Hi Liste, ich habe in die Datei /etc/hosts.deny die Zeile >ALL : ALL< eingetragen. Nun kann ich kein Telnet, POP3 und auch kein ftp mehr - super. Leider komme ich immer noch mit >telnet ip 25< auf den smtp-Daemon. Wie kann ich dies verhindern - und - komme ich da noch auf andere Dienste die ich sichern muss? Danke Uwe KLAUS --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Uwe KLAUS <ukl@global-connect.ch> [000815 09:21]:
ich habe in die Datei /etc/hosts.deny die Zeile >ALL : ALL< eingetragen. Nun kann ich kein Telnet, POP3 und auch kein ftp mehr - super. Leider komme ich immer noch mit >telnet ip 25< auf den smtp-Daemon. Wie kann ich dies verhindern - und - komme ich da noch auf andere Dienste die ich sichern muss?
Die Dateien /etc/hosts.deny bzw. /etc/hosts.allow regeln den Zugriff auf Dienste, die ueber tcpd gestartet werden. Wenn Du auch den sendmail-Daemonen so kontrollieren moechtest, musst Du auch ihn ueber den tcpd-wrapper starten und nicht direkt. Dazu kommt folgender Eintrag in die /etc/inetd.conf mtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sendmail -bs Jetzt kannst Du den Zugriff wie gewohnt ueber hosts.deny und hosts.allow einstellen, zB: endmail : ALL EXCEPT LOCAL Fuer weitere Informationen: man tcpd. Christian -- christian molls student of laws univ of cologne --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Uwe KLAUS wrote:
ich habe in die Datei /etc/hosts.deny die Zeile >ALL : ALL< eingetragen. Nun kann ich kein Telnet, POP3 und auch kein ftp mehr - super. Leider komme ich immer noch mit >telnet ip 25< auf den smtp-Daemon. Wie kann ich dies verhindern - und - komme ich da noch auf andere Dienste die ich sichern muss?
Was steht denn in /etc/hosts.allow? Die wird vor hosts.deny abgearbeitet. Grundsätzlich solltest du alle Dienste, die du nicht brauchst, in der Datei /etc/inetd.conf auskommentieren und möglichst auch deinstallieren. christian -- Bitte kein CC: bei Antwort an Mailingliste Etikette per Mail: To: mailings-suse@gmx.de Subject: send etikette http://www.ndh.net/home/schult/etikette.html --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Uwe KLAUS <ukl@global-connect.ch> [000815 09:21]:
ich habe in die Datei /etc/hosts.deny die Zeile >ALL : ALL< eingetragen. Nun kann ich kein Telnet, POP3 und auch kein ftp mehr - super. Leider komme ich immer noch mit >telnet ip 25< auf den smtp-Daemon. Wie kann ich dies verhindern - und - komme ich da noch auf andere Dienste die ich sichern muss?
Die Dateien /etc/hosts.deny bzw. /etc/hosts.allow regeln den Zugriff auf Dienste, die ueber tcpd gestartet werden. Wenn Du auch den sendmail-Daemonen so kontrollieren moechtest, musst Du auch ihn ueber den tcpd-wrapper starten und nicht direkt. Dazu kommt folgender Eintrag in die /etc/inetd.conf mtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sendmail -bs Jetzt kannst Du den Zugriff wie gewohnt ueber hosts.deny und hosts.allow einstellen, zB: endmail : ALL EXCEPT LOCAL Fuer weitere Informationen: man tcpd. Christian -- christian molls student of laws univ of cologne --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Christian Molls schrieb:
* Uwe KLAUS <ukl@global-connect.ch> [000815 09:21]:
ich habe in die Datei /etc/hosts.deny die Zeile >ALL : ALL< eingetragen. Nun kann ich kein Telnet, POP3 und auch kein ftp mehr - super. Leider komme ich immer noch mit >telnet ip 25< auf den smtp-Daemon. Wie kann ich dies verhindern - und - komme ich da noch auf andere Dienste die ich sichern muss?
Die Dateien /etc/hosts.deny bzw. /etc/hosts.allow regeln den Zugriff auf Dienste, die ueber tcpd gestartet werden. Wenn Du auch den sendmail-Daemonen so kontrollieren moechtest, musst Du auch ihn ueber den tcpd-wrapper starten und nicht direkt.
Dazu kommt folgender Eintrag in die /etc/inetd.conf
smtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sendmail -bs
Jetzt kannst Du den Zugriff wie gewohnt ueber hosts.deny und hosts.allow einstellen, zB:
Ok - ich habe in YAST smtp auf no gesetzt und die angegebene Zeile in /etc/inetd.conf "entkommentiert". Jetzt startet sendmail erst auf Anfrage. Aber obwohl in /etc/hosts.deny die Zeile ALL : ALL steht und in /etc/hosts.allow alle Zeilen geloescht sind, startet smtp auch mit >telnet ip 25< Danke fuer weitere Tips Uwe KLAUS --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Uwe KLAUS wrote:
Ok - ich habe in YAST smtp auf no gesetzt und die angegebene Zeile in /etc/inetd.conf "entkommentiert".
Startest Du auch wirklich ueber den "tcpd"? Standardmaessig steht naemlich in der betroffenen Zeile in der "/etc/inetd.conf" nichts vom "tcpd" drin... Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Uwe KLAUS <ukl@global-connect.ch> [000815 10:53]:
Ok - ich habe in YAST smtp auf no gesetzt und die angegebene Zeile in /etc/inetd.conf "entkommentiert". Jetzt startet sendmail erst auf Anfrage. Aber obwohl in /etc/hosts.deny die Zeile ALL : ALL steht und in /etc/hosts.allow alle Zeilen geloescht sind, startet smtp auch mit >telnet ip 25<
Ueberpruefe bitte noch einmal, ob die Zeile in Deiner inetd.conf genau so wie die unten aussieht. mtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sendmail -bs ^^^^^^^^^^^^^^ Wichtig! Danach den inetd neu starten: kill -HUP <pid von inetd> --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Christian Molls schrieb:
* Uwe KLAUS <ukl@global-connect.ch> [000815 10:53]:
Ok - ich habe in YAST smtp auf no gesetzt und die angegebene Zeile in /etc/inetd.conf "entkommentiert". Jetzt startet sendmail erst auf Anfrage. Aber obwohl in /etc/hosts.deny die Zeile ALL : ALL steht und in /etc/hosts.allow alle Zeilen geloescht sind, startet smtp auch mit >telnet ip 25<
Ueberpruefe bitte noch einmal, ob die Zeile in Deiner inetd.conf genau so wie die unten aussieht.
smtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sendmail -bs ^^^^^^^^^^^^^^ Wichtig!
Danach den inetd neu starten: kill -HUP <pid von inetd>
Jabba Dabba Du Vielen Dank, das wars!!! mfg Uwe KLAUS --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
At 10:52 15.08.00 +0200, Uwe KLAUS wrote:
Ok - ich habe in YAST smtp auf no gesetzt und die angegebene Zeile in /etc/inetd.conf "entkommentiert". Jetzt startet sendmail erst auf Anfrage. Aber obwohl in /etc/hosts.deny die Zeile ALL : ALL steht und in /etc/hosts.allow alle Zeilen geloescht sind, startet smtp auch mit >telnet ip 25<
warum startes Du das ueberhaupt wenn sowieso keiner drauf zugreifen darf ? lass doch einfach alles weg, so wie das ausschaut brauchst Du ja nicht mal den inetd starten, wenn Du alles dicht gemacht hast kommt sowieso keiner drauf, und spart Speicherplatz im RAM wenn nix laeuft! und wenn Du zB. sendmail verwenden moechtest, einfach direkt aufrufen. -- und servus <o) Hans Klein /\\ _\_v /* http://www.net-con.net */ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Uwe KLAUS wrote:
Leider komme ich immer noch mit >telnet ip 25< auf den smtp-Daemon.
Das liegt daran, dass Eintraege in "/etc/hosts.allow" und "/etc/hosts.deny" nur Einfluss auf den "tcp-wrapper" (tcpd) haben. Bei den von Dir genannten funktionierenden Beispielen "telnet", "pop3", "ftp" ruft der "inetd" ueber den "tcpd" den eigentlichen Daemon auf. In der Regel laeuft der "sendmail", also "smtp"-Daemon jedoch staendig und hat mit "inetd" und "tcpd" nichts zu tun. Daher werden auch "/etc/hosts.allow" und "/etc/hosts.deny" vom "smtp"-Daemon nicht weiter beruecksichtigt.
Wie kann ich dies verhindern
Du kannst z.B. "sendmail" auch ueber "inetd" und "tcpd" starten. In Deiner "/etc/inetd.conf" muesste da schon eine Zeile drinstehen, die vermutl. momentan mit einem Kommentarzeichen versehen ist ("#") und ggf. noch ein wenig abgaendert werden muss ("tcpd", usw.). Zum Schluss musst Du dem "inetd" ein HangUP-Singal senden, damit der die Konfigurationsdatei neu einliest. In diesem Fall muss aber darauf geachtet werden, dass "sendmail" nicht sowieso schon als Daemon gestartet wird. Wie es jedoch mit dem Abarbeiten von evtl. gequeuten Mails aussieht, wenn "sendmail" nicht staendig laeuft, weiss ich nicht. Die zweite Moeglichkeit waere, dass Du mittels "ipchains" Firewall-Rules aufsetzt, um den Zugriff zu verbieten.
- und - komme ich da noch auf andere Dienste die ich sichern muss?
Abgesehen davon, dass es aus Sicherheitsgruenden sinnvoll ist, alle nicht benoetigten Services in der "/etc/inetd.conf" zu deaktivieren (mit einem Kommentarzeichen). Mittels "netsatat -a" siehst Du, welche Dienste auf Deinem System lauschen ("LISTEN"). Da solltest Du eben nach und nach alle auf dem System aktiven Dienste durchgehen und schauen, ob sie von aussen erreichbar sind oder ob ggf. weitere Massnahmen erforderlich sind. Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (6)
-
CMolls@smail.uni-koeln.de -
cschult@gmx.de -
hansi.klein@net-con.net -
molls@rrz.uni-koeln.de -
moser@egu.schule.ulm.de -
ukl@global-connect.ch