|
| konfigurering af firewall i redhat 7.3 Fra : Carsten Tygesen |
Dato : 09-06-02 14:21 |
|
Hej alle dk.edb.system.unix,
Teledanamark har bedt mig om at lykke min Linux-server da man kunne havde
fået klager over at der fra mit IP-nummer foregik angreb på andre servere
fortrinsvis på Ftp- og mail-servere.
Er der nogen der har en "spiseseddel" på hvordan man bør konfigurere en
Linux-server's firewall når den skal køre som mail-server (Q-mail),
Websrver,
og at der gerne skal være FTP-adgang, samt adgang til fjernadmination via
programmet Putty.
Jeg vil være meget taknemlig såfremt der er nogen der vil fortælle om deres
erfaringer med ovenstående, da jeg ikke ønsker at destruktiver kræfter skal
have adgang til førnævnet vi min lille Linux-box.
På forhånd Tak.
Carsten Tygesen
| |
Claus Rasmussen (09-06-2002)
| Kommentar Fra : Claus Rasmussen |
Dato : 09-06-02 14:39 |
|
Carsten Tygesen wrote:
> Teledanamark har bedt mig om at lykke min Linux-server da man kunne havde
> fået klager over at der fra mit IP-nummer foregik angreb på andre servere
> fortrinsvis på Ftp- og mail-servere.
Hvis der foregår angreb på andre servere via mail/ftp, så er det din
mail/ftp service blevet cracket. Og hvis du alligevel vil have de to
services stående åbne, kan ingen firewall hjælpe dig alligevel.
Du skal i øvrigt have maskinen reinstalleret først. Derefter vil jeg
foreslå dig, at skifte fra Qmail til postfix eller sendmail. Hvis du
ikke helt har styr på det sikkerhedsmæssige, så lad være med at køre
ting, der ikke er helt standard på din distribution. Det samme gælder
din ftp service.
Når det er gjort, tror jeg du kan nøjes med at bruge lokkit som følger
med RedHat til at sætte din firewall op. Du skal have mail, ftp og
www stående åbent. Resten skal være lukket.
[...]
> og at der gerne skal være FTP-adgang, samt adgang til fjernadmination via
> programmet Putty.
Hvad er der nu galt med ssh ?
-Claus
| |
Bo Simonsen (09-06-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 09-06-02 15:11 |
|
On Sun, 09 Jun 2002 15:39:04 +0200, Claus Rasmussen wrote:
>> og at der gerne skal være FTP-adgang, samt adgang til fjernadmination
>> via programmet Putty.
>
> Hvad er der nu galt med ssh ?
Han benytter sikkert Windows på sin workstation, så bruger han putty som
ssh client.
/Bo
| |
Claus Rasmussen (09-06-2002)
| Kommentar Fra : Claus Rasmussen |
Dato : 09-06-02 15:20 |
|
Bo Simonsen wrote:
> Han benytter sikkert Windows på sin workstation, så bruger han putty som
> ssh client.
Ok. Jeg kendte ikke putty og vidste ikke, at det var en ssh klient.
-Claus
| |
Carsten Tygesen (09-06-2002)
| Kommentar Fra : Carsten Tygesen |
Dato : 09-06-02 16:14 |
|
Hej Bo,
Tak for dit svar.
Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
Grunden til at anvender Putty er jeg har fået lov til at have min private
mail- og webserver stående i firmaet
og derfor gene vil kunne administre den hjemmefra samt kunne oploade via
Ftp.
Med venlig hilsen
Carsten
"Bo Simonsen" <paltas@geekworld.dk> skrev i en meddelelse
news:pan.2002.06.09.16.10.38.574696.3917@geekworld.dk...
> On Sun, 09 Jun 2002 15:39:04 +0200, Claus Rasmussen wrote:
>
>
> >> og at der gerne skal være FTP-adgang, samt adgang til fjernadmination
> >> via programmet Putty.
> >
> > Hvad er der nu galt med ssh ?
>
> Han benytter sikkert Windows på sin workstation, så bruger han putty som
> ssh client.
>
> /Bo
| |
Kent Friis (09-06-2002)
| Kommentar Fra : Kent Friis |
Dato : 09-06-02 16:36 |
|
Den Sun, 9 Jun 2002 17:13:43 +0200 skrev Carsten Tygesen:
>Hej Bo,
>Tak for dit svar.
>
>Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
>Grunden til at anvender Putty er jeg har fået lov til at have min private
>mail- og webserver stående i firmaet
>og derfor gene vil kunne administre den hjemmefra samt kunne oploade via
>Ftp.
Hvorfor ikke bruge scp (en del af ssh) i stedet for? Scp er sikker som
ssh, ftp er noget skrammel.
Mvh
Kent
--
Exception 0E in module IFSMGR.VXD
Press control-alt-delete to reboot
| |
Bo Simonsen (09-06-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 09-06-02 18:08 |
|
On Sun, 09 Jun 2002 17:35:57 +0200, Kent Friis wrote:
> Hvorfor ikke bruge scp (en del af ssh) i stedet for? Scp er sikker som
> ssh, ftp er noget skrammel.
Da FTP blev udviklet, troede folk jo ikke at internettet ville blive så
stort, så "onde" personer fik adgang. Derfor implementerede man ikke
kryptering. Men enig brug sftp el. scp istedet.
--
Med venlig hilsen
Bo Simonsen
Join the GNU generation
| |
Christian Laursen (09-06-2002)
| Kommentar Fra : Christian Laursen |
Dato : 09-06-02 18:27 |
|
Bo Simonsen <paltas@geekworld.dk> writes:
> On Sun, 09 Jun 2002 17:35:57 +0200, Kent Friis wrote:
>
>
> > Hvorfor ikke bruge scp (en del af ssh) i stedet for? Scp er sikker som
> > ssh, ftp er noget skrammel.
>
> Da FTP blev udviklet, troede folk jo ikke at internettet ville blive så
> stort, så "onde" personer fik adgang. Derfor implementerede man ikke
> kryptering. Men enig brug sftp el. scp istedet.
Man havde vist heller ikke regnet med, at folk nogensinde ville finde på
at bruge onde hacks som NAT og den slags.
--
Med venlig hilsen
Christian Laursen
| |
Rasmus Bøg Hansen (09-06-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 09-06-02 17:24 |
|
Carsten Tygesen wrote:
> Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
> Grunden til at anvender Putty er jeg har fået lov til at have min private
> mail- og webserver stående i firmaet
> og derfor gene vil kunne administre den hjemmefra samt kunne oploade via
> Ftp.
Hvorfor så ikke bruge PuTTY's sftp-klient - den er sikker og kan hentes
samme sted fra som PuTTY...
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Hidden DOS secret:
add BUGS=OFF to your CONFIG.SYS
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Gunner Poulsen (09-06-2002)
| Kommentar Fra : Gunner Poulsen |
Dato : 09-06-02 17:56 |
|
Rasmus Bøg Hansen wrote:
> Carsten Tygesen wrote:
>
>> Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
>> Grunden til at anvender Putty er jeg har fået lov til at have min
>> private mail- og webserver stående i firmaet
>> og derfor gene vil kunne administre den hjemmefra samt kunne oploade via
>> Ftp.
>
> Hvorfor så ikke bruge PuTTY's sftp-klient - den er sikker og kan hentes
> samme sted fra som PuTTY...
Eller endnu bedre: http://winscp.vse.cz/eng/
Den er grafisk og der er vi almindelige brugere tit glade for.
Den har jeg prøvet - og den er nem.
Gunner
--
Aktiv i projektet Gnu Skole.
Et projekt med det formål at udbrede brugen af Open Source Software i
grundskolen - til gavn for eleverne.
Se på http://www.gnuskole.dk/undervisningsprogrammer/ hvordan du kan hjælpe.
| |
Kent Friis (09-06-2002)
| Kommentar Fra : Kent Friis |
Dato : 09-06-02 18:01 |
|
Den Sun, 09 Jun 2002 18:55:35 +0200 skrev Gunner Poulsen:
>Rasmus Bøg Hansen wrote:
>
>> Carsten Tygesen wrote:
>>
>>> Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
>>> Grunden til at anvender Putty er jeg har fået lov til at have min
>>> private mail- og webserver stående i firmaet
>>> og derfor gene vil kunne administre den hjemmefra samt kunne oploade via
>>> Ftp.
>>
>> Hvorfor så ikke bruge PuTTY's sftp-klient - den er sikker og kan hentes
>> samme sted fra som PuTTY...
>
>Eller endnu bedre: http://winscp.vse.cz/eng/
>Den er grafisk og der er vi almindelige brugere tit glade for.
>Den har jeg prøvet - og den er nem.
Findes der ikke en grafisk SFTP? Scp indeholder ikke mulighed for at få
en fil-liste, så der er den i stedet nødt til at bruge ssh til at kalde
ls, med mange fejlmuligheder (hvem siger at maskinen i den anden ende er
*nix?)
Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^
| |
Gunner Poulsen (09-06-2002)
| Kommentar Fra : Gunner Poulsen |
Dato : 09-06-02 19:39 |
|
Kent Friis wrote:
> Den Sun, 09 Jun 2002 18:55:35 +0200 skrev Gunner Poulsen:
>>Rasmus Bøg Hansen wrote:
>>
>>> Carsten Tygesen wrote:
>>>
>>>> Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
>>>> Grunden til at anvender Putty er jeg har fået lov til at have min
>>>> private mail- og webserver stående i firmaet
>>>> og derfor gene vil kunne administre den hjemmefra samt kunne oploade
>>>> via Ftp.
>>>
>>> Hvorfor så ikke bruge PuTTY's sftp-klient - den er sikker og kan hentes
>>> samme sted fra som PuTTY...
>>
>>Eller endnu bedre: http://winscp.vse.cz/eng/
>>Den er grafisk og der er vi almindelige brugere tit glade for.
>>Den har jeg prøvet - og den er nem.
>
> Findes der ikke en grafisk SFTP? Scp indeholder ikke mulighed for at få
> en fil-liste, så der er den i stedet nødt til at bruge ssh til at kalde
> ls, med mange fejlmuligheder (hvem siger at maskinen i den anden ende er
> *nix?)
Snakkede vi ikke om en stakkels mand der stadig måtte trækkes med sin
windows-playstation derhjemme og som gerne ville overføre filer derfra til
en RedHat 7.3?
Deraf min anbefaling.
Gunner.
--
Aktiv i projektet Gnu Skole.
Et projekt med det formål at udbrede brugen af Open Source Software i
grundskolen - til gavn for eleverne.
Se på http://www.gnuskole.dk/undervisningsprogrammer/ hvordan du kan hjælpe.
| |
Rasmus Bøg Hansen (09-06-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 09-06-02 19:53 |
|
Gunner Poulsen wrote:
>>>Eller endnu bedre: http://winscp.vse.cz/eng/
>> Findes der ikke en grafisk SFTP? Scp indeholder ikke mulighed for at få
>> en fil-liste, så der er den i stedet nødt til at bruge ssh til at kalde
>> ls, med mange fejlmuligheder (hvem siger at maskinen i den anden ende er
>> *nix?)
> Snakkede vi ikke om en stakkels mand der stadig måtte trækkes med sin
> windows-playstation derhjemme og som gerne ville overføre filer derfra til
> en RedHat 7.3?
Ovenstående er jo ikke sftp men scp
Ikke desto mindre er den grafisk, let at bruge og fungerer glimragende.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Is it safe?
Yes, it is perfectly safe - it is us, that are in trouble!
- Hitch Hikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Kent Friis (09-06-2002)
| Kommentar Fra : Kent Friis |
Dato : 09-06-02 19:41 |
|
Den Sun, 09 Jun 2002 20:38:46 +0200 skrev Gunner Poulsen:
>Kent Friis wrote:
>
>> Den Sun, 09 Jun 2002 18:55:35 +0200 skrev Gunner Poulsen:
>>>Rasmus Bøg Hansen wrote:
>>>
>>>> Carsten Tygesen wrote:
>>>>
>>>>> Ganske rigtigt så bruger jeg windows på min workstation der derhjemme.
>>>>> Grunden til at anvender Putty er jeg har fået lov til at have min
>>>>> private mail- og webserver stående i firmaet
>>>>> og derfor gene vil kunne administre den hjemmefra samt kunne oploade
>>>>> via Ftp.
>>>>
>>>> Hvorfor så ikke bruge PuTTY's sftp-klient - den er sikker og kan hentes
>>>> samme sted fra som PuTTY...
>>>
>>>Eller endnu bedre: http://winscp.vse.cz/eng/
>>>Den er grafisk og der er vi almindelige brugere tit glade for.
>>>Den har jeg prøvet - og den er nem.
>>
>> Findes der ikke en grafisk SFTP? Scp indeholder ikke mulighed for at få
>> en fil-liste, så der er den i stedet nødt til at bruge ssh til at kalde
>> ls, med mange fejlmuligheder (hvem siger at maskinen i den anden ende er
>> *nix?)
>
>Snakkede vi ikke om en stakkels mand der stadig måtte trækkes med sin
>windows-playstation derhjemme og som gerne ville overføre filer derfra til
>en RedHat 7.3?
>
>Deraf min anbefaling.
Jo, men du vidste åbenbart hvor man kunne finde en grafisk SCP, og
derfor regnede jeg med at der var en chance for at du også vidste hvor
man kunne finde en grafisk SFTP.
Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"
| |
Gunner Poulsen (10-06-2002)
| Kommentar Fra : Gunner Poulsen |
Dato : 10-06-02 00:38 |
|
> Jo, men du vidste åbenbart hvor man kunne finde en grafisk SCP, og
> derfor regnede jeg med at der var en chance for at du også vidste hvor
> man kunne finde en grafisk SFTP.
Desværre.
Og endnu værre så har jeg svært ved at finde nogle ordentlige grafiske
scp/sftp-programmer til Linux
Jeg har prøvet at rode med gFTP - mit yndlingsftpprogram, med jeg kan ikke
få kryptotingene til at virke.
Nogen bud her?
Gunner.
--
Aktiv i projektet Gnu Skole.
Et projekt med det formål at udbrede brugen af Open Source Software i
grundskolen - til gavn for eleverne.
Se på http://www.gnuskole.dk/undervisningsprogrammer/ hvordan du kan hjælpe.
| |
Mads Lie Jensen (17-06-2002)
| Kommentar Fra : Mads Lie Jensen |
Dato : 17-06-02 21:41 |
|
On Sun, 9 Jun 2002 17:00:53 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:
>Findes der ikke en grafisk SFTP? Scp indeholder ikke mulighed for at få
>en fil-liste, så der er den i stedet nødt til at bruge ssh til at kalde
>ls, med mange fejlmuligheder (hvem siger at maskinen i den anden ende er
>*nix?)
Jeg går ud fra du mener til windows? I så fald CuteFTP Pro
( http://cuteftp.com/products/cuteftppro/index.asp) - men den koster
penge.
--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
http://www.gartneriet.dk
Directory Opus - nu også til windows - http://www.gpsoft.com.au
| |
Bjarke Freund-Hansen (05-07-2002)
| Kommentar Fra : Bjarke Freund-Hansen |
Dato : 05-07-02 13:37 |
|
On Mon, 17 Jun 2002 22:41:21 +0200, Mads Lie Jensen
<mads@gartneriet.dk> wrote:
>On Sun, 9 Jun 2002 17:00:53 +0000 (UTC), leeloo@phreaker.net (Kent
>Friis) wrote:
>>Findes der ikke en grafisk SFTP? Scp indeholder ikke mulighed for at få
>>en fil-liste, så der er den i stedet nødt til at bruge ssh til at kalde
>>ls, med mange fejlmuligheder (hvem siger at maskinen i den anden ende er
>>*nix?)
>Jeg går ud fra du mener til windows? I så fald CuteFTP Pro
>( http://cuteftp.com/products/cuteftppro/index.asp) - men den koster
>penge.
Hvad med den nye SmartFTP, den har en eller anden SSL krypterings
funktion og er freeware. Skulle være kompatibel med proftpd inkl. TLS
modul. Nogle der har forsøgt sig med det? Og hvordan med SmartFTP's
SSL login, er det kompatibelt med scp? sftp?
| |
Rasmus Bøg Hansen (09-06-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 09-06-02 15:18 |
|
Claus Rasmussen wrote:
>> og at der gerne skal være FTP-adgang, samt adgang til fjernadmination via
>> programmet Putty.
>
> Hvad er der nu galt med ssh ?
PuTTY er da også en ssh-klient...
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Just install Windows. It will crash once a day, and your hardware
will no longer be the poblem.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Bo Simonsen (09-06-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 09-06-02 14:50 |
|
On Sun, 09 Jun 2002 15:21:18 +0200, Carsten Tygesen wrote:
> Er der nogen der har en "spiseseddel" på hvordan man bør konfigurere en
> Linux-server's firewall når den skal køre som mail-server (Q-mail),
> Websrver,
> og at der gerne skal være FTP-adgang, samt adgang til fjernadmination
> via programmet Putty.
Jeg ville foretrække en geninstallering, da det lyder somom der er
installeret et rootkit på serveren. Tag backup af det du har brugt for,
og dernæst start med en frisk installation.
Dernæst sørger du for at installere firewall således at _ingen_ porte er
åbent. Dernæst opgradere du maskinen med de updates der er kommet, brug
evt. grab (find det på freshmeat.net) hvis det er en Redhat maskine.
Efter alt er opgraderet og du har installeret det du har brug for, åben
da for de porte i firewallen.
Sørg alligevelle for at de services du ikke har brug for ikke kører.
| |
Gunner Poulsen (09-06-2002)
| Kommentar Fra : Gunner Poulsen |
Dato : 09-06-02 15:21 |
| | |
Claus Rasmussen (09-06-2002)
| Kommentar Fra : Claus Rasmussen |
Dato : 09-06-02 15:51 |
|
Gunner Poulsen wrote:
> http://www.gnuskole.dk/router/#guarddog.
Flot side. Er det din ? I så fald vil jeg foreslå dig, at splitte
den op i mindre sider. Een for hver emne:
Indledning
To netkort
Videresendelse med Guidedog
DHCP-server på det interne net
En firewall med Guarddog
Og desuden tilføje en "hvordan tjekker jeg at det er gået godt"
sektion efter hvert emne. Ofte smutter der et eller andet for
brugeren under konfigureringen og hvis der ikke er en måde at
verificere at hvert trin er gået godt, bliver det helt uover-
skueligt at fejlsøge.
-Claus
| |
Gunner Poulsen (09-06-2002)
| Kommentar Fra : Gunner Poulsen |
Dato : 09-06-02 17:08 |
|
Claus Rasmussen wrote:
> Gunner Poulsen wrote:
>
>> http://www.gnuskole.dk/router/#guarddog.
>
> Flot side.
Tak!
> Er det din ?
Det er da i hvert fald mig der har skrevet den
> I så fald vil jeg foreslå dig, at splitte
> den op i mindre sider. Een for hver emne:
>
> Indledning
> To netkort
> Videresendelse med Guidedog
> DHCP-server på det interne net
> En firewall med Guarddog
Grunden til at jeg ikke har gjort det er at jeg egentligt tænkte at mange
begyndere (min målgruppe) ville skrive den ud.
>
> Og desuden tilføje en "hvordan tjekker jeg at det er gået godt"
> sektion efter hvert emne. Ofte smutter der et eller andet for
> brugeren under konfigureringen og hvis der ikke er en måde at
> verificere at hvert trin er gået godt, bliver det helt uover-
> skueligt at fejlsøge.
Det var en spændende idé jeg skal tænke over det!
Gunner.
--
Aktiv i projektet Gnu Skole.
Et projekt med det formål at udbrede brugen af Open Source Software i
grundskolen - til gavn for eleverne.
Se på http://www.gnuskole.dk/undervisningsprogrammer/ hvordan du kan hjælpe.
| |
Carsten Tygesen (09-06-2002)
| Kommentar Fra : Carsten Tygesen |
Dato : 09-06-02 16:02 |
|
Hej ALLESAMMEN,
Tak for jeres svar, med gode henvisninger til links som lige har nået at
smugkigge i.
Tror I at Qmail er et sårbart(usikkert) program, da jeg opfatter Claus-s
svar sådan at
han fraråder brugen af det ? (Der er nemlig utroligt nemt at sætte op)
Jeg havde ikke forventet at få svar så hurtigt - det var da herligt!
Tak for hjælpen!
Med venlig hilsen
Carsten Tygesen
| |
Claus Rasmussen (09-06-2002)
| Kommentar Fra : Claus Rasmussen |
Dato : 09-06-02 16:28 |
|
Carsten Tygesen wrote:
> Tror I at Qmail er et sårbart(usikkert) program, da jeg opfatter Claus-s
> svar sådan at han fraråder brugen af det ? (Der er nemlig utroligt nemt
> at sætte op)
Jeg siger ikke at qmail er usikkert. Jeg forsøger - pænt indpakket -
at sige, at du ikke har styr på det og derfor burde vælge noget, der
er mere standard.
Det er ikke for at fornærme dig eller noget. Det er bare en simpel
konsekvens af, at du er blevet hacket, at du bør forsøge dig med
noget mindre avanceret.
-Claus
| |
Rasmus Bøg Hansen (09-06-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 09-06-02 17:28 |
|
Carsten Tygesen wrote:
> Tror I at Qmail er et sårbart(usikkert) program, da jeg opfatter Claus-s
> svar sådan at
> han fraråder brugen af det ? (Der er nemlig utroligt nemt at sætte op)
Qmail er ret sikkert og relativt svært at kvaje sig i. Det har ikke haft en
sikkerhedsbrist siden '98 (eller er det '96?).
Det har bare en stejl indlæringskurve; det er ikke så simpelt at installere
(det fås ikke som pakke) og er ikke så intuitivt at sætte op (som om
sendmail er det!!!).
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a Word Perfect
4.2 Document.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
|
|