Hallo Liste,
hat schon mal jemand den SLSS mit anderen IP einstellungen installiert? Ich
würde ich gerne in ein 192.168.9.x Netz einbinden. Reicht es, wenn man bei
der Installation die gewünschten Bereiche einträgt, oder hat das
weiterreichende Konsequenzen? (Wenn ja, wo muss man noch schrauben?)
Viele Grüße
Wolfgang Höfer
Hallo,
heute habe ich es endlich! geschafft von außen auf meinen
(Test-)Schulserver mittels dyndns zuzugreifen :-)
Die Datei /etc/http-extern/redirects.fas sieht dann folgendermaßen
aus:
---
Directory proxy:*>
Allow from all
</Directory>
ProxyPass / http://192.168.0.2/
ProxyPassReverse / http://192.168.0.2/
---
Ob hierdurch zusätzliche Sicherheitslücken außer dem Zugriff von außen
geöffnet wurden, kann ich leider nicht beurteilen :-(
Übrigens funktioniert 'All from 0.0.0.0/0' nicht, da beim Starten von
http-extern für diese Zeile ein Syntax-Error gemeldet wird.
Jetzt aber meine Frage bzw. mein Hinweis:
Wenn man den Mailserver (192.168.0.3) und Adminserver (192.168.0.2) wie
im Moment mittels http aufrufen darf, werden die Passwörter im Klartext
übermittelt. Im LAN würde mich das nicht sonderlich stören, wenn aber
der Server von außen erreichbar sein soll, z.B. zum Mailabholen oder
sonstigen Dingen, bei denen man sein Passwort eingeben soll, ist das
Risiko viel zu hoch, dass irgendein findiger Schüler einen Sniffer
(oder wie immer das heißen mag) mitlaufen lässt und die Passwörter
abhört. Dann würde jeder Schüler eine Ausrede haben, wenn mit seinem
Account Blödsinn gemacht wird: mein Passwort hat jemand abgehört ...
Ist es möglich, dass man den Apache so umstellt, dass diese Seiten nur
noch mittels https aufgerufen werden können, dann würden die Passwörter
nur noch veschlüsselt übertragen werden und diese Problematik wäre
vorbei - ich weiß dass Herr Varkoly vor längerer Zeit einmal danach
gefragt hatte, da ich aber damals davon noch keine Ahnung hatte, konnte
ich dazu nichts sagen :-(
Viele Grüße
Dieter
P.S.: Meine email-Adresse lautet demnächst: kroe(a)rs-schesslitz.de;
unter der t-online-Adresse bin ich dann/absofort nicht mehr zu
erreichen.(unter kroe(a)rs-schesslitz.de bin ich jetzt schon erreichbar)
Hallo Herr Varkoly,
am 2. Tag in Gräfenberg haben wir noch einige Verbesserungen zur
Integration von Windows 2000/XP über Samba in den Schulserver probiert:
1. Anmelden der Clients an den Schulserver:
Erst nach folgenden Befehlszeilen auf der Console funktionierte es:
rcsmb stop (so oft bis alle SAMBA Daemons unten sind)
rcnmb stop
rcnmb start
rcsmb start
2. Der Name der Windows Domäne sollte nicht länger wie 15 Zeichen sein,
sonst können keine Windows NT/2000/XP Clients vernüftig in der
Domäne arbeiten.
3. Ergänzungen in der SAMBA conf
Bitte den Profile-Share ändern
[profile]
comment = Proifilshare
path = /var/lib/samba/profiles
admin users = root
read only = No
create mask = 0600
directory mask = 0700
profile acls = Yes
browseable = No
Hier sammeln sich dann die Windows Profile aller Benutzer, man sollte
Sie also auch beim entfernen eines Benutzers aus dem Schulserver
automatisch löschen.
beim netlogon-Share folgende Zeile ändern:
path = /var/lib/samba/netlogon/%G
Dies ermöglicht Gruppenbasierte Verzeichnisse. So kann den Schülern und
Lehrern automatisch ein Windows-Profil zugeteilt werden:
Es müssen also noch Unterverzeichnisse users, teachers, workstations
angelegt werden.
Damit der Administrator auch im das netlogon-Share nicht nur seine
Gruppe sieht (Gruppe root) muss ein Symbolischer Link auf das
Verzeichnis gesetzt werden.
ich glaube:
ln /var/lib/samba/netlogon /root (Sollte in ls -al so aussehen root
-> /var /lib/samba/netlogon/)
Legt man nun dort ein Profil einer Windows 2000 Workstation unter dem
Verzeichnis Default User ab, so bekommen alle Benutzer dieser Gruppen,
dies als Standard-Profil.
4. Druckereinbindung über CUPS:
Der Cups-Server ist so eingestellt,. dass er sich nur vom Linux-Server
direkt per Web-Oberfläche http://127.0.0.1:631 bedienen läßt. Es wäre
schön, wenn man ihn auch von alle Stationen aus administrieren kann:
Bitte dies freischalten:
hier ein ausschnitt aus der cupsd.conf (mit Freischaltung)
<Location />
Order Deny,Allow
Deny From All
Allow From 127.0.0.1
Allow From 127.0.0.2
Allow From 192.168.*.* # (bzw. 10.*.*.* fürs 10er Netz nicht getestet.)
</Location>
ähnliches bitte auch für den admin Bereich unter <Location /admin>
5. eingerichteter Drucker ließ sich nicht unter Windows 2000 über SAMBA
anzeigen ! Bitte folgende Zeilen in die smb.conf aufnehmen.
[global]
printcap name = CUPS
printer admin = root
printing = cups
So funktioniert mein United Linux Prinsterver in meinen Schulnetz. Habe
allerdings schon auf Samba 2.2.7 upgedatet.
Kann das jemand testen.
Gruß
Markus Bölling
Hallo,
beim Arbeitskreis in Gräfenberg ist das Problem aufgetaucht, dass SquidGuard
bei geblockten Seiten nicht das vorgesehene "Stopp-Bild" zeigt.
Bugfix
(zumindest funktioniert es jetzt, wenn man direkt am Server auf gesperrte
Seiten zugreifen möchte - mit einem Client habe ich noch nicht ausprobieren
können):
Folgende Datei /srv/www/htdocs/verboten.html editieren:
original:
... <img src="/stop.gif">
ändern in
...<img src="http://192.168.0.2/stop.gif">
MfG
Dieter
Hallo,
wenn ich mich von außen (mittels dyndns) über meinen Firewall-on-CD-Rechner
auf den Apache eines Rechners im LAN einlogge funktioniert das ersteinmal so
wie ich das möchte. Wenn ich dann aber z.B. mit phpmyadmin arbeiten möchte
werde ich bei den Datenbanken auf die URL http://192.168.0.254/...
weitergeleitet, anstatt, dass ich auf http://name.dyndns.org/... bleibe. Die
IP gehört dem Rechner mit dem Apache, ist aber natürlich nur innerhalb des
LANs vorhanden. Auch bei anderen Seiten werde ich auf die LAN-IP
weitergeleitet.
In dem Verezichnis /etc/http-extern/rediects.fas steht:
...
ProxyPass / http://192.168.0.254/
ProxyPassReverse / http://192.168.0.254/
Weiß jemand, wie man das Weiterleiten auf die LAN-IP ändern kann?
MfG
Dieter
Während eines Workshop im Gräfenberg haben wir zwei bugs
entdeckt. Unter
ftp://ftp.suse.com/pub/people/varkoly/Schulserver/Updates/web-openschool-1.…
liegt das Update dafür.
Einspielen lässt sich das nach dem runterladen so:
rcsuad stop
rcsessiond stop
rcapache stop
rpm -Uvh web-openschool-1.3.1-6.i586.rpm
rcapache start
rcsessiond start
rcsuad start
Viel Erfolg!
--
-----------------------------------
Péter Varkoly -o)
SuSE Linux AG /\\
e-mail: Peter.Varkoly(a)suse.de _\_/
-----------------------------------
Neue features:
1. Firewall wird standardmäßig mit ldap-Authorisierung installiert.
Man muss also nur an den Clients den gateway als proxy einstellem:
http://proxy port 3128
2. Mit dem FAS ist es möglich acl-s von typ proxy_auth und ident zu
erstellen (proxy_auth selbsverständlich mit squidldap_auth).
Das heisst man kann für bestimmte Benutzern das Surfen auf nur
bestimmte Seiten begrenzen. So eine Enderung bedarf jedoch ein
Neustart des Firewalls.
Standardeinstellung ist: jeder der sich anmeldet kann überall hin,
bisauf der Webseieten die von squidGuard ausschliesst (siehe
nächste Punkt).
3. Auf der Firewall unter /root/bin gibt es 4 Skripte die man jetzt
AUF EIGENE GEFAHR benutzen kann. Ganz wichtig. Alles was auf der
Konfigurationsdiskette von FAS ist wird aus Sicherheitsgründen
mit 660-Rechten ins System kopiert. Deshlab mus man diese Skripte
so ausführen:
/bin/bash /root/bin/<skript> <evtl. attribute>
a) getlist-suse holt die unter
ftp://ftp.suse.com/pub/people/varkoly/Schulserver
liegende backlists.tgz, pakt diese aus, bildet die neue
Datenbanken und startet squid neue.
Bei der Erstinstallation sollte man dies ausführen, sonts
freuen sich die SchülerInnen über ihre neue Freihiet sehr :-)
Will man dieses Skript automatisch ausführen lassen, editiere
man die Datei /etc/crontab auf der Firewall:
-------------->8------------------snip-------------->8---------------
################################################################
# To get the suse "blacklists" make these line active
# Um die SuSE Blacklists regelmäßig zu holen aktivieren
# Sie diese Zeile:
################################################################
#0 2 * * 0 root /bin/bash /root/bin/getlist-suse wait
-------------->8------------------snap-------------->8---------------
^ Kreuzle muss weg.
b) getlist holt die unter
http://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gz
liegende backlists.
sgclean gehört noch zu diesem Skript.
c) dyndns
Client um die IP bei dyndns aktuell zu halten von Dieter
Kroemer. Wie oben beschrieben wird diese Skript auch ohne
executable Rechte ins System kopiert, also es hat keinen Sinn
dieses Skript auf der Diskette ins /floppy/etc/ppp/ip.d zu kopieren.
Endweder dierekt ins Livesystem kopieren, oder es reicht wenn
man wieder /etc/crontab anfasst:
-------------->8------------------snip-------------->8---------------
################################################################
# Um das DynDNS-Skript von <kroe(a)rs-schesslitz.de> zu benutzen
# editieren Sie die Datei /root/bin/dyndns und ktivieren Sie
# die nächste Zeile
################################################################
#0-59/5 * * * * root /bin/bash /root/bin/dyndns
-------------->8------------------snap-------------->8---------------
^ Kreuzle muss weg.
WICHTIG!! Dieses Skript (dyndns) muss erst noch angepasst werden:
-------------->8------------------snip-------------->8---------------
#######################################################
## Configuration ##
## ##
## ##
## login-name, login-passwd hostname bei dyndns.org ##
## ##
USER=name
PASSWD=passwort
DYNHOSTNAME=dynname.dyndns.org
-------------->8------------------snap-------------->8---------------
^ Kreuzle muss weg.
Die Anpassungen an dieser Dateien führt man am beste mit dem FAS
durch: Konfiguration->Dateien Bearbeiten
4. Un jetzt das versprochene Bonbon: Man kann jetzerla Benutzer mit der
Administrationsweboerfläche einfach aus dem Surfen ausschliessen:
Benutzer->Bearbeiten->Internet erlauben/verbiten.
Dazu muss man allerdings noch volgendes Bemerken: Diese sperre greifft
erst, nachdem der auszusperrende mindestens 10 Minuten lang nicht
gesurft hat, oder squid neu gestartet worden ist.
Durch das Setzen der Variable "authenticate_ttl" in der Datei
/etc/squid.conf kann man die länge der "deadtime" beinflussen.
Man sollte auf keinen Fall diese auf 0 setzen, dann authorisiert
squidguard praktisch für jede einzelen URL gegen ldap :-((
Für diese Feature wurde eine neue Objektclasse in LDAP-angelegt.
Das heisst leider, durch einspielen von web-openschool.rpm -Uvh ist
ein Update noch nivht getan. Ich kann natürlich ein Skript schreiben
womit man von 0.83 auf 0.909 updaten kann, aber nur beim Bedarf.
Deshalb habe ich zuerst noch nix neues unter Updates auf der ftp-Seite.
Also bitte melden wen Bedarf da ist.
5. Einige kleine bugs habe ich noch raus.
Gruß und viel Spaß
--
-----------------------------------
Péter Varkoly -o)
SuSE Linux AG /\\
e-mail: Peter.Varkoly(a)suse.de _\_/
-----------------------------------
On Wed, Mar 12, 2003 at 11:25:15PM +0100, Wolfgang Hoefer wrote:
> Hallo Herr Varkoly,
>
> bei der Installation kommt am Ende die Meldung, dass bei der Installation
> des Paketes mysql ein Fehler aufgetreten ist.
> Ist das normal?
Leider ja, aber nicht mehr lange. Wir haben den Fehler gefunden, und es
wrid gefixt. Es hat keine Auswirkungen für die Lauffähigkeit des Systems.
> Wenn nein: Welche Auswirkungen hat das auf das Systems. Wird MySql für die
> Lauffähigkeit des Systems benötigt? Kann man es nachinstallieren, ...?
Es wird ja installiert, kann bloß ein Postinstallaitonsskript nicht
ausführen :-(
>
> Viele Grüße
> Wolfgang Höfer
--
-----------------------------------
Péter Varkoly -o)
SuSE Linux AG /\\
e-mail: Peter.Varkoly(a)suse.de _\_/
-----------------------------------
On Mon, Mar 10, 2003 at 11:33:33PM +0100, Dieter Kroemer wrote:
> Hallo Herr Varkoly,
>
> vor einiger Zeit habe ich unbedingt wissen wollen, ob die Firewall on CD einen
> Update der eigenen IP zu dyndns ermöglicht.
>
> Damit Sie nicht unnötig Zeit hierfür verwenden (aber sehr warhscheinlich haben
> Sie sowie so wichtigere Dinge zu tun) nur kurz die Info von mir, dass ich
> mittlerweile ein Script fertig habe, das nach einer erneuten Einwahl ins
> Internet die IP automatisch updatet und dann per Cronjob alle 5min nachsieht,
> ob die IP noch aktualisiert ist, wenn das nicht der Fall ist, wird die IP neu
> übertragen.
>
> Das Script bentöitgt nur die Befehle wget, grep, rm und awk - die sind alle
> auf der Firewall vorhanden :-)
OK bitte mir zusenden. Ich werde es einpflegen.
>
> Bei Interesse kann ich das Script (muss natürlich noch etwas "verschönert"
> werden), wenn es ganz fertig ist, zuschicken.
>
> Jetzt fehlt mir nur noch die Einstellung bei FAS, dass ich von außen auf den
> Schulserver (oder einen anderen Rechner im LAN) gelangen kann. Http-Proxy
> extern habe ich eingestellt und konfiguriert
>
> Http-Proxy-Port: 80
> automatische Berechnung des Parameter listen to (angekreuzt)
> lokales Verzeichnis: /
> Ziel-Url: http://192.168.0.2/ )
> beide IP-Filter-Regeln (angekreuzt)
> Zugriff erlaubt für: u.a. 0.0.0.0
^^^^^^^^^^^^^^
Das ist fals. Es musss 0.0.0.0/0 heissen. 0.0.0.0 bedeutet
0.0.0.0/32 also den Rachner mit dem IP-Addresse 0.0.0.0. Und davon
gebt es recht wenig. Diese Fehler habe ich mal auch gemacht, hat mir
sehr viel Zeit und graue Hare gekostet.
>
> - aber es klappt trotzdem nicht von außen :-(
> Aber das werde ich auch noch schaffen ;-)
>
> MfG
> Dieter
Gruß
--
-----------------------------------
Péter Varkoly -o)
SuSE Linux AG /\\
e-mail: Peter.Varkoly(a)suse.de _\_/
-----------------------------------
Hi,
nach einigem Herumspielen läuft nun squidGuard.
Ich bin folgendermaßen vorgegangen:
1. Erstellen der Ordner:
/var/squidGuard/logs
/var/squidGuard/db/blacklist
(als owner habe ich diesen squid.squid gegeben)
2. Veränderungen in /etc/squidGuard.conf:
logdir: /var/squidGuard/logs
...
redirect http://schulserver.rs-schesslitz.ba.shuttle.de
(redirect muss natürlich noch sinnvoller gewählt werden, aber mit
schulserver/verboten.html funktioniert es zumindest bei mir überhaupt nicht)
3. Zusätzlihce Einträge in /etc/chroot.d/squid.rc:
CHROOT_DIRS ... /var/squidGuard/logs (der Liste hinzugefügt)
...
FILES_DIV ... /var/squidGuard/db/blacklist/* (der Liste hinzugefügt)
(ob hierdurch irgendwelche Sicherheitsrisiken entstehen, weiß ich leider
nicht)
4. Erstellen der Dateien 'domains' 'urls' 'expressions' im Ordner
/var/squidGuard/db/blacklist
Dabei habe ich testweise mal in
domains geschrieben:
www.sex.de
in urls:
sex.de/
(expressions habe ich leer gelassen)
5. Danach noch die Datenbank neu erzeugen:
squidGuard -C all -c /etc/squidGuard.conf
6. Squid neustarten:
/etc/init.de/squid restart
fertig - das waren die Veränderungen, ob diese alle nötig sind, oder ob man
mit weniger auskommen kann, weiß ich leider nicht.
Wenn man jetzt www.sex.de aufruft, kommt eine Box, in der die Fehlermeldung
steht:
Redirection limit for this url exceeded. Unable to load ...
(Hier könnte/müsste man noch eine Webseite aufgehen lassen, die die
Fehlermeldung etwas klarer darstellt.)
Viele Grüße
Dieter