March 2003 - openSUSE Edu (Deutsch) - openSUSE Mailing Lists

Ip - Range
by hoeferwolf＠t-online.de 27 Mar '03

27 Mar '03

Hallo Liste, hat schon mal jemand den SLSS mit anderen IP einstellungen installiert? Ich würde ich gerne in ein 192.168.9.x Netz einbinden. Reicht es, wenn man bei der Installation die gewünschten Bereiche einträgt, oder hat das weiterreichende Konsequenzen? (Wenn ja, wo muss man noch schrauben?) Viele Grüße Wolfgang Höfer

2 1

https:// für mailserver?
by dkroemer＠t-online.de 24 Mar '03

24 Mar '03

Hallo, heute habe ich es endlich! geschafft von außen auf meinen (Test-)Schulserver mittels dyndns zuzugreifen :-) Die Datei /etc/http-extern/redirects.fas sieht dann folgendermaßen aus: --- Directory proxy:*> Allow from all </Directory> ProxyPass / http://192.168.0.2/ ProxyPassReverse / http://192.168.0.2/ --- Ob hierdurch zusätzliche Sicherheitslücken außer dem Zugriff von außen geöffnet wurden, kann ich leider nicht beurteilen :-( Übrigens funktioniert 'All from 0.0.0.0/0' nicht, da beim Starten von http-extern für diese Zeile ein Syntax-Error gemeldet wird. Jetzt aber meine Frage bzw. mein Hinweis: Wenn man den Mailserver (192.168.0.3) und Adminserver (192.168.0.2) wie im Moment mittels http aufrufen darf, werden die Passwörter im Klartext übermittelt. Im LAN würde mich das nicht sonderlich stören, wenn aber der Server von außen erreichbar sein soll, z.B. zum Mailabholen oder sonstigen Dingen, bei denen man sein Passwort eingeben soll, ist das Risiko viel zu hoch, dass irgendein findiger Schüler einen Sniffer (oder wie immer das heißen mag) mitlaufen lässt und die Passwörter abhört. Dann würde jeder Schüler eine Ausrede haben, wenn mit seinem Account Blödsinn gemacht wird: mein Passwort hat jemand abgehört ... Ist es möglich, dass man den Apache so umstellt, dass diese Seiten nur noch mittels https aufgerufen werden können, dann würden die Passwörter nur noch veschlüsselt übertragen werden und diese Problematik wäre vorbei - ich weiß dass Herr Varkoly vor längerer Zeit einmal danach gefragt hatte, da ich aber damals davon noch keine Ahnung hatte, konnte ich dazu nichts sagen :-( Viele Grüße Dieter P.S.: Meine email-Adresse lautet demnächst: kroe(a)rs-schesslitz.de; unter der t-online-Adresse bin ich dann/absofort nicht mehr zu erreichen.(unter kroe(a)rs-schesslitz.de bin ich jetzt schon erreichbar)

5 4

Windows 2000/XP Integration in den Schulkserver
by Markus Bölling 24 Mar '03

24 Mar '03

Hallo Herr Varkoly, am 2. Tag in Gräfenberg haben wir noch einige Verbesserungen zur Integration von Windows 2000/XP über Samba in den Schulserver probiert: 1. Anmelden der Clients an den Schulserver: Erst nach folgenden Befehlszeilen auf der Console funktionierte es: rcsmb stop (so oft bis alle SAMBA Daemons unten sind) rcnmb stop rcnmb start rcsmb start 2. Der Name der Windows Domäne sollte nicht länger wie 15 Zeichen sein, sonst können keine Windows NT/2000/XP Clients vernüftig in der Domäne arbeiten. 3. Ergänzungen in der SAMBA conf Bitte den Profile-Share ändern [profile] comment = Proifilshare path = /var/lib/samba/profiles admin users = root read only = No create mask = 0600 directory mask = 0700 profile acls = Yes browseable = No Hier sammeln sich dann die Windows Profile aller Benutzer, man sollte Sie also auch beim entfernen eines Benutzers aus dem Schulserver automatisch löschen. beim netlogon-Share folgende Zeile ändern: path = /var/lib/samba/netlogon/%G Dies ermöglicht Gruppenbasierte Verzeichnisse. So kann den Schülern und Lehrern automatisch ein Windows-Profil zugeteilt werden: Es müssen also noch Unterverzeichnisse users, teachers, workstations angelegt werden. Damit der Administrator auch im das netlogon-Share nicht nur seine Gruppe sieht (Gruppe root) muss ein Symbolischer Link auf das Verzeichnis gesetzt werden. ich glaube: ln /var/lib/samba/netlogon /root (Sollte in ls -al so aussehen root -> /var /lib/samba/netlogon/) Legt man nun dort ein Profil einer Windows 2000 Workstation unter dem Verzeichnis Default User ab, so bekommen alle Benutzer dieser Gruppen, dies als Standard-Profil. 4. Druckereinbindung über CUPS: Der Cups-Server ist so eingestellt,. dass er sich nur vom Linux-Server direkt per Web-Oberfläche http://127.0.0.1:631 bedienen läßt. Es wäre schön, wenn man ihn auch von alle Stationen aus administrieren kann: Bitte dies freischalten: hier ein ausschnitt aus der cupsd.conf (mit Freischaltung) <Location /> Order Deny,Allow Deny From All Allow From 127.0.0.1 Allow From 127.0.0.2 Allow From 192.168.*.* # (bzw. 10.*.*.* fürs 10er Netz nicht getestet.) </Location> ähnliches bitte auch für den admin Bereich unter <Location /admin> 5. eingerichteter Drucker ließ sich nicht unter Windows 2000 über SAMBA anzeigen ! Bitte folgende Zeilen in die smb.conf aufnehmen. [global] printcap name = CUPS printer admin = root printing = cups So funktioniert mein United Linux Prinsterver in meinen Schulnetz. Habe allerdings schon auf Samba 2.2.7 upgedatet. Kann das jemand testen. Gruß Markus Bölling

2 1

Stopp_Bild von SquidGuard
by Dieter Kroemer 24 Mar '03

24 Mar '03

Hallo, beim Arbeitskreis in Gräfenberg ist das Problem aufgetaucht, dass SquidGuard bei geblockten Seiten nicht das vorgesehene "Stopp-Bild" zeigt. Bugfix (zumindest funktioniert es jetzt, wenn man direkt am Server auf gesperrte Seiten zugreifen möchte - mit einem Client habe ich noch nicht ausprobieren können): Folgende Datei /srv/www/htdocs/verboten.html editieren: original: ... <img src="/stop.gif"> ändern in ...<img src="http://192.168.0.2/stop.gif"> MfG Dieter

2 1

apache leitet von *.dyndns auf 192.168.0.254/... um
by Dieter Kroemer 22 Mar '03

22 Mar '03

Hallo, wenn ich mich von außen (mittels dyndns) über meinen Firewall-on-CD-Rechner auf den Apache eines Rechners im LAN einlogge funktioniert das ersteinmal so wie ich das möchte. Wenn ich dann aber z.B. mit phpmyadmin arbeiten möchte werde ich bei den Datenbanken auf die URL http://192.168.0.254/... weitergeleitet, anstatt, dass ich auf http://name.dyndns.org/... bleibe. Die IP gehört dem Rechner mit dem Apache, ist aber natürlich nur innerhalb des LANs vorhanden. Auch bei anderen Seiten werde ich auf die LAN-IP weitergeleitet. In dem Verezichnis /etc/http-extern/rediects.fas steht: ... ProxyPass / http://192.168.0.254/ ProxyPassReverse / http://192.168.0.254/ Weiß jemand, wie man das Weiterleiten auf die LAN-IP ändern kann? MfG Dieter

1 1

Bugfix für 0.909
by Peter Varkoly 21 Mar '03

21 Mar '03

Während eines Workshop im Gräfenberg haben wir zwei bugs entdeckt. Unter ftp://ftp.suse.com/pub/people/varkoly/Schulserver/Updates/web-openschool-1.… liegt das Update dafür. Einspielen lässt sich das nach dem runterladen so: rcsuad stop rcsessiond stop rcapache stop rpm -Uvh web-openschool-1.3.1-6.i586.rpm rcapache start rcsessiond start rcsuad start Viel Erfolg! -- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly(a)suse.de _\_/ -----------------------------------

1 0

ISO 0.909 auf der FTP-Seite
by Peter Varkoly 18 Mar '03

18 Mar '03

Neue features: 1. Firewall wird standardmäßig mit ldap-Authorisierung installiert. Man muss also nur an den Clients den gateway als proxy einstellem: http://proxy port 3128 2. Mit dem FAS ist es möglich acl-s von typ proxy_auth und ident zu erstellen (proxy_auth selbsverständlich mit squidldap_auth). Das heisst man kann für bestimmte Benutzern das Surfen auf nur bestimmte Seiten begrenzen. So eine Enderung bedarf jedoch ein Neustart des Firewalls. Standardeinstellung ist: jeder der sich anmeldet kann überall hin, bisauf der Webseieten die von squidGuard ausschliesst (siehe nächste Punkt). 3. Auf der Firewall unter /root/bin gibt es 4 Skripte die man jetzt AUF EIGENE GEFAHR benutzen kann. Ganz wichtig. Alles was auf der Konfigurationsdiskette von FAS ist wird aus Sicherheitsgründen mit 660-Rechten ins System kopiert. Deshlab mus man diese Skripte so ausführen: /bin/bash /root/bin/<skript> <evtl. attribute> a) getlist-suse holt die unter ftp://ftp.suse.com/pub/people/varkoly/Schulserver liegende backlists.tgz, pakt diese aus, bildet die neue Datenbanken und startet squid neue. Bei der Erstinstallation sollte man dies ausführen, sonts freuen sich die SchülerInnen über ihre neue Freihiet sehr :-) Will man dieses Skript automatisch ausführen lassen, editiere man die Datei /etc/crontab auf der Firewall: -------------->8------------------snip-------------->8--------------- ################################################################ # To get the suse "blacklists" make these line active # Um die SuSE Blacklists regelmäßig zu holen aktivieren # Sie diese Zeile: ################################################################ #0 2 * * 0 root /bin/bash /root/bin/getlist-suse wait -------------->8------------------snap-------------->8--------------- ^ Kreuzle muss weg. b) getlist holt die unter http://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gz liegende backlists. sgclean gehört noch zu diesem Skript. c) dyndns Client um die IP bei dyndns aktuell zu halten von Dieter Kroemer. Wie oben beschrieben wird diese Skript auch ohne executable Rechte ins System kopiert, also es hat keinen Sinn dieses Skript auf der Diskette ins /floppy/etc/ppp/ip.d zu kopieren. Endweder dierekt ins Livesystem kopieren, oder es reicht wenn man wieder /etc/crontab anfasst: -------------->8------------------snip-------------->8--------------- ################################################################ # Um das DynDNS-Skript von <kroe(a)rs-schesslitz.de> zu benutzen # editieren Sie die Datei /root/bin/dyndns und ktivieren Sie # die nächste Zeile ################################################################ #0-59/5 * * * * root /bin/bash /root/bin/dyndns -------------->8------------------snap-------------->8--------------- ^ Kreuzle muss weg. WICHTIG!! Dieses Skript (dyndns) muss erst noch angepasst werden: -------------->8------------------snip-------------->8--------------- ####################################################### ## Configuration ## ## ## ## ## ## login-name, login-passwd hostname bei dyndns.org ## ## ## USER=name PASSWD=passwort DYNHOSTNAME=dynname.dyndns.org -------------->8------------------snap-------------->8--------------- ^ Kreuzle muss weg. Die Anpassungen an dieser Dateien führt man am beste mit dem FAS durch: Konfiguration->Dateien Bearbeiten 4. Un jetzt das versprochene Bonbon: Man kann jetzerla Benutzer mit der Administrationsweboerfläche einfach aus dem Surfen ausschliessen: Benutzer->Bearbeiten->Internet erlauben/verbiten. Dazu muss man allerdings noch volgendes Bemerken: Diese sperre greifft erst, nachdem der auszusperrende mindestens 10 Minuten lang nicht gesurft hat, oder squid neu gestartet worden ist. Durch das Setzen der Variable "authenticate_ttl" in der Datei /etc/squid.conf kann man die länge der "deadtime" beinflussen. Man sollte auf keinen Fall diese auf 0 setzen, dann authorisiert squidguard praktisch für jede einzelen URL gegen ldap :-(( Für diese Feature wurde eine neue Objektclasse in LDAP-angelegt. Das heisst leider, durch einspielen von web-openschool.rpm -Uvh ist ein Update noch nivht getan. Ich kann natürlich ein Skript schreiben womit man von 0.83 auf 0.909 updaten kann, aber nur beim Bedarf. Deshalb habe ich zuerst noch nix neues unter Updates auf der ftp-Seite. Also bitte melden wen Bedarf da ist. 5. Einige kleine bugs habe ich noch raus. Gruß und viel Spaß -- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly(a)suse.de _\_/ -----------------------------------

1 0

Re: mysql
by Peter Varkoly 13 Mar '03

13 Mar '03

On Wed, Mar 12, 2003 at 11:25:15PM +0100, Wolfgang Hoefer wrote: > Hallo Herr Varkoly, > > bei der Installation kommt am Ende die Meldung, dass bei der Installation > des Paketes mysql ein Fehler aufgetreten ist. > Ist das normal? Leider ja, aber nicht mehr lange. Wir haben den Fehler gefunden, und es wrid gefixt. Es hat keine Auswirkungen für die Lauffähigkeit des Systems. > Wenn nein: Welche Auswirkungen hat das auf das Systems. Wird MySql für die > Lauffähigkeit des Systems benötigt? Kann man es nachinstallieren, ...? Es wird ja installiert, kann bloß ein Postinstallaitonsskript nicht ausführen :-( > > Viele Grüße > Wolfgang Höfer -- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly(a)suse.de _\_/ -----------------------------------

1 0

Re: DynDns-Script für Firewall on CD funktioniert :-)
by Peter Varkoly 12 Mar '03

12 Mar '03

On Mon, Mar 10, 2003 at 11:33:33PM +0100, Dieter Kroemer wrote: > Hallo Herr Varkoly, > > vor einiger Zeit habe ich unbedingt wissen wollen, ob die Firewall on CD einen > Update der eigenen IP zu dyndns ermöglicht. > > Damit Sie nicht unnötig Zeit hierfür verwenden (aber sehr warhscheinlich haben > Sie sowie so wichtigere Dinge zu tun) nur kurz die Info von mir, dass ich > mittlerweile ein Script fertig habe, das nach einer erneuten Einwahl ins > Internet die IP automatisch updatet und dann per Cronjob alle 5min nachsieht, > ob die IP noch aktualisiert ist, wenn das nicht der Fall ist, wird die IP neu > übertragen. > > Das Script bentöitgt nur die Befehle wget, grep, rm und awk - die sind alle > auf der Firewall vorhanden :-) OK bitte mir zusenden. Ich werde es einpflegen. > > Bei Interesse kann ich das Script (muss natürlich noch etwas "verschönert" > werden), wenn es ganz fertig ist, zuschicken. > > Jetzt fehlt mir nur noch die Einstellung bei FAS, dass ich von außen auf den > Schulserver (oder einen anderen Rechner im LAN) gelangen kann. Http-Proxy > extern habe ich eingestellt und konfiguriert > > Http-Proxy-Port: 80 > automatische Berechnung des Parameter listen to (angekreuzt) > lokales Verzeichnis: / > Ziel-Url: http://192.168.0.2/ ) > beide IP-Filter-Regeln (angekreuzt) > Zugriff erlaubt für: u.a. 0.0.0.0 ^^^^^^^^^^^^^^ Das ist fals. Es musss 0.0.0.0/0 heissen. 0.0.0.0 bedeutet 0.0.0.0/32 also den Rachner mit dem IP-Addresse 0.0.0.0. Und davon gebt es recht wenig. Diese Fehler habe ich mal auch gemacht, hat mir sehr viel Zeit und graue Hare gekostet. > > - aber es klappt trotzdem nicht von außen :-( > Aber das werde ich auch noch schaffen ;-) > > MfG > Dieter Gruß -- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly(a)suse.de _\_/ -----------------------------------

3 2

squidGuard funktioniert jetzt :-)
by dkroemer＠t-online.de 06 Mar '03

06 Mar '03

Hi, nach einigem Herumspielen läuft nun squidGuard. Ich bin folgendermaßen vorgegangen: 1. Erstellen der Ordner: /var/squidGuard/logs /var/squidGuard/db/blacklist (als owner habe ich diesen squid.squid gegeben) 2. Veränderungen in /etc/squidGuard.conf: logdir: /var/squidGuard/logs ... redirect http://schulserver.rs-schesslitz.ba.shuttle.de (redirect muss natürlich noch sinnvoller gewählt werden, aber mit schulserver/verboten.html funktioniert es zumindest bei mir überhaupt nicht) 3. Zusätzlihce Einträge in /etc/chroot.d/squid.rc: CHROOT_DIRS ... /var/squidGuard/logs (der Liste hinzugefügt) ... FILES_DIV ... /var/squidGuard/db/blacklist/* (der Liste hinzugefügt) (ob hierdurch irgendwelche Sicherheitsrisiken entstehen, weiß ich leider nicht) 4. Erstellen der Dateien 'domains' 'urls' 'expressions' im Ordner /var/squidGuard/db/blacklist Dabei habe ich testweise mal in domains geschrieben: www.sex.de in urls: sex.de/ (expressions habe ich leer gelassen) 5. Danach noch die Datenbank neu erzeugen: squidGuard -C all -c /etc/squidGuard.conf 6. Squid neustarten: /etc/init.de/squid restart fertig - das waren die Veränderungen, ob diese alle nötig sind, oder ob man mit weniger auskommen kann, weiß ich leider nicht. Wenn man jetzt www.sex.de aufruft, kommt eine Box, in der die Fehlermeldung steht: Redirection limit for this url exceeded. Unable to load ... (Hier könnte/müsste man noch eine Webseite aufgehen lassen, die die Fehlermeldung etwas klarer darstellt.) Viele Grüße Dieter

3 4