DanielB

Hi, wenn Du das Kennwort nicht extra eingeben willst und Du eine Distribution einsetzt die PAM unterstützt, dann hilft Dir eventuell folgender Link: http://www.flyn.org/projects/pam_mount/

Hallo, das hab ich mal für meine Kiste zu Hause gebastelt. Eventuell hilft es Dir weiter. Den eMail Teil müsstest Du allerdings hinzufügen, sollte aber nicht weiter schwierig sein. Am besten mittels cron alle 24 Stunden neu starten um die Zähler zu resetten. #!/usr/bin/perl $log = "/var/log/messages"; $max_attempts = 5; $max_logins = 5; my %attempts = {}; my %logins = {}; open(LOGFILE,"tail -f $log |") || die "Error : Unable to open $log. ($!)\n"; $i = 0; while($line = <LOGFILE>) { $i++; if($i > 10) { if(($line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*Failed\spassword\sfor\sroot\sfrom(.*)\sport/) || $line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*Authentication\sfailure\sfor\sroot\sfrom\s(.*)\s/) { $date = $2 . " " . $1; $time = $3; $host = $4; $remote_host = $5; print "Alert: ($date - $time) Failed root login on $host from $remote_host\n"; $attempts{'$remote_host'} = $attempts{'$remote_host'} + 1; if($attempts{'$remote_host'} > $max_attempts) { print "ALERT!!! : Detected more than $max_attempts failed root login attempts on $host from $remote_host\n"; } } elsif($line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*for\sroot\sfrom\s(.*)\s/) { $date = $2 . " " . $1; $time = $3; $host = $4; $remote_host = $5; print "Alert: ($date - $time) root login from $remote_host on $host\n"; $logins{'$remote_host'} = $logins{'$remote_host'} + 1; if($logins{'$remote_host'} > $max_logins) { print "ALERT!!! : Detected more than $max_logins root logins on $host from $remote_host\n"; } } } }

Bei Shared Storage Lösung (z.B. SCSI over Fibre, etc.) empfiehlt sich unter Umständen noch ein STONITH Geräte um sicherzustellen das der Datenbestand konsistent bleibt. Der Heartbeat(www.linux-ha.org) zwischen den beiden Knoten sollte ebenfalls redundant sein, d.h. sowohl über eine serielle Leitung, als auch über die Netzwerkverbindung. Wenn Du High Availability erst meinst sind redundante Netzteile und eine RAID Lösung ebenfalls empfehlenswert, ist natürlich kostenintensiver. Wenn eine solche Failover Lösung kostengünstig realisiert werden soll ist es möglich anstatt einer SCSI over Fibre Lösung, bzw. vergleichbaren externen Speicherlösung, z.B. DRBD zu verwenden (www.drbd.org). DRBD ermöglicht eine Art Netzwerk RAID-1. Allerdings sollte hier zwischen den beiden Knoten eine Gigabit Verbindung Point-to-Point Verbindung über ein Crosskabel existieren, um die Daten schnell synchronisieren zu können. Ausser Heartbeat und DRBD + einiger Skripte ist hier eigentlich keine weitere Software nötig. Der Aufwand für eine solche Lösung hängt im wesentlichen davon ab zu welcher Möglichkeit Du tendierst und welche Dienste abgesichert werden sollen. Die Einrichtung einer Failover Lösung für z.B. Apache, MySQL, Samba, DNS, OpenLDAP auf 2 Knoten schätze ich auf ca. 1 - 2 Tag(e), wenn Du weisst was Du tust. Aber wie gesagt, es kommt sehr stark auf die abzusichernde Software an.

Ja, gibt es. z.B. : export PATH=$PATH:/sbin

Hi, mal ne ganz "blöde" Frage ... Du schreibst immer von "puplic_html", das Verzeichnis heisst jedoch "public_html". Kann es sein, dass Dein Problem ein einfacher Tippfehler ist ?

Wenn Du keine öffentlichen Dienste anbieten möchtest, kannst Du den meisten Programme sagen, dass sie sich nur an die interne Netzwerkadresse binden. Zusätzlich dazu kannst Du natürlich eingehende Verbindungen mit Hilfe von IPTables auf dem externen Interface blocken. In diesem Zusammenhang ist eventuell das Stateful Filtering von Netfilter interessant (-m state --state). Viele Programme erlauben es des weiteren Programminterne ACLs zu verwenden, z.B. allow-query bei BIND, hosts allow bei Samba etc. Weiterhin unterstützen viele Programme tcp-wrapper (/etc/hosts.allow, /etc/hosts.deny). Natürlich gibt es hin und wieder Sicherheitsprobleme mit Serverdiensten, dann heisst es Patchen und das Problem ist verschwunden Für die Logfile Analyse gibt es tonnenweise Tools. Angefangen bei simplen Dingen wie z.B. grep oder Skripten, die nach vordefinierten Einträgen in den Logfiles sehen, über Webinterfaces bis hin zu spezielleren Lösungen, die z.B. nur die Firewall Logs auswerten. Schau einfach mal bei www.freshmeat.net vorbei und benutze die dortige Suchfunktion.

Hallo, nein, Du kannst Samba nur als BDC für einen Windows NT 4.0 Server einsetzen, Windows 2000 BDCs für einen Samba PDC funktionieren nicht. Was sehr wohl funktioniert Samba sowohl als PDC, als auch als BDC in Verbindung mit LDAP. Es gibt auch seitens Samba eigentlich nichts zu replizieren, wenn Du LDAP einsetzt, da sämtliche Informationen im LDAP Verzeichnis gespeichert sind. OpenLDAP unterstüzt Replikas. Wenn Dein Ziel Hochverfügbarkeit sein sollte, so kannst Du weitere Schritte einleiten, um z.B. den Datenbestand beider Server synchron zu halten. Möglichkeiten dafür sind z.B. drbd (http://drbd.cubit.at), nbd, Linux-HA Tools (www.linux-ha.org), etc. Hier findest Du mehr Informationen zu Samba (allerdings auf Englisch) : http://ranger.dnsalias.com/samba-ldap-advanced.php

Hi, ja, die gibt es und heisst in der Regel access.log. Ich benutze kein SuSE, von daher kann ich Dir nicht genau sagen wo sich die Datei bei Dir befindet. Eventuell in /var/log/apache. Du kannst auch nach der Datei suchen : find / -name "access.log" Des weiteren gibt es Tools, wie z.B. Webalizer (http://www.webalizer.org), die eine Auswerung dieser Daten ermöglichen.

Wenn die Serverprogramme, die Du einsetzt im allgemeinen leicht zu knacken sind, solltest Du eventuell über den Einsatz alternativer Software nachdenken Sofern Du diese Dienste auch der breiten Öffentlichkeit anbieten möchtest, nutzt Dir iptables für eben diese Dienste relativ wenig. Der beste Schutzt gegen sogenannte "Script Kiddies" sind nicht Firewall Regeln, sondern regelmässige Updates der zwangsläufig nötigen Programme auf dem System. Logfiles lesen ist ein essentieller Bestandteil von Systemsicherheit. Glücklicherweise gibt es einige Tools, um diesen relativ stupiden Job zu vereinfachen. Drum rumkommen wirst Du jedoch nicht, wenn Dir Systemsicherheit und Integrität am Herzen liegt.

Hi, ja, das ist möglich. Samba 3 kann als Member Server in einer AD Domain betrieben werden. Dazu ist es nötig, entweder MIT oder Heimdal Kerberos zu installieren und Samba mit dem Paramter --with-ads zu übersetzen. Über die Paramter "security = ADS" und "realm = your_kerberos_realm" können in der smb.conf die Einstellungen angepasst werden. Den Samba Server musst Du mit folgendem Befehl zur AD Domain hinzufügen "net join ads", eventuell musst Du vorher mittels kinit noch ein Kerberos Ticket für einen Account anfordern, der in Deiner Domain berechtigt ist Computerkonten hinzuzufügen.

Hi, hmm, Du möchtest eine Firewall durch einen Mailserver ersetzen ? Tja, das kommt drauf an, welchen Aufwand Du betreiben möchtest, um das System abzusichern. Möglichkeiten und Software gibt es sehr, sehr viele. Möchtest Du einfach nur einen Paketfilter installieren, so ist, wie Du sicherlich weisst, Netfilter/IPtables empfehlenswert (www.netfilter.org). HowTo's und Skript Generatoren dazu gibt es reichlich. Weitere Software, um ein System abzusichern, bzw. generelle Security Software : TripWire bzw. ein TripWire Clone SE Linux LIDS PaX RSBAC (http://www.rsbac.de) Snort + ACID bzw. Snort-Inline Stack Protector GR Security OpenWall Patches Kerberos Diverse Proxies (HTTP, FTP, SMTP, DNS, etc, siehe www.freshmeat.net) Sebek (siehe www.honeynet.org -> Tools) Portsentry und unzählige andere Tools bzw. Kombinationen aus den o.g. Das "Problem" ist, die Installation all dieser Tools und Absicherungen des Systems sind _sehr_ Zeitintensiv. Wenn Du das wirklich konsequent betreiben willst, kannst Du nämlich anfangen die komplette Distribution z.B. mit Stack Protector neu zu kompilieren, Authentifizierung _komplett_ auf Kerberos umzustellen, RSBAC und damit Rollen und Zugriffsrechte für die einzelnen Programme und Dienste festlegen etc. Natürlich bleibt die Frage, ob dieses für Dein Heimnetzwerk nicht eher ein Overkill ist, aber Du fragtest ja nach Möglichkeiten und Software.Mir ist nur eine einzige Linux Distribution, bzw. Erweiterung zu Debian bekannt, die einem die Arbeit teilweise abnimmt (www.adamantix.org). OpenBSD hat den Vorteil, das es viele dieser Features bereits "on board" hat. Ich habe vor einer Weile angefangen meine eigene, auf Slackware basierende Security Distribution zu bauen, die einen Grossteil dieser Tools enthält. Das Kompilieren eines kompletten Systems ist auf einem AMD Athlon 1.4 GHz jedoch wahrlich keine Freude und irgendwann hatte ich einfach keine Lust mehr, von daher ist das Teil nie fertig geworden :/ Weitere Möglichkeiten sind natürlich jeden laufenden Dienst in ein chroot jail zu verbannen, Dienste zu deaktivieren, soweit möglich keine suid root Dateien, und das System 24x7 zu beobachten Viel Spass

Hi, das sieht soweit ja OK aus. Wie sehen denn die Routen auf dem Proxy Server aus ? Gibt es irgendwelche Firewall Regeln auf dem Router, bzw. dem Proxy Server ?

Hi, NIS (Network Information Service) ermöglicht das zentrale Verwalten von z.B. Benutzern (/etc/passwd) und Gruppen (/etc/group), aber auch z.B. der Hostdateien (/etc/hosts) in einem Netzwerk. NIS ist ein etabliertes, aber auch unter heutigen Gesichtspunkten relativ unsicheres System. Ich würde von dessen Verwendung abraten, da es flexiblere und sicherere Alternativen gibt (LDAP und Kerberos).

Hi, prinzipiell kannst Du das mit allen gängigen Distributionen machen. Einige Distributionen sind für manche Leute besser geignet als für andere. Für nährere Details verwende einmal die Suchfunktion des Forums. Die Frage nach Distributionen und Einsatzgebieten taucht des öfteren auf. Es gibt eine Vielzahl weiterer Serverprogramme für Linux, vermutlich mehr als Du persönlich benutzen möchtest Für die Aufgabengebiete gibt es i.d.R. gleich mehrere Lösungen : Die Benutzer- und Passwortverwaltung kann z.B. über die /etc/passwd, NIS, MySQL, oder LDAP/Kerberos laufen. Einen DHCP Server findest Du z.B. hier : www.isc.org Samba (de.samba.org) kann die Rolle als Domänencontroller in einem Windows Netzwerk übernehmen. Ob Du alles über die Konsole konfigurieren musst hängt maßgeblich davon ab welche Distribution zum Einsatz kommt und für welche Möglichkeit (z.B. Benutzerverwaltung) Du Dich entscheidest. Einige Distributionen bieten grafische Tools für die Konfiguration einiger, aber bei weitem nicht aller Serverprogramme für Linux an. Obwohl ich persönlich keine SuSE Systeme mehr empfehle, so hat SuSE meines Wissens ein Produkt namens SuSE Linux Standard Server, dieser sollte die von Dir gewünschten Dienste in Verbindung mit einer grafischen Oberfläche zur Konfiguration bieten. HTH

Ah, ok Häng mal folgende Einträge an das Ende der main.cf : smtp_sasl_auth_enable= yes smtp_sasl_security_options= noanonymous Die Eintrag "smtpd_sasl_auth_enable= yes" bezieht sich auf die Serverseite und muss dann gesetzt werden, wenn Dein Server SMTP Auth anbieten soll. Danach ein "postfix reload" und ein erneuter Versuch.

Ugh, bei der Menge an Informationen ist es in Zukunft eventuell gut einen Link auf eine externe Logdatei zu setzen, anstatt 4 Posts zu erstellen Für mich sieht das im ersten Moment so aus, als wenn Postfix gar nicht versucht eine SMTP Authentifizierung durchzuführen. Ist SASL installiert und ist Postfix mit SASL Unterstützung kompiliert worden ? Hast Du die für die SASL Authentifizierung erforderlichen Parameter in der main.cf eingetragen ? Eventuell kannst Du Deine main.cf ja mal auf einen Server uploaden und hier einen Link posten, bzw. die für die SASL Authentifizierung relevanten Parameter Deiner main.cf direkt posten.

Die Zeile "smtp unix - - n - - smtp- v" sollte so aussehen : "smtp unix - - n - - smtp -v" Danach "postfix reload", Mail versenden und wieder den Ausschnitt aus /var/log/mail posten.

Das reicht so nicht, da dies nicht der komplett Debug Output ist. Haste Du die master.cf Datei wie o.b. um den Parameter -v ergänzt ? Eventuell ist noch ein "postfix reload" nötig. Falls Du das gemacht haben solltest, poste bitte mal die master.cf Datei.

In der Regel /var/log/mail oder /var/log/maillog.

Ja, in der Tat ist der MX für die von Dir genannte Domain mx.freenet.de. Da Outlook keine wirklich brauchbaren Fehlermeldungen erstellt mach mal folgendes : In der Datei /etc/postfix/master.cf suchst Du die Zeile die mit smtp anfängt. Am Ende Dieser Zeile sollte auch wieder "smtp" stehen, ändere das "smtp" in "smtp -v", alles ohne ". Danach sollte Postfix in der Logdatei jede Menge Informationen über den versuchten Austausch von eMails mit dem Freenet Server ausgeben. Poste dann einfach mal einen kompletten Ausschnitt über die Kommunikation.

Hi, ich weiss zwar nicht wie Freenet das mit Benutzernamen und Passwörtern regelt, aber i.d.R. ist der Benutzername deine eMail Adresse, in diesem Fall bei Freenet oder aber der Benutzername, der für die Einwahl zum ISP verwendet wird. Du versucht hier jedoch Dich mit einer Adresse (und damit auch vermutlich einem Benutzernamen) anzumelden, der, so wie ich das sehe, nichts mit Freenet zu tun hat.

Das sehe ich anders. In erster Linie verkaufe ich dem Kunden ein Linuxsystem. Das ist namentlich sogar eher bekannter als SuSE. Solange das System die Ansprüche des Kunden erfüllt, ist die Frage nach der Distribution für den Kunden i.d.R. irrelevant. Natürlich gibt es Ausnahmen, der Kunde hat z.B. schon diverse Server mit einer bestimmten Distribution, etc. Unter Umständen kann man auf die Distributionsfrage Einfluss nehmen. Will der Kunde allerdings explizit Distribution X so wird es schwer im Distribution Y zu verkaufen. Das Problem besteht aber auch bei SuSE. Nach dem Abenteuer das ich bei SuSE erlebt habe, empfehle ich grundsätzlich keine SuSE Systeme mehr. Ich wollte für einen Kunden eine Demoversion des SuSE Linux Enterprise Servers + Groupware Servers haben. Ich habe mich bis zur Leitung des Verkaufs durchtelefoniert, keine Chance, wenn man nicht SuSE Partner wird _und_ für die Demo zahlt. Eine Gebühr für Medien, Porto, etc. sind verständlich aber mehrere hundert Euro für eine Demoversion ? Anscheinend haben die es nicht nötig Software zu verkaufen. Wenn ein Hersteller mir keine Demoversion seines Produktes zu vernünftigen Konditionen liefern kann/will dann sehe ich mich nach Alternativen um. Unter keinen Umständen verkaufe ich ein Produkt, das im Vorfeld nicht getestet werden konnte. Argumente gegen SuSE gibt es durchaus, wenn man mit diese dem Kunden darlegt, so wird er seine Entscheidung unter Umständen ändern. Die Tatsache das SuSE weiter verbreitet ist, als z.B. Debian oder Slackware sagt nichts über die Qualität des Systemes aus. Ich für meinen Teil verwende bei allen Kunden ausschliesslich Slackware und habe damit keine Probleme. Das würde ich nicht unterschreiben. Laut CT greifen Linux Profis eher zu Debian, als zu SuSE oder Redhat. Es gibt diverse Anbieter die Debian System verwenden (Systemhäuser, Webhoster (Rootserver), etc.). Die Handbücher von SuSE sind allerdings wirklich gut, wenn man das als Einsteiger haben will. Von den Business Produkten rate ich, sofern das erfoderliche KnowHow vorhanden ist eher ab, da sie in der Anschaffung relativ teuer sind und von Hersteller/Version zu Hersteller/Version verschiedlich sind, will sagen, das es eher lohnenswert ist Software X direkt zu verwenden, anstatt Produkt Y von Distributor A oder Produkt Z von Distributor B, da beide Produkte auf Software X basieren. Die Supportfrage stellt sich meiner Ansicht nach auch eher weniger, da der Kunde bei Problemen zuerst an das Systemhaus herantritt. Das Systemhaus kann dann weitere Maßnahmen ergreifen. Das Kontaktieren des Distributionsherstellers ist i.d.R. kostenpflichtig und wenn Quellen wie Newsgroups, Mailinglisten, IRC channel, etc. nicht weiterhelfen, so sind die Chancen beim Distributor meiner Erfahrung nach auch eher gering. Weil privat z.B. andere Interessen und Vorlieben vorhanden sind ? Nur weil eine Firma bespielsweise nur Windows verkauf, so heisst das ja nicht, das ich mir auch zu Hause Windows installieren muss. Ja und Nein. Dinge wie Sicherheit, Stabilität, Preis/Leistung, einfache Administration sind keine Geschmacksfrage sondern wichtige Kritierien und da gibt es zwischen Distributionen schon Unterschiede.

Vermutlich sind die Kennwörter innerhalb der MySQL Datenbank verschlüsselt gespeichert. APOP benötigt aber laut Dokumentation das Kennwort im Klartext. Du kannst ja mal versuch die Authentifizierung in der /etc/imapd.conf auf sasldb umzustellen um andere Fehlerquellen auszuschliessen. Dann mittels "saslpasswd2 -c test" einen User mit Kennwort anzulegen. Zum Testen kannst Du "pop3test -a test -m apop localhost" verwenden. Ich habe das grade mal auf einem Testsystem gemacht. Ich habe hier das selbe Problem, wenn ich Kerberos als Authetifizierung verwende funktioniert IMAP und POP3 aber APOP nicht. Wenn ich die sasldb mit einem Testuser verwende funktioniert auch APOP.

Hi, um SMTP Auth gegenüber anderen Mailservern zu aktivieren benötigst Du in der /etc/postfix/main.cf folgende Einträge : smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/your_smtp_passwd_file Die Datei /etc/postfix/your_smtp_passwd_file erstellt Du mit einem beliebigen Editor. Der Inhalt sollte wie folgt aussehen : #server #user:passwort smtp.freenet.de foo:bar Danach ein "postmap /etc/postfix/your_smtp_passwd_file" und "postfix reload" und es müsste funktionieren. Mit Hilfe des Parameters "smtp_sasl_security_options" lassen sich noch diverse Einstellungen für die Authentifizierung anpassen. Selbstverständlich musst Du die Einstellungen in deiner Passwort Datei auf die Gegebenheiten anpassen.

Hi, Müsste eigentlich standardmässig aktiviert sein, es sei denn, Du hast in der Konfigurationsdatei /etc/imapd.conf den Parameter "allowapop" auf "no" gesetzt. Worüber willst Du die User den authentifizieren ? (sasldb, gssapi, shadow,etc.) Ist Cyrus SASL mit APOP Unterstützung kompiliert ? Normalerweise wird APOP Unterstützung aktiviert, es sei denn, Du hast beim Kompilieren (--disable-checkapop) angegeben. APOP benötigt das Benutzerkennwort im Klartext, das heisst, der Mechanismus für die Authentifizierung muss in der Lage sein, das Kennwort im Klartext auszuspucken. Meines Wissens nach ist dies bei einigen Mechanismen (z.B. GSSAPI+Kerberos, shadow, etc.) jedoch nicht möglich. Wenn Du die sasldb verwendest, darft Du beim Anlegen der User mittels saslpasswd2 die Option "-n" _nicht_ angeben. Der User, unter dem der Server läuft hat Zugriff auf die /etc/sasldb2 ?