On Fri, Mar 21, 2003 at 09:31:12PM +0100, Dieter Kroemer wrote:
Hallo,
heute habe ich es endlich! geschafft von außen auf meinen (Test-)Schulserver mittels dyndns zuzugreifen :-)
Die Datei /etc/http-extern/redirects.fas sieht dann folgendermaßen aus:
--- Directory proxy:*> Allow from all </Directory>
ProxyPass / http://192.168.0.2/ ProxyPassReverse / http://192.168.0.2/ ---
Ob hierdurch zusätzliche Sicherheitslücken außer dem Zugriff von außen geöffnet wurden, kann ich leider nicht beurteilen :-(
Übrigens funktioniert 'All from 0.0.0.0/0' nicht, da beim Starten von http-extern für diese Zeile ein Syntax-Error gemeldet wird.
Jetzt aber meine Frage bzw. mein Hinweis: Wenn man den Mailserver (192.168.0.3) und Adminserver (192.168.0.2) wie im Moment mittels http aufrufen darf, werden die Passwörter im Klartext übermittelt. Im LAN würde mich das nicht sonderlich stören, wenn aber der Server von außen erreichbar sein soll, z.B. zum Mailabholen oder sonstigen Dingen, bei denen man sein Passwort eingeben soll, ist das Risiko viel zu hoch, dass irgendein findiger Schüler einen Sniffer (oder wie immer das heißen mag) mitlaufen lässt und die Passwörter abhört. Dann würde jeder Schüler eine Ausrede haben, wenn mit seinem Account Blödsinn gemacht wird: mein Passwort hat jemand abgehört ...
Ist es möglich, dass man den Apache so umstellt, dass diese Seiten nur noch mittels https aufgerufen werden können, dann würden die Passwörter nur noch veschlüsselt übertragen werden und diese Problematik wäre vorbei - ich weiß dass Herr Varkoly vor längerer Zeit einmal danach gefragt hatte, da ich aber damals davon noch keine Ahnung hatte, konnte ich dazu nichts sagen :-(
Schulserver ist sehr benutzerfreundlich, sogar das geht mit Klicki-Klaci-Bunt: 1. http://admin 2. Sich als cyrus anmelden 2. Sicherheit 3. Erstelle/Vernichte CA 4. Eigenes Zertifikat erstellen... Alles schön ausfüllen und merken 5. Sicherheit 6. SSL Konfiguration SSL Aktivieren -> Ein Art der Überprüfung -> none Verifikationstiefe -> 5 Speichern Das war es
Viele Grüße Dieter
P.S.: Meine email-Adresse lautet demnächst: kroe@rs-schesslitz.de; unter der t-online-Adresse bin ich dann/absofort nicht mehr zu erreichen.(unter kroe@rs-schesslitz.de bin ich jetzt schon erreichbar) -- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ -----------------------------------