Hi Liste! Folgende Anfrage: Ich habe einen Linux-Router (IP-Masquerading) fuer meine Windows-PC. Auf der Kiste laeuft ein X-Server der verschiedene Tasks ausfuehrt. XOSVIEW, ISDN-TOOLS, Domino-Server usw. Auf diesem Router bin ich als root eingeloggt (für X11, graphical login). Die o.a. Programme laufen mit dieser ID. Ausserdem als SU "Nutzer" laeuft Netscape und holt Mails ab. Der Domino-Server lauft auch unter einer normalen Benutzerkennung. Ist das sicher oder darf auf dem Gateway gar kein root eingeloggt sein? Danke! PS: Maybe bloede Frage - ich koennte mich ja auch normal einloggen...? --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: Jens Haase Hi Jens,
Ich habe einen Linux-Router (IP-Masquerading) fuer meine Windows-PC. Auf der Kiste laeuft ein X-Server der verschiedene Tasks ausfuehrt. XOSVIEW, ISDN-TOOLS, Domino-Server usw. [...] Ist das sicher oder darf auf dem Gateway gar kein root eingeloggt sein?
hmm was ist schon sicher? aber nach dem was ich gelesen habe (ich meine Artikel/Bücher) ist Deine Konfiguration nicht sicher :(... Du betreibst den Rechner quasi als äußeren Router für Dein Grenznetz... nehme ich mal an... hast Du noch einen internen Router? Laut div. Bücher/Artikel die ich mir über Firewalls "rein gezogen habe" (Liste siehe unten) sollte auf dem äußeren Router gar kein X-Server laufen. Wenn möglich sollten Compiler, POP3 und div. andere Sachen auch nicht installiert sein. Ich habe, um diese Problem zu lösen jeweils verschiedene Rechner für die verschiedenen Dienste benutzt. Einen als äußeren Router (minimale Linuxinstallation), einen mit POP3, Apache, Squid,... und einen als inneren Router. Der Rechner mit POP3, Apache, Squid,... ist der Bastionshost. Selbst diese Konfiguration würde ich nicht als sicher bezeichnen...denn man wird immer wieder eines besseren belehrt ;) Bücher Artikel zu Sicherheitsfragen und Firewalls : Suse Handbuch zur Linuxdistr. Linux Firewalls / New Riders Einrichten von Internet Firewalls / O'Reilly TCP/IP Netzwerk-Administration / O'Reilly iX Magazin 05/2000 Sicherheit/I Linux Magazin 04/00 Artikle Firewalls online unter www.linux-magazin.de das sind Bücher/Artikel die ich gelesen habe... es gibt sicher auch andere (gute/bessere/schlechtere) Bücher über Firewalls die ich nicht kenne! Die Liste ist völlig wertungsfrei! Gruß Stefan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, * Stefan Grenda schrieb am 15.Mai.2000:
From: Jens Haase
Ich habe einen Linux-Router (IP-Masquerading) fuer meine Windows-PC. Auf der Kiste laeuft ein X-Server der verschiedene Tasks ausfuehrt.
Nur ein X-Server und kein Windowmanager? Merkwürdig. Geht zwar, aber wenn ich schon ein X-Server habe, dann möchte ich auch meine Fenster verschieben können.
XOSVIEW, ISDN-TOOLS, Domino-Server usw. [...] Ist das sicher oder darf auf dem Gateway gar kein root eingeloggt sein?
Puh, ha. Interne Angreifer haben es da natürlich leichter, wenn einem ein root-Promt entgegenlacht. Aber wer physikalischen zugang zum Rechner hat, der kann eh alles machen.
Du betreibst den Rechner quasi als äußeren Router für Dein Grenznetz... nehme ich mal an... hast Du noch einen internen Router? Laut div. Bücher/Artikel die ich mir über Firewalls "rein gezogen habe" (Liste siehe unten) sollte auf dem äußeren Router gar kein X-Server laufen.
Warum auch? Was macht das für einen Sinn? Ein Router ist ein Router und keine Spielkonsole. Das bischen administrieren kann man doch auch auf der Konsole machen. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: Bernd Brodesser Hallo,
Stefan Grenda schrieb am 15.Mai.2000: Du betreibst den Rechner quasi als äußeren Router für Dein Grenznetz... nehme ich mal an... hast Du noch einen internen Router? Laut div. Bücher/Artikel die ich mir über Firewalls "rein gezogen habe" (Liste siehe unten) sollte auf dem äußeren Router gar kein X-Server laufen.
Warum auch? Was macht das für einen Sinn? Ein Router ist ein Router und keine Spielkonsole. Das bischen administrieren kann man doch auch auf der Konsole machen.
ich habe schon Leute gesehen die wegen Hardwaremangels auf dem äußeren Router auch Squid installiert haben so weit so gut... und weil man die Statistiken von Squid gerne als html haben möchte wird noch schnell Apache mit installiert ... und damit man die htlm-files auch lokal sehen kann hat man halt X-Windows installiert um unter Netscape die html's anzusehen... das sieht doch so schön aus (O-TON!!) .... also nicht mal administrieren... sondern nur zum kucken ;) ...und damit man nicht immer zum Server in den Keller rennen muste wurde eben das htdocs fürs Netz zugänglich gemacht. Sowas nennt man wohl eher firewood als firewall. Die spitze wäre wohl die Installation von Webmin... oder gibt's noch was zum toppen ?? (Da kenne ich mich nicht so aus) Nun hast Du nach dem Sinn gefragt... den kann ich Dir beim bestn Willen auch nicht beantworten... aber die Motivation mancher Leute X-Server auf einen Router zu installieren sie damit teilweise geklärt. Dazu passt wohl der folgende Spruch den ich mal gelesen habe: "Unterstelle niemals böse Absichten, wenn sich etwas auch durch bloße Dummheit erklären läßt" ;) Viele Grüße Stefan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: "Stefan Grenda"
From: Bernd Brodesser
Stefan Grenda schrieb am 15.Mai.2000: Du betreibst den Rechner quasi als äußeren Router für Dein Grenznetz... nehme ich mal an... hast Du noch einen internen Router? Laut div. Bücher/Artikel die ich mir über Firewalls "rein gezogen habe" (Liste siehe unten) sollte auf dem äußeren Router gar kein X-Server laufen.
Warum auch? Was macht das für einen Sinn? Ein Router ist ein Router und keine Spielkonsole. Das bischen administrieren kann man doch auch auf der Konsole machen.
ich habe schon Leute gesehen die wegen Hardwaremangels auf dem äußeren Router auch Squid installiert haben so weit so gut... und weil man die Statistiken von Squid gerne als html haben möchte wird noch schnell Apache mit installiert ... und damit
Hardwaremangel? Also, in einer Firma würde ich eine solche Lösung natürlich nicht anstreben. Aber privat habe ich hier (als Student) einen Pentium 100/32 MB stehen, der Internet-Routing und Masquerading macht, mit Squid, lokalem IRC-Server, Samba für die Platten, FTP, einem Apache (eben für die Statistiken, aber aus dem Netz und nicht lokal am X-Server mit Netscape ;) ), ... Ich hab halt nicht das Geld (und den Platz) über, mir 5 verschiedene Rechner hinzustellen und "in Reihe" zu schalten.
man die htlm-files auch lokal sehen kann hat man halt X-Windows installiert um unter Netscape die html's anzusehen... das sieht doch so schön aus (O-TON!!) .... also nicht mal administrieren... sondern nur zum kucken ;)
Naja, dass ist dann wohl wirklich ein bisschen viel... besonders für meinen Rechner
...und damit man nicht immer zum Server in den Keller rennen muste wurde eben das htdocs fürs Netz zugänglich gemacht. Sowas nennt man wohl eher firewood als firewall. Die spitze wäre wohl die Installation von Webmin... oder gibt's noch was zum toppen ?? (Da kenne ich mich nicht so aus)
Webmin läuft bei mir sehr zuverlässig ;)
Nun hast Du nach dem Sinn gefragt... den kann ich Dir beim bestn Willen auch nicht beantworten... aber die Motivation mancher Leute X-Server auf einen Router zu installieren sie damit teilweise geklärt.
Einen X-Server würde ich schon aus Performance-Gründen (und wegen meiner Hercules-Grafikkarte) nicht nutzen.
Dazu passt wohl der folgende Spruch den ich mal gelesen habe: "Unterstelle niemals böse Absichten, wenn sich etwas auch durch bloße Dummheit erklären läßt" ;)
Wie gesagt, man muss zwischen Firma und Privat (und Studenten als Subklasse) unterscheiden. -- Marco Dieckhoff --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Tue, 16 May 2000, schrieb Stefan Grenda:
From: Bernd Brodesser Hallo,
Stefan Grenda schrieb am 15.Mai.2000:
Die spitze wäre wohl die Installation von Webmin... oder gibt's noch was zum toppen ?? (Da kenne ich mich nicht so aus) Hm, vielleicht noch SMB und eine komplette Entwicklungsumgebung (man muss ja ab und an mal die Software zwecks Update neu backen). Dazu könnte man noch wget installieren damit man die Sache Remote runter laden lassen kann... :-> (so von zuhause oder so) Mehr Unsinn fällt mir jetzt auch nicht ein. ;-)
Cu, Sven --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
B.Brodesser@online-club.de
-
hoexter@orgaprog.de
-
Jens_Haase@t-online.de
-
linux@jwr.de
-
stefan.grenda@ruhr-uni-bochum.de