh erstelle einen Symlink namens identity auf den privaten Key id_dsa. Erstelle im Homedirectory von root ein Verzeichnis namens .ssh und kopiere den Public Key des Benutzers in das File /root/.ssh/authorized_keys2.
    Achtung: diese Datei muß unbedingt Besitzer und Gruppenbesitzer root haben!!! (der Midnightcommander übernimmt beim Kopieren (im Unterschied zum Standard-Unix cp-Befehl!!!) nicht den Besitz einer Datei!!!)

    Zum Testen öffne eine Terminalemulation unter deinem normalen Benutzeraccount. Gib ssh-agent bash ein. Die bash, in der du dich befindest läuft nun unter dem ssh-agent. Daher kannst du mittels ssh-add den eben erzeugten Key laden. Mittels ssh root@localhost solltest du nun ohne Paßwortabfrage in den root-Accont gelangen.
    Wirklich bequem wird die Sache erst, wenn der ganze Dekstop unter dem ssh-agent läuft. Zu diesem Zweck editiere die Datei ~/.xsession in deinem Homeverzeichnis und setze den Eintrag "usessh" auf "yes". Logge dich nun aus der graphischen Oberfläche aus und wieder ein. Jetzt kannst du in einer beliebigen Terminalemulation ssh-add eingeben um den Key zu laden. Ein Icon-File zum Laden des Keys befindet sich hier. Kopiere das File in das Directory KDesktop in deinem Homedirectory.


    [Home] [1.] [2.] [3.] [4.] [5.] [6.] [7.] [8.]
    Last modified January 23, 2010 by Roland Steinbauer