Hallo Michael, At 30.01.2002, Michael Pahle wrote: > Am Mittwoch, 30. Januar 2002 20:49 schrieb Guido Hennecke: [...] > Den alten Server mit debbi 2.2 drauf möchte mein Kumpel für sein Geschäft > haben. Den gebe ich ihm aber erst, wenn ich Datensicherheit garantieren kann. Nimm den alten Server und mache den zum DSL Router. Das waere sinnvoll. > > Waere es fuer dich eine Option, deinen PC als Server fuer Druckerdienste > > etc. zu benutzen anstatt den DSL Router? Das waere schon von Vorteil. > Option ja, aber ich hätte es gern lieber so wie es ist. Der Server ist öfter > und länger an, als meine Workstation (PC) Dienste, die Du nur intern nutzen willst, sollten nicht auf dem Router laufen. Ueberlege dir, ob das nicht machbar ist, > > Gut und das ganze an einem HUB? > Ja, wie sonst? Mit einem Switch? > > Eine Bitte: Kannst Du in Zukunft solche Ausgaben in der englishen > > Version erzeugen? > Öhm... Ich bin froh, daß ich die Konsole endlich auf deutsch laufen hab. > Wenn die englische Ausgaben temporär zu erzeugen sind, sag mir bitte, wie ich > das mache und ich tu's. Du hast die Ausgabe fuer den User root auf deutsch gestellt? Warum das? > > Was fuer eine Liste! > Da hab ich (noch) nix dran gedreht :) > Das ist original woody. Nach der Installation des Base Systems laeufen nicht derart viele Dienste. Die Pakete hast Du schon installiert. > > Zunaechst schau dir bitte mal > > die /etc/inetd.conf an. Steht nda irgendwas drin, was Du brauchst? Wenn > > nicht, setze an den Anfang jeder Zeile ein "#" Und starte den inetd neu. > Da ist bis auf die unten aufgeführten Zeilen überall # davor. > ob ich das brauche oder nicht, weiß ich nicht. Du hast da wirklich viel Zeug drin. > Aus dem holen Bauch heraus würde ich mal sagen, daß ich ftp und telnet nicht > brauche, da ich über ssh, samba und nfs arbeiten kann, oder? Ja. > Vieleicht noch finger. Wozu? > Aber dann ... keine Ahnung. > swat brauche ich in jedem Fall zu Sambakonfiguration. Aber nur intern. Eine Moeglichkeit ist, statt inetd den xinetd zu benutzen. Den kann man so konfigurieren, dass er die Dienste nur auf dem internen Interface anbietet. > discard stream tcp nowait root internal > discard dgram udp wait root internal > daytime stream tcp nowait root internal > time stream tcp nowait root internal > telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd > /usr/sbin/in.telnetd > ftp stream tcp nowait root /usr/sbin/tcpd > /usr/sbin/wu-ftpd -l > talk dgram udp wait nobody.tty /usr/sbin/in.talkd > in.talkd > ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd > in.ntalkd > finger stream tcp nowait nobody /usr/sbin/tcpd > /usr/sbin/in.fingerd > ident stream tcp wait identd /usr/sbin/identd identd Das kann alles weg. > netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd > netbios-ns dgram udp wait root /usr/sbin/tcpd > /usr/sbin/nmbd -a > swat stream tcp nowait.400 root /usr/sbin/tcpd > /usr/sbin/swat Das brauchst Du wohl. > discard stream tcp nowait root internal > discard dgram udp wait root internal > daytime stream tcp nowait root internal > time stream tcp nowait root internal > telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd > /usr/sbin/in.telnetd > ftp stream tcp nowait root /usr/sbin/tcpd > /usr/sbin/wu-ftpd -l > talk dgram udp wait nobody.tty /usr/sbin/in.talkd > in.talkd > ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd > in.ntalkd > > finger stream tcp nowait nobody /usr/sbin/tcpd > /usr/sbin/in.fingerd > ident stream tcp wait identd /usr/sbin/identd identd > netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd > netbios-ns dgram udp wait root /usr/sbin/tcpd > /usr/sbin/nmbd -a > swat stream tcp nowait.400 root /usr/sbin/tcpd > /usr/sbin/swat Das kann alles weg. Ist teilweise auch doppelt. Kommentier die Zeilen aus und starte den inetd neu. Danach nochmal die Ausgabe von "netstat -ln". > > Dann bitte folgende Konfiguration in /etc/ssh/sshd_config > > vornehmen: > > ListenAddress <interne ip adresse> > So? ListenAddress 192.168.6.0 Ja. > > Danach /etc/init.d/ssh restart > Ist geschehen. > > Willst Du einen FTP Server anbieten? > Nein, ich wollte nur anfangs daten verschieben, die ich nun mit Samba oder > nfs verschieben kann. > Es war ftp 0.17-9 und wu-ftp 2.6.1-6installiert, jetzt nimmer. > dpk-ftp brauche ich wohl noch für dselect, oder? Es geht nur um den FTP Daemon nicht um die Clients. Also nur den wu-ftpd deinstallieren. > > Du bietest einen Mailserver an. Brauchst Du den? wenn ja, soll der auch > > aus dem Internet Mails annehmen? Wenn nein, welcher Mailserver laeuft > > da? > Ich möchte mit sendmail und fetchmail einen Mailserver aufbauen, der die > Mails für die Clients holt und versendet. Da bin ich aber noch nicht so weit. Solange Du ihn nicht brauchst, deinstalliere sendmail. Wenn Du einen brauchst, installiere exim oder postfix. > > Du bietest einen HTTP Server an. Wie Du schon geschrieben hast, fuer > > Webmin. Wenn Webmin nur aus dem internen Netz funktionieren soll, dann > > konfiguriere folgendes in /etc/apache/http.conf: > Ist erledigt. > Listen 192.168.6.0:80 Gut. > > Du hast einige RPC Dienste laufen. > > Ist dieser Server ein NFS Server? > Ja. Das solltest Du dir wirklich gut ueberlegen. > > Wenn ja, ist es das Beste, diesen Dienst auf einen internen Rechner zu > > verlagern. Das solltest Du nicht auf einem Borderrouter laufen lassen. > Du hast ja recht, aber ich habe den Server gerade so aufgebaut(große Platte), > daß er mir als Archiv zur Ablage von nicht so oft benötigten Daten dient, bei > denen es sich nicht rentiert, sie auf CD oder sonstwie auszulagern. > Sicherheitsrelevante Daten habe ich gundsätzlich nicht auf meinen Rechnern. Das ist ein vielverbreiteter Irrglaube. Was ist mit deinen Zugangsdaten? > > Du bietest einen Telnetserver an. > Ich? Das war bestimmt woody ;-) Wenn ich das war, dann nicht mit Absicht. Du hast anscheinend recht unkontrolliert einen Haufen Pakete installiert, die Du nicht benoetigst. > > Hast Du das alles gemacht, bitte nochmal die Ausgabe von "netstat -ln" > debbi:/home/michael# netstat -ln > Aktive Internetverbindungen (Nur Server) > Proto Recv-Q Send-Q Local Address Foreign Address State > tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN Was verbirgt sich dahinter? Mach mal lsof -Pi | grep 32768 und nochmal mit 2049. > tcp 0 0 192.168.6.0:80 0.0.0.0:* LISTEN > tcp 0 0 192.168.6.0:22 0.0.0.0:* LISTEN Die sind schon mal auf ein internes Interface gebunden. Aber die Liste ist noch lang. > > hier posten und bei Ports bei denen Du nicht weisst, welches Programm > > dort horcht, kannst Du das mit "lsof -Pi | grep <portnummer>" > > herrausfinden. Bitte Poste ruhig die Ergebnisse. > So? > lsof -Pi | grep 32768 > rpc.statd 183 root 4u IPv4 316 UDP *:32768 > rpc.statd 183 root 5u IPv4 319 TCP *:32768 (LISTEN) Ganz genau so. > > Du scheinst aber auch so ziemlich jedes Paket installiert zu haben. Ist > > es nicht so? > Eigentlich nicht. Zumindest nicht bewußt. Tja ;-) > > Normalerweise geht man so vor, dass man nur das installiert, was man > > unbedingt braucht und nicht einfach mal so irgendwas. > Ich dachte, das so gemacht zu haben. Scheint nicht so zu sein. > PS.: Ich melde mich morgen wieder, da um 22.00 Uhr mein Server runterfährt > und ich ins Bett fahre. Ich hatte 'n sch... Tag. Ist ned immer so einfach 17 > Leuten in den A... zu treten ;-) Wir sind hier ja nicht im IRC. Gruss, Guido -- Microsoft is a cross between The Borg and the Ferengi. Unfortunately they use Borg to do their marketing and Ferengi to do their programming. -- Simon Slavin, in the Monastery.
Attachment:
pgpnA1KNjGE5w.pgp
Description: PGP signature