Liebe Leute, ich habe ein paar Rechner, die per NFS Verzeichnisse von einem anderen Rechner holen. Alles findet in einem Subnetz statt. Darin sind noch viele andere Rechner, die nichts damit zu tun haben (sollen). Nun möchte ich das NFS (Version 3) gerne per IPsec absichern. Ich habe das nach der Anleitung von Ralf Spenneberg (http://www.ipsec-howto.org/) für eine Server/Client-Kombination auch schon hinbekommen. Aber: 1. Weiß ich noch nicht, wie ich das elegant nach jedem Booten automatisiert hinbekomme und 2. habe ich es noch nicht wirklich verstanden. Ich kann noch nicht jede einzelne Zeile der Konfigurationsdateien und der Shellskripte verstehen. Das ist für etwas sicherheitsrelevantes nicht gut... Deshalb suche ich nach einer aktuellen, umfangreicheren Doku für IPsec im Transportmodus. Kennt jemand so etwas? Ich habe nix gefunden. Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, Am 26.01.2010 11:09, schrieb Jan Handwerker:
Liebe Leute,
ich habe ein paar Rechner, die per NFS Verzeichnisse von einem anderen Rechner holen. Alles findet in einem Subnetz statt. Darin sind noch viele andere Rechner, die nichts damit zu tun haben (sollen).
Nun möchte ich das NFS (Version 3) gerne per IPsec absichern. Ich habe das nach der Anleitung von Ralf Spenneberg (http://www.ipsec-howto.org/) für eine Server/Client-Kombination auch schon hinbekommen.
Ich kenne IPSec primär eher zum Tunneln von LANs als VPN über das Internet; für das Absichern innerhalb eines LAN ist das ein wenig wie Kanonen auf Spatzen, oder? Ich persönlich würde da eher über die Konfiguration eines VLAN nachdenken, in das ich die entsprechenden Rechner bringen würde.
Aber: 1. Weiß ich noch nicht, wie ich das elegant nach jedem Booten automatisiert hinbekomme und 2. habe ich es noch nicht wirklich verstanden. Ich kann noch nicht jede einzelne Zeile der Konfigurationsdateien und der Shellskripte verstehen. Das ist für etwas sicherheitsrelevantes nicht gut...
Den automatischen Start kann man auch hier über ein init-Script (siehe '/etc/init.d/*') regeln. Am einfachsten nimmt man sich eines der einfacheren anderen als Vorlage, schmeißt erst einmal alles, bis auf das case-Gerüst, raus und füllt das dann mit den entsprechenden start- und stop-Anweisungen wieder auf. Nicht elegant, funktioniert aber und ist recht einfach. Das Verständnis über IPSec braucht nach meiner Erfahrung sehr lange. Wissen, und besser noch Erfahrungen, im Bereich der Kryptografie sind da sehr hilfreich, wenn man das ganze wirklich verstehen will. Das alles ist an sich ein richtig heftiges, langwieriges - vor allem staubtrockendes - Kopfschmerzthema.
Deshalb suche ich nach einer aktuellen, umfangreicheren Doku für IPsec im Transportmodus. Kennt jemand so etwas? Ich habe nix gefunden.
Konkret gibt es da leider nicht so viel, oder zumindest habe ich nicht viel gefunden. Ganz brauchbare Infos bietet die Homepage openswan.org und deren Sublinks. Ich habe hinterher die Alternative 'strongSWAN' benutzt. Dort ist die Doku etwas besser und die Config ein wenig einfacher (wenn auch nicht viel). Gruß Stefan - -- ? S T E F A N ? J U R I S C H ? ====================================== System Engineer ? Department VMware® Software Development ====================================== SIEGNETZ.Informationstechnologie® GmbH Schneppenkauten 1a ? DE 57076 Siegen phone +49 271 68193 -0 ? facsimile -28 web www.siegnetz.de ? info@siegnetz.de Geschäftsfuehrer: Oliver Seitz Amtsgericht Siegen HRB4838 Sitz der Gesellschaft ist Siegen Das Wort "WINDOWS" stammt aus einem alten Sioux-Dialekt und bedeutet: "Weißer Mann starrt durch Glasscheibe auf Sanduhr." The word "WINDOWS" originates from an old Sioux dialect and means: "White man staring through glass pane at hourglass." -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAktewzMACgkQqdb99cbyCz7IZgCfVkLBM83S2CC9t7803PdXJJOv PfcAmQHMqn0YYNsBlB/9fqukFd9iZZbT =ocj2 -----END PGP SIGNATURE----- -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Stefan Jurisch wrote:
Hallo,
Am 26.01.2010 11:09, schrieb Jan Handwerker:
Nun möchte ich das NFS (Version 3) gerne per IPsec absichern. Ich habe das nach der Anleitung von Ralf Spenneberg (http://www.ipsec-howto.org/) für eine Server/Client-Kombination auch schon hinbekommen.
Aber: 1. Weiß ich noch nicht, wie ich das elegant nach jedem Booten automatisiert hinbekomme und 2. habe ich es noch nicht wirklich verstanden. Ich kann noch nicht jede einzelne Zeile der Konfigurationsdateien und der Shellskripte verstehen. Das ist für etwas sicherheitsrelevantes nicht gut...
Den automatischen Start kann man auch hier über ein init-Script (siehe '/etc/init.d/*') regeln.
Ist das wirklich eine gute Idee? Muss das Skript zum initiieren von ipsec nicht zwingend teil des network-Skripts sein? Andernfalls wäre vorstellbar, dass zwar das Netzwerk gestartet werden kann, aber aufgrund eines Konfigurationsskriptes das ipsec nicht. Dann wären die entsprechenden Verzeichnisse wieder ungeschützt freigegeben... Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Jan, Am 26.01.2010 15:17, schrieb Jan Handwerker:
Ist das wirklich eine gute Idee? Muss das Skript zum initiieren von ipsec nicht zwingend teil des network-Skripts sein? Andernfalls wäre vorstellbar, dass zwar das Netzwerk gestartet werden kann, aber aufgrund eines Konfigurationsskriptes das ipsec nicht. Dann wären die entsprechenden Verzeichnisse wieder ungeschützt freigegeben...
Man kann die Reihenfolge der Abarbeitung der initscripts in den einzelnen Levels beeinflussen, aber der dazu passende Befehl fällt mir gerade nicht ein. Du hast aber Recht, man kann das - ich kam nur icht direkt drauf - auch direkt im Networking-Kontext abarbeiten lassen. Das ist mit Sicherheit ein sauberer Weg. Schau einfach unter /etc/sysconfig/network/if-up.d/ Dort kannst Du Scripte hinterlegen, die nach dem Netzwerkstart durchgeführt werden sollen. Das Gegenstück dazu bietet 'if-down.d'. Gruß Stefan - -- ? S T E F A N ? J U R I S C H ? ====================================== System Engineer ? Department VMware® Software Development ====================================== SIEGNETZ.Informationstechnologie® GmbH Schneppenkauten 1a ? DE 57076 Siegen phone +49 271 68193 -0 ? facsimile -28 web www.siegnetz.de ? info@siegnetz.de Geschäftsfuehrer: Oliver Seitz Amtsgericht Siegen HRB4838 Sitz der Gesellschaft ist Siegen Das Wort "WINDOWS" stammt aus einem alten Sioux-Dialekt und bedeutet: "Weißer Mann starrt durch Glasscheibe auf Sanduhr." The word "WINDOWS" originates from an old Sioux dialect and means: "White man staring through glass pane at hourglass." -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAktfBkYACgkQqdb99cbyCz4QFgCffF5xR4vPwebOezMb+Z1Thz6n vJMAn3pBEKaY9DWBovOSyT3jhaK3DzuD =bJoW -----END PGP SIGNATURE----- -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 26. Januar 2010 schrieb Stefan Jurisch:
Hallo Jan,
Am 26.01.2010 15:17, schrieb Jan Handwerker: ...
vorstellbar, dass zwar das Netzwerk gestartet werden kann, aber aufgrund eines Konfigurationsskriptes das ipsec nicht. Dann wären die entsprechenden Verzeichnisse wieder ungeschützt freigegeben...
Man kann die Reihenfolge der Abarbeitung der initscripts in den einzelnen Levels beeinflussen, aber der dazu passende Befehl fällt mir gerade nicht ein.
macht das nicht mittlerweile die insserv-Mimik anhand der in den Skripten angegeben Abhängigkeiten? Letztlich wird es auf die Nummerierung hinauslaufen, die dann vom Einrichtungsskript passend vergeben wird. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, Am 26.01.2010 16:24, schrieb Martin Hofius:
macht das nicht mittlerweile die insserv-Mimik anhand der in den Skripten angegeben Abhängigkeiten? Letztlich wird es auf die Nummerierung hinauslaufen, die dann vom Einrichtungsskript passend vergeben wird.
genau dieses ganze 'insserv'-Zeugs meinte ich auch. Das arbeitet, wenn ich es gerade richtig denke, mit den Angaben im Header der initscripts. Gruß Stefan - -- ? S T E F A N ? J U R I S C H ? ====================================== System Engineer ? Department VMware® Software Development ====================================== SIEGNETZ.Informationstechnologie® GmbH Schneppenkauten 1a ? DE 57076 Siegen phone +49 271 68193 -0 ? facsimile -28 web www.siegnetz.de ? info@siegnetz.de Geschäftsfuehrer: Oliver Seitz Amtsgericht Siegen HRB4838 Sitz der Gesellschaft ist Siegen Das Wort "WINDOWS" stammt aus einem alten Sioux-Dialekt und bedeutet: "Weißer Mann starrt durch Glasscheibe auf Sanduhr." The word "WINDOWS" originates from an old Sioux dialect and means: "White man staring through glass pane at hourglass." -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAktfC7gACgkQqdb99cbyCz4YrgCff9zH0fi8+5hPdm3vwoOSRbd3 ZmgAnAsV1i6nTpeEDY+MB54vLPwXyy+m =kaHZ -----END PGP SIGNATURE----- -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Jan Handwerker -
Martin Hofius -
Stefan Jurisch