AG-Intra.net Arbeitsgemeinschaft
Intranet

Home
Was ist ein Intranet
Grundlagen
Netzwerke
Linux
Windows
Java
Sicherheit
Datenbanken
Projekte
Links
Impressum
Mitmachen ?
Diskussionsforum
Letztes Update:
10.11.2000
Liebe Besucher, ein aktueller Hinweis in eigener Sache:
Es ist beabsichtigt, diese Seiten und die Domain im Januar/Februar 2004 auf einen anderen Server umzuziehen. Es ist leider nicht auszuschließen, daß es während des Umzugs zu technischen Problemen mit diesen Seiten kommen wird. Insbesondere im eMail-Bereich wird es vermutlich Probleme geben. Wenn Sie fragen haben oder mich sonstwie erreichen wollen empfehle ich an rebel@snafu.de zu posten.
Nachdem der Umzug abgeschlossen ist, wird es allerdings auch inhaltliche Änderungen während des ersten Halbjahrs 2004 geben. Keine Angst. Es werden keine Inhalte verlorengehen, aber die Struktur der Seiten wird komplett geändert. Diese Seite hat eben eine andere Entwicklung genommen seit 2000, als das Projekt gestartet wurde ;-) Ich werde mich bemühen, daß bei ihnen vorhandene alte Bookmarks wenigstens zu einem Verweis auf die Neustruktur führen, und die gesuchten Inhalte für sie trotzdem leicht und schnell auffindbar sein werden.
Die eigentlich zu dieser Seite gehörenden Domains ag-intra.com, ag-intra.org und ag-intra.de werden von mir geschlossen bzw. gelöscht und unregistriert.

Hinweise - Erste Schritte nach einer SuSE Installation 
Copyright 2000 by Frank Gehde

Damit man sich erst einmal richtig erschreckt, sollte man nach dem ersten Einloggen, und nach dem Abschluß der finalen SuSE Skripte einmal den folgenden Befehl eintippen (sollte auch auf jeden Fall installiert sein):

nmap -sS -O 127.0.0.1

In der Ausgabe sieht man dann welche Ports offen sind. Und das sind eine ganze Menge nach einer Standard-SuSE Installation. Wer wirklich ehrlich ist, braucht die nicht alle offen. Abgesehen davon kann man die Ports, die man offen braucht sowieso problemlos später wieder öffnen. Die Dateien, in denen die meisten Server aktiviert werden sind die /etc/inetd.conf und die /etc/rc.config. Deshalb öffnen wir zunächst die inetd.conf mit einem editor (zB joe) Die meisten Zeilen dort sind auskommentiert (haben also ein "#"-Zeichen am Anfang). Einige jedoch nicht. Am besten, Sie kommentieren alles aus. Auf jeden Fall aber "telnet" und "finger". Gehen wir mal anders heran. Der einzige Dienst, den ich hier sinnvoll finde, ist ggf. FTP. Achten Sie darauf, welchen FTP-Daemon Sie installiert haben. Neuere SuSE Distributionen stellen standardmäßig den ProFTP-Daemon ein. Ich bevorzuge jedoch den WuFTPD. Bei diesem ist jedoch darauf zu achten, daß dieser einige Sicherheitslöcher aufweist, und SuSE es trotz verfügbarer Gegenmaßnahmen nicht geschafft hat, diese in die Distribution mit einzubeziehen. Bei den Patches und Updates auf dem SuSE-Server sind die entsprechenden Patches jedoch verfügbar. Der WuFTPD ist sehr verbreitet, und daher werden Informationen über Sicherheitsmängel und entsprechende Patches meiner Meinung nach hier schneller veröffentlicht als bei dem ProFTPD. Wenn Sie also auch dem WuFTPD den Vorzug geben, dann achten Sie darauf, diesen unbedingt upzudaten, bzw. zu patchen, bevor Sie den Service in derinetd.conffreigeben.
Kommen wir nun zur rc.config. Dies ist eine SuSE-spezielle Konfigurationsdatei, in welchem die Hauptaspekte des gesamten Systems einstellbar sind. Hier wird auch eingestellt, ob bestimmte Server laufen sollen oder nicht. Ich gehe es auch hier gleich wieder rückwärts an. Sinnvoll ist meines Erachtens nur der inetD, der Apache HTTPD (WebServer), SSHD, der KernelD, der ScanlogD etc. Die Einstellungen in dieser Datei sind in der Regel als Wert "yes" oder "no" vorzunehmen. Das ist aber in der Regel gut kommentiert. Nach dem Ändern der Datei muß folgender Befehl eingegeben werden:

/sbin/SuSEconfig

Dadurch werden die eigentlichen Startskripte gemäß den Einstellungen in der rc.config geändert. Nun am besten einen Reboot durchführen, und dann noch einmal

nmap -sS -O 127.0.0.1

eingeben. Wenn jetzt bis auf ssh und auth keine weiteren Dienste angezeigt werden, dann haben wir einen guten Job getan, und können den Rechner relativ beruhigt ans Internet anschließen. FTPund HTTP sind auch noch zu tolerieren. Für FTP ist das oben gesagte zu berücksichtigen, und bei dem httpd sollte man wenigstens die index.html Seite austauschen. Muß ja nicht jeder Fremde sehen, daß ein SuSE Linux installiert ist, und welches.

Es gab jetzt eine Menge Dienste, die wir deaktiviert haben. zB die r-Dienste wie rsh oder rlogin. Es gibt massenhaft Server die genau das sind, was ein Daemon sein sollte: nämlich gute Geister, die uns im Hintergrund Arbeit abnehmen. Das ist auch alles schön und gut, solange wir uns nur mit vertrauensvollen Rechnern in einem Intranet unterhalten. In dem Augenblick, wo wir unseren Rechner jedoch an das Internet anschließen, sollten wir uns wirklich auf die oben beschriebene Minimalkonfikuration einlassen.


zurück zur Linux Übersicht

Copyright 2000 by Frank Gehde