# linux Sicherheit



## Netzwerkidi (16. Februar 2014)

Hallo,

MS stellt im April den Windows XP Support ein, ich stelle nun auf Linux um.
http://www.computerworld.com/s/article/9241585/XP_s_retirement_will_be_hacker_heaven

Frage: Wenn ich richtig verstanden habe, ist für den Linux-Desktop - ich verwende nun openSuse 13.1 - kein Internet-Security-Paket - bisher F-Secure - notwendig. Bisher habe ich die Verwundbarkeit meines System z. B. mit ShieldsUp! getestet. Gibt es etwas Vergleichbares für Linux? Wie kann ich testen, ob mein PC offen wie ein Scheunentor ist, ob mir meinen Daten im großen Stil klauen kann? Wie kann ich meinen Linux-pc gegen Angriffe von außen schützen und optimieren?

LG
Peter

PS: wenn ich https://www.grc.com/x/ne.dll?rh1dkyd2 laufenlasse, erhalte ich die erschreckende Meldung:

Greetings!

Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!


----------



## deepthroat (17. Februar 2014)

Netzwerkidi hat gesagt.:


> Hallo,
> 
> MS stellt im April den Windows XP Support ein, ich stelle nun auf Linux um.
> http://www.computerworld.com/s/article/9241585/XP_s_retirement_will_be_hacker_heaven
> ...


Wenn du keine Services laufen lässt, die auf irgendwelchen Ports lauschen, brauchst du auch keine Firewall oder sonstiges.


Netzwerkidi hat gesagt.:


> Bisher habe ich die Verwundbarkeit meines System z. B. mit ShieldsUp! getestet. Gibt es etwas Vergleichbares für Linux?


Ein Portscanner ist universell einsetzbar, da spielt das BS keine Rolle.


Netzwerkidi hat gesagt.:


> Wie kann ich testen, ob mein PC offen wie ein Scheunentor ist, ob mir meinen Daten im großen Stil klauen kann? Wie kann ich meinen Linux-pc gegen Angriffe von außen schützen und optimieren?


Um sicher zu gehen kannst du einfach eine iptables Firewall einrichten. Da gibt es auch einige Desktop Firewalls (bestimmt auch für KDE). 



Netzwerkidi hat gesagt.:


> PS: wenn ich https://www.grc.com/x/ne.dll?rh1dkyd2 laufenlasse, erhalte ich die erschreckende Meldung:
> 
> Greetings!
> 
> Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!


Das ist lediglich eine Willkommensnachricht und keine Meldung, diese Nachricht erhält *jeder* der diese Seite besucht, ob er nun überhaupt Windows verwendet oder nicht - da wurde noch überhaupt nichts getestet. Dazu muß man erst auf die Buttons klicken - und sollte sich auch die Erklärung durchlesen auf die dort hingewiesen wird.


----------



## Netzwerkidi (17. Februar 2014)

Danke dir, deepthroat,



> Wenn du keine Services laufen lässt, die auf irgendwelchen Ports lauschen, brauchst du auch keine Firewall oder sonstiges.


Ist mir jedenfalls nicht bekannt. Kann ich das irgendwie abfragen? Ich meine, ich habe den Rechner standardmäßig als KDE-Desktop eingerichtet.



> Ein Portscanner ist universell einsetzbar, da spielt das BS keine Rolle.


Kannst du einen empfehlen, den auch ein Greenhorn bedienen und verstehen kann?

Auf openSuse 13.1 ist bereits standardmäßig eine Firewall installiert, und die scheint auch zu laufen, jedenfalls ist der Start-Button deaktiviert und nur der Stop-Button klickbar.

lg
peter


----------



## Bratkartoffel (17. Februar 2014)

Hi,

als Linux "Anfänger" brauchst du dir da keine Sorgen machen, standardmäßig läuft da nichts was nach aussen hin offen wäre. Selbst eine Firewall brauchst du normalerweiße nicht, da dein Router schon alle Anfragen abfängt und nichts zu deinem Rechner durchlässt.

Grüße,
BK


----------



## deepthroat (17. Februar 2014)

Netzwerkidi hat gesagt.:


> Ist mir jedenfalls nicht bekannt. Kann ich das irgendwie abfragen? Ich meine, ich habe den Rechner standardmäßig als KDE-Desktop eingerichtet.


Mit "sudo ss -nlp" kannst du das anzeigen lassen. Du müßtest dann schauen welche Services auf den externen IPs lauschen oder auf allen. (wie Bratkartoffel schon sagte, normal wird da nichts sein).


----------



## Netzwerkidi (17. Februar 2014)

Danke euch beiden.
Wäre so etwas ok?

```
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port 
nl     UNCONN     0      0                      0:4194947                  *     
nl     UNCONN     0      0                      0:643                    *     
nl     UNCONN     0      0                      0:515                    *     
nl     UNCONN     0      0                      0:0                      *     
nl     UNCONN     0      0                      0:511                    *     
nl     UNCONN     0      0                      4:0                      *     
nl     UNCONN     0      0                      7:0                      *     
nl     UNCONN     0      0                      9:2915                   *     
nl     UNCONN     0      0                      9:0                      *     
nl     UNCONN     0      0                      9:1                      *     
nl     UNCONN     0      0                     10:0                      *     
nl     UNCONN     0      0                     11:0                      *     
nl     UNCONN     0      0                     15:1272                   *     
nl     UNCONN     0      0                     15:0                      *     
nl     UNCONN     0      0                     15:1380                   *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     15:1320                   *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     15:1500                   *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     15:1326                   *     
nl     UNCONN     0      0                     15:527                    *     
nl     UNCONN     0      0                     15:960                    *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     15:643                    *     
nl     UNCONN     0      0                     15:1300                   *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     15:1295                   *     
nl     UNCONN     0      0                     15:1228                   *     
nl     UNCONN     0      0                     15:1215                   *     
nl     UNCONN     0      0                     15:514                    *     
nl     UNCONN     0      0                     15:1                      *     
nl     UNCONN     0      0                     15:605                    *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     15:1330                   *     
nl     UNCONN     0      0                     15:2147483647                  *     
nl     UNCONN     0      0                     16:0                      *     
nl     UNCONN     0      0                     18:0                      *     
p_raw  UNCONN     0      0                      *:enp2s1                  *      users:(("dhclient",954,5))
u_str  LISTEN     0      128    /tmp/.X11-unix/X0 9604                  * 0     users:(("Xorg",605,3))
u_str  LISTEN     0      5      /tmp/gpg-2XMUZH/S.gpg-agent 12441                 * 0     users:(("gpg-agent",1050,5))
u_str  LISTEN     0      128    /tmp/ssh-V4x4nyHcjzdT/agent.961 12093                 * 0     users:(("ssh-agent",1051,3))
u_str  LISTEN     0      128    /tmp/ksocket-MEINPROZESS/kdeinit4__0 12625                 * 0     users:(("kdeinit4",1212,7))
u_str  LISTEN     0      100       public/cleanup 11748                 * 0     users:(("master",934,20))
u_str  LISTEN     0      100      private/rewrite 11753                 * 0     users:(("master",934,26))
u_str  LISTEN     0      100       private/bounce 11756                 * 0     users:(("master",934,29))
u_str  LISTEN     0      100        private/defer 11759                 * 0     users:(("master",934,32))
u_str  LISTEN     0      30     @/tmp/dbus-cQ7vTAzc7h 1321055                 * 0     users:(("dbus-daemon",2774,4))
u_str  LISTEN     0      100        private/trace 11762                 * 0     users:(("master",934,35))
u_dgr  LISTEN     0      128    /run/udev/control 3656                  * 0     users:(("systemd-udevd",264,3),("systemd",1,35))
u_str  LISTEN     0      30     @/tmp/dbus-fcykc3vCEe 12438                 * 0     users:(("dbus-daemon",1049,4))
u_dgr  UNCONN     0      0      @/org/freedesktop/systemd1/notify/2490559316955862834 11940                 * 0     users:(("systemd",960,7))
u_dgr  UNCONN     0      0      @/org/freedesktop/systemd1/notify 3457                  * 0     users:(("systemd",1,7))
u_str  LISTEN     0      128    @/tmp/.ICE-unix/1271 12880                 * 0     users:(("ksmserver",1271,8))
u_str  LISTEN     0      128    @/tmp/.X11-unix/X0 9603                  * 0     users:(("Xorg",605,1))
u_dgr  UNCONN     0      0      @/org/freedesktop/systemd1/notify/15315668081011319601 15349                 * 0     users:(("systemd",1500,7))
u_str  LISTEN     0      5      /tmp/ksocket-MEINPROZESS/klauncherMT1213.slave-socket 12641                 * 0     users:(("klauncher",1213,7))
u_str  LISTEN     0      128    /run/avahi-daemon/socket 9332                  * 0     users:(("avahi-daemon",511,3),("systemd",1,14))
u_str  LISTEN     0      128    /var/run/cups/cups.sock 9335                  * 0     users:(("systemd",1,19))
u_str  LISTEN     0      128    /var/run/pcscd/pcscd.comm 9340                  * 0     users:(("systemd",1,28))
u_str  LISTEN     0      128    /tmp/.ICE-unix/1271 12881                 * 0     users:(("ksmserver",1271,9))
u_str  LISTEN     0      30     /run/systemd/private 3458                  * 0     users:(("systemd",1,9))
u_str  LISTEN     0      128    /run/dbus/system_bus_socket 9346                  * 0     users:(("dbus-daemon",510,3),("systemd",1,36))
u_str  LISTEN     0      100       private/verify 11765                 * 0     users:(("master",934,38))
u_str  LISTEN     0      100         public/flush 11768                 * 0     users:(("master",934,41))
u_str  LISTEN     0      5      /var/run/xdmctl/dmctl-:0/socket 9620                  * 0     users:(("kdm",590,8))
u_str  LISTEN     0      100     private/proxymap 11771                 * 0     users:(("master",934,44))
u_str  LISTEN     0      100    private/proxywrite 11774                 * 0     users:(("master",934,47))
u_str  LISTEN     0      5      /tmp/.esd-1000/socket 13296                 * 0     users:(("pulseaudio",1330,31))
u_str  LISTEN     0      30     /run/user/1000/systemd/private 11944                 * 0     users:(("systemd",960,12))
u_str  LISTEN     0      50        /tmp/virt_1113 15447                 * 0     users:(("virtuoso-t",1347,8))
u_str  LISTEN     0      128    /var/run/nscd/socket 8621                  * 0     users:(("nscd",515,14))
u_str  LISTEN     0      100         private/smtp 11777                 * 0     users:(("master",934,50))
u_str  LISTEN     0      50     /tmp/akonadi-MEINPROZESS.xLxgcA/akonadiserver.socket 15020                 * 0     users:(("akonadiserver",1393,9))
u_str  LISTEN     0      10     /tmp/ksocket-MEINPROZESS/kdesud_:0 1319233                 * 0     users:(("kdesud",2728,3))
u_str  LISTEN     0      100        private/relay 11780                 * 0     users:(("master",934,53))
u_str  LISTEN     0      50     /tmp/akonadi-MEINPROZESS.xLxgcA/mysql.socket 15014                 * 0     users:(("mysqld",1397,17))
u_dgr  UNCONN     0      0      /run/systemd/journal/syslog 3515                  * 0     users:(("rsyslogd",541,3),("systemd",1,21))
u_str  LISTEN     0      5      /tmp/ksocket-MEINPROZESS/plasma-desktopWE1295.slave-socket 1317766                 * 0     users:(("plasma-desktop",1295,18))
u_str  LISTEN     0      100         public/showq 11783                 * 0     users:(("master",934,56))
u_dgr  UNCONN     0      0      /run/systemd/shutdownd 3518                  * 0     users:(("systemd",1,22))
u_str  LISTEN     0      100        private/error 11786                 * 0     users:(("master",934,59))
u_str  LISTEN     0      128    /run/systemd/journal/stdout 3521                  * 0     users:(("systemd-journal",229,3),("systemd",1,24))
u_str  LISTEN     0      100        private/retry 11789                 * 0     users:(("master",934,62))
u_dgr  UNCONN     0      0      /run/systemd/journal/socket 3523                  * 0     users:(("systemd-journal",229,4),("systemd",1,25))
u_dgr  UNCONN     0      0               /dev/log 3525                  * 0     users:(("systemd-journal",229,5),("systemd",1,26))
u_str  LISTEN     0      100      private/discard 11792                 * 0     users:(("master",934,65))
u_str  LISTEN     0      100        private/local 11795                 * 0     users:(("master",934,68))
u_str  LISTEN     0      100      private/virtual 11798                 * 0     users:(("master",934,71))
u_str  LISTEN     0      100         private/lmtp 11801                 * 0     users:(("master",934,74))
u_str  LISTEN     0      100        private/anvil 11804                 * 0     users:(("master",934,77))
u_str  LISTEN     0      100       private/scache 11807                 * 0     users:(("master",934,80))
u_str  LISTEN     0      5      /run/user/1000/pulse/native 13298                 * 0     users:(("pulseaudio",1330,32))
u_str  LISTEN     0      5      /var/run/xdmctl/dmctl/socket 10486                 * 0     users:(("kdm",590,7))
u_str  LISTEN     0      30     /run/user/0/systemd/private 15353                 * 0     users:(("systemd",1500,12))
u_dgr  UNCONN     0      0                      * 1346809                 * 3525  users:(("su",2843,3))
u_dgr  UNCONN     0      0                      * 1321016                 * 3525  users:(("su",2742,3))
u_dgr  UNCONN     0      0                      * 11813                 * 3525  users:(("qmgr",953,7))
u_dgr  UNCONN     0      0                      * 8924                  * 3525  users:(("dbus-daemon",510,14))
u_dgr  UNCONN     0      0                      * 13563                 * 3525  users:(("udisksd",1272,3))
u_dgr  UNCONN     0      0                      * 9104                  * 3525  users:(("polkitd",552,11))
u_dgr  UNCONN     0      0                      * 5316                  * 5315  users:(("systemd-udevd",264,10))
u_dgr  UNCONN     0      0                      * 15343                 * 3525  users:(("(sd-pam",1502,3))
u_dgr  UNCONN     0      0                      * 10161                 * 3525  users:(("master",934,3))
u_dgr  UNCONN     0      0                      * 1346140                 * 0     users:(("sudo",2915,3))
u_dgr  UNCONN     0      0                      * 11829                 * 3525  users:(("cron",948,4))
u_dgr  UNCONN     0      0                      * 10596                 * 3525  users:(("NetworkManager",643,3))
u_dgr  UNCONN     0      0                      * 10492                 * 3525  users:(("kdm",610,6),("kdm",590,6))
u_dgr  UNCONN     0      0                      * 9442                  * 3525  users:(("avahi-daemon",511,4))
u_dgr  UNCONN     0      0                      * 8618                  * 3525  users:(("ModemManager",514,5))
u_dgr  UNCONN     0      0                      * 8673                  * 3523  users:(("systemd-logind",527,3))
u_dgr  UNCONN     0      0                      * 11342                 * 3525  users:(("bluetoothd",878,5))
u_dgr  UNCONN     0      0                      * 15347                 * 3523  users:(("systemd",1500,3))
u_dgr  UNCONN     0      0                      * 5306                  * 3523  users:(("systemd-udevd",264,5))
u_dgr  UNCONN     0      0                      * 1231256                 * 3525  users:(("pickup",2630,7))
u_dgr  UNCONN     0      0                      * 1346143                 * 3525  users:(("sudo",2915,8))
u_dgr  UNCONN     0      0                      * 3583                  * 3523  users:(("systemd",1,30))
u_dgr  UNCONN     0      0                      * 11926                 * 3525  users:(("(sd-pam",962,3))
u_dgr  UNCONN     0      0                      * 5315                  * 5316  users:(("systemd-udevd",264,9))
u_dgr  UNCONN     0      0                      * 12376                 * 3523  users:(("systemd",960,3))
u_dgr  UNCONN     0      0                      * 11851                 * 3525  users:(("dhclient",954,3))
tcp    UNCONN     0      0                      *:33728                 *:*      users:(("avahi-daemon",511,13))
tcp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",954,6))
tcp    UNCONN     0      0                      *:631                   *:*      users:(("systemd",1,27))
tcp    UNCONN     0      0                      *:5353                  *:*      users:(("avahi-daemon",511,11))
tcp    UNCONN     0      0                      *:64846                 *:*      users:(("dhclient",954,20))
tcp    UNCONN     0      0                     :::30384                :::*      users:(("dhclient",954,21))
tcp    UNCONN     0      0                     :::5353                 :::*      users:(("avahi-daemon",511,12))
tcp    UNCONN     0      0                     :::47374                :::*      users:(("avahi-daemon",511,14))
tcp    LISTEN     0      100            127.0.0.1:25                    *:*      users:(("master",934,12))
tcp    LISTEN     0      128                   :::631                  :::*      users:(("systemd",1,20))
tcp    LISTEN     0      100                  ::1:25                   :::*      users:(("master",934,13))
```
Kann ich die Inhalte hier weiterhin für jeden sichtbar anzeigen lassen, oder ist das eher bedenklich?
LG
Pete


----------



## deepthroat (18. Februar 2014)

Netzwerkidi hat gesagt.:


> Wäre so etwas ok?
> 
> ```
> Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
> ...


Interessant sind nur die 3 letzten Zeilen wo LISTEN steht. Der erste Service lauscht aber nur auf 127.0.0.1 (localhost) und der dritte ebenfalls (nur das es ipv6 ist).

Der zweite Eintrag ist systemd welcher auf dem CUPS Port lauscht. Diesen Service würdest du nicht ins Web stellen wollen. Wenn du einen Router hast und nicht nur ein dummes Modem, dann ist das OK, da dein System von Aussen sowieso nicht zugreifbar ist. Anderenfalls solltest du den Service evtl. abschalten.


Netzwerkidi hat gesagt.:


> Kann ich die Inhalte hier weiterhin für jeden sichtbar anzeigen lassen, oder ist das eher bedenklich?


Da das bei jeder Standardinstallation so aussieht, und hier auch nicht deine externe IP ersichtlich ist, sehe ich keinen Grund es nicht öffentlich sichtbar zu machen.


----------



## Netzwerkidi (18. Februar 2014)

Die anderen Listenerprozesse zwischendurch sind also harmlos.

Ich habe einen Fritz!Box 2170 Modem-Router, fällt der unter die Kategorie OK?



> CUPS › Wiki › ubuntuusers.de
> wiki.ubuntuusers.de › Wiki?
> Über CUPS lassen sich zahlreiche Drucker nutzen, verwalten und im ... *CUPS besitzt einen integrierten Webserver, der über den Port 631 zu erreichen ist....*


https://www.google.de/search?q=+CUPS+Port

Ein Test 

```
http://localhost:631/
```
von(http://www.tu-chemnitz.de/urz/kurse/unterlagen/cupsintro.html) bringt in der Tat diese Seite:


> Home   	  Administration   	  Classes   	  Online Help   	  Jobs   	  Printers
> 
> CUPS 1.5.4
> 
> CUPS is the standards-based, open source printing system developed by Apple Inc. for Mac OS® X and other UNIX®-like operating systems.....


und nicht diese Seite:


> Verbindung fehlgeschlagen
> localhost:631 hat den Verbindungsaufbau verweigert.



Bist du sicher, dass es so gut wie ausgeschlossen ist, dass jemand von außen auf den PC und die Platten/USB-Sticks zugreifen konnte durch das Laufenlasssen dieses Prozesses? Ganz ehrlich, seit ein paar Tagen plagen mich Albträume, dass der PC ausgelesen wird.

http://computer.wer-weiss-was.de/linux/cups-sicherheit



> ich verwende hier Cups (unter Debian übrigens- und außer Internet kein weiteres Netzwerk) und bin doch etwas genervt, dass das anscheinend nur funktioniert, wenn der ipp seine Dienste über Port 631 dem gesamten Planeten anbietet.
> Ich habe mal ein wenig mit den in etc/cupsd.conf erwähnten Optionen
> herumprobiert bekomme damit aber nur die 2 Extremlösungen hin: *Entweder offen für die ganze Welt* oder Cups ist komplett abgemeldet. Ok- letzteres ist mir in diesem Fall sogar lieber, aber kann es tatsächlich sein, dass alle Cups-Nutzer der Welt den 631 offen haben? Irgendwie halte ich es doch für wahrscheinlicher, dass ich nur die passende Option noch nicht gefunden habe ;-)




```
$ ps ax | grep cupsd
19756 ?        Ss     0:00 /usr/sbin/cupsd -f
19799 pts/1    S+     0:00 grep --color=auto cupsd

$ ps aux | grep 19756
root     19756  0.0  0.1   9464  2936 ?        Ss   09:29   0:00 /usr/sbin/cupsd -f
root     19803  0.0  0.0   3124   596 pts/1    S+   09:32   0:00 grep --color=auto 19756

$ ps aux | grep 19756
root     19756  0.0  0.1   9464  2936 ?        Ss   09:29   0:00 /usr/sbin/cupsd -f
root     19803  0.0  0.0   3124   596 pts/1    S+   09:32   0:00 grep --color=auto 19756
```

Der Prozess ist damit ausfindig gemacht.  Ich habe ihn gestoppt mit :


```
$ sudo systemctl stop cups
Warning: Stopping cups, but it can still be activated by:
  cups.path
  cups.socket


$ ps ax | grep cupsd
19926 pts/1    S+     0:00 grep --color=auto cupsd
```

Wie wird er nach dem Booten nicht immer wieder neu gestartet?

Tz, kaum schreibt man's....

```
$ systemctl -t service | grep cups
cups.service      loaded active running CUPS Printing Service
$ ps ax | grep cupsd
19939 ?        Ss     0:00 /usr/sbin/cupsd -f
20055 pts/1    S+     0:00 grep --color=auto cupsd
```

Ok, scheint, ich habe es gefunden (http://www.pcwelt.de/ratgeber/Schne...-_so_geht_s-Dienste_optimieren-8259105.html):

```
$ systemctl disable cups.service
rm '/etc/systemd/system/multi-user.target.wants/cups.path'
rm '/etc/systemd/system/printer.target.wants/cups.service'
rm '/etc/systemd/system/sockets.target.wants/cups.socket'
rm '/etc/systemd/system/cupsd.service'
```

Und was passiert, wenn ich drucken will? Momentan habe ich noch keinen Drucker angeschlossen.

Abschließend, woher weiß ich, welche Prozesse ok sind und welche nicht (z. B. der mit dem 631 Port)? Wonach muss man gucken?

LG
Peter


----------



## Bratkartoffel (18. Februar 2014)

Hi,

also unruhig schlafen musst du nicht, keine Angst  Dass dir jemand deine Daten über den Cups klaut ist sehr sehr unwahrscheinlich, das Ding ist alt und dementsprechend gut dokumentiert und gesichert.

Wie du schon geschrieben hast, wenn du den cups beendest, kannst du nichts mehr drucken. Ist ja auch der Druck-Dienst.

Mit folgendem Befehl kannst du in der cups Konfiguration nachschauen, ob er auf Druckaufträge aus dem Netzwerk lauscht. Der Befehl gibt evtl mehrere Zeilen aus:


```
sudo grep 'Listen' /etc/cups/cups.conf
```

Zeigt er Befehl ein "Listen *:631" an, dann nimmt er Druckaufträge von aussen an. Lösche alle "Listen" Zeilen aus dem Dokument und füge stattdessen folgende Zeile einmal ein:

```
# befehl zum öffnen der Datei mit dem Editor:
sudo kwrite /etc/cups/cups.conf

# Die Listen Zeile die du eintragen musst:
Listen [::1]:631
```

Danach den Dienst mit Hilfe von sysctl neustarten und nochmals mit dem "sudo ss -nlp" prüfen. Hier sollte jetzt für den 631-Port nicht mehr :::631, sondern ::1:631 stehen.
Einen weiteren Test zur Sicherheit, im Browser deiner Wahl:
- Sollte gehen http://127.0.0.1:631 was finden
- Sollte Fehler geben: http://<_deine lokale ip adresse, zu finden via Konsole: "ip -4 addr show"_>:631  ; (Beispiel-URL: http://192.168.178.23:631)

Grundsätzlich zu der Frage, welche Dienste OK sind: Eigentlich alles, was Standardmäßig drauf ist und was du über den integrierten Paketmanager installierst. Der folgende Tip gilt für Linux genau wie für Windows: Du solltest keine Programme oder Scripte aus dem Internet (genauer aus nicht vertrauenwürdigen Quellen) runterladen und ausführen. Im Gegensatz zu Windows bist du aber mit Linux schon mal sicherer unterwegs, weil er für alles was irgendwie im System was ändert ein Passwort brauchst. Gib das Passwort mit Bedacht ein, lies dir bei der Meldung immer durch, welches Programm die Rechte braucht und überlege, ob du das wirklich willst.

Grüße,
BK


----------



## Netzwerkidi (18. Februar 2014)

/etc/cups/cups.conf gibt es nicht.

```
$ sudo grep 'Listen' /etc/cups/cups.conf
grep: /etc/cups/cups.conf: No such file or directory
```
Es gibt allerdings

```
-rw-r----- 1 root lp   5567 Sep 28 05:39 cupsd.conf
```
aber den kann ich nicht öffnen:

```
$ krwite cupsd.conf
If 'krwite' is not a typo you can use command-not-found to lookup the package that contains it, like this:
    cnf krwite
```


```
$ ip -4 addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp2s1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    inet 192.168.178.21/24 brd 192.168.178.255 scope global enp2s1
       valid_lft forever preferred_lft forever
```
Fehler ergeben:
http://192.168.178.21 bis  24:631
http://192.168.178.255:631
http://127.0.0.1 bis 8:631/


----------



## Bratkartoffel (18. Februar 2014)

Hi,

oh, stimmt, bei mir fehlte beim dem "sudo grep..." befehl ein "d".

```
sudo grep 'Listen' /etc/cups/cupsd.conf
```

Zu den Fehlern: Läuft dein Cups gerade? Der sollte ja zumindest über 127.0.0.1 erreichbar sein.

Ok, also laut deiner IP Adresse (192.168.178.21) befindest du dich hinter einem NAT Router, das ist quasi wie eine Firewall. Von daher brauchst du dir keine Sorgen machen, dass dein Cups von aussen erreichbar ist. Genauer gesagt dürfte es ein "Restricted Cone NAT" sein. Durchgelassen werden nur Antworten auf Anfragen von deinem Rechner, von aussen kann keine Verbindung aufgebaut werden.

Brauchst also nichts umstellen, dein PC ist von aussen nicht erreichbar. Den Cups kannst du getrost wieder aktivieren und starten.

Grüße,
BK


----------



## Netzwerkidi (18. Februar 2014)

> Zu den Fehlern: Läuft dein Cups gerade? Der sollte ja zumindest über 127.0.0.1 erreichbar sein.


Ich hatte Cups disabled (siehe oben).

Vorher war er erreichbar mit 

```
http://localhost:631/
```



> Brauchst also nichts umstellen, dein PC ist von aussen nicht erreichbar. Den Cups kannst du getrost wieder aktivieren und starten.



Gut zu hören, ich hatte mich gewundert, dass Suse das standardmäßig so einrichtet. 
Die Benutzer, die keinen Router sondern nur ein Modem verwenden, dürften demnach ziemlich angeschmiert sein.

LG
Peter


----------



## Netzwerkidi (18. Februar 2014)

Offen gestanden ist mir nicht so richtig klar, wie man CUPS/das System einrichten muss, wenn man keinen Router verwendet. In der Verwandtschaft ist nämlich jemand, der auch auf openSuse umswitchen will, allerdings mit einer Versatelbox (enthält keinen ohne Router).


----------



## Bratkartoffel (18. Februar 2014)

Hi,

sobald man an einen Router / Fritzbox / Speedport / Versatelbox mehr als einen Rechner anschließen kann wird NAT verwendet, also mit integrierter "Firewall". Wenn du dein System wirklich komplett abriegeln willst, also auch ohne Dateifreigabe oder so was, dann kannst du dir zum Beispiel mit Hilfe von iptables ein paar Regeln für die Kernel-Firewall einstellen. Dies ist aber meiner Meinung nach Overkill.

Zu der Konfiguration: Dem Cups kann man, wie alle anderen Dienste die ich für Linux kenne, in der Konfiguration sagen, ob er Verbindungen von aussen annehmen soll oder nicht. Bei Cups steht das in der cupsd.conf, hier sind die "Listen" Einträge relevant. Diese Konfigurationsdateien kann man normal schnell mit dem Texteditor seiner Wahl anpassen, sofern es keine grafische Oberfläche hierfür gibt.

Generell ist ein offener Port, auch wenn er vom Internet erreichbar ist, nicht immer ein Sicherheitsloch über das man dich ausspionieren oder kontrollieren kann. Die Dienste sind unter Linux gut gesichert und gewartet (vorallem bei Debian) und solange du regelmäßig deine Updates machst und starke Kennwörter verwendest bist du den Aufwand eines Angriffs nicht wert.

Natürlich gibt es auch unter Linux immer wieder kritische Sicherheitslücken, die auch aktiv ausgenutzt werden und mit denen man einen Rechner übernehmen kann, doch die Gefahr ist hier imho weitaus geringer. Dass man mit einer Lücke root-Rechte bekommt (ist ja quasi Vorraussetzung dass man alles abfangen / kontrollieren / spionieren kann) ist noch viel seltener.

Gut, dass du dich in der Hinsicht so engagierst und vorab erkundigst, was Probleme machen kann. Da sollten sich manche Serveradmins eine Scheibe von dir abschneiden, bei denen wären solche Fragen nämlich absolut notwendig...

Btw, Modems alleine sind inzwischen sehr sehr selten, kenne die eigentlich nur noch von früher. Inzwischen gibt es soweit ich weiß nur noch Router mit integriertem Modem.

Grüße,
BK


----------



## Netzwerkidi (18. Februar 2014)

Hai,

das mit den iptables habe ich nun schon mehrfach gelesen, fange aber nicht wirklich etwas damit an. Kannst du mir etwas zum Einlesen empfehlen, was über das http://www.selflinux.org/selflinux/html/iptables.html hinausgeht?


> Bei Cups steht das in der cupsd.conf, hier sind die "Listen" Einträge relevant. Diese Konfigurationsdateien kann man normal schnell mit dem Texteditor seiner Wahl anpassen


Bei mir offenbar nicht (s.o.)

Bzgl. der Versatelbox kann ich leider im Moment die Person nicht erreichen, um die es geht, um klären zu lassen, ob in dem Ding ein Router drin ist oder nicht. Ich denke aber, eher nicht. Ich hatte bis vor einiger Zeit von einem anderen Anbieter auch so eine Kiste.


> sobald man an einen Router / Fritzbox / Speedport / Versatelbox mehr als einen Rechner anschließen kann


Kann man nicht, ich weiß, wie das Ding aussieht.

Versatel  http://www.versatel.de/dsl/faq-hilfe  sagt:


> *Was ist die Versatelbox?*
> 
> Die VersatelBox ist ein Kombigerät, das die technischen Komponenten für Ihren ISDN-Anschluss liefert. Ein analoges Telefon und Fax können Sie, aufgrund des integrierten Wandlers, selbstverständlich weiterverwenden.
> Der Clou: Die VersatelBox enthält zusätzlich einen DSL-Splitter, der Ihnen einen eventuellen Wechsel auf eines der DSL-Produkte von Versatel in der Zukunft erleichtern kann. Die VersatelBox ersetzt somit folgende Einzelgeräte: - NTBA - Terminaladapter TA / Wandler - DSL-Splitter.



LG
Peter


----------



## Bratkartoffel (18. Februar 2014)

Hi,

ob ein Router mit NAT arbeitet kannst du normal relativ schnell an der IP vom Rechner sehen.

Windows:
ipconfig /all

Linux:
ip -4 addr show

Sobald die Adresse eine der folgenden ist, wird NAT verwendet und somit auch die Firewall:
Siehe Wikipedia.

Und wenns wirklich einer ohne NAT ist, dann gibts ja immer noch die OpenSuse Firewall als YAST Modul: Klick. 

Grüße,
BK


----------

