linux Sicherheit

[Bratkartoffel]

Hi,

oh, stimmt, bei mir fehlte beim dem "sudo grep..." befehl ein "d".

sudo grep 'Listen' /etc/cups/cupsd.conf

Zu den Fehlern: Läuft dein Cups gerade? Der sollte ja zumindest über 127.0.0.1 erreichbar sein.

Ok, also laut deiner IP Adresse (192.168.178.21) befindest du dich hinter einem NAT Router, das ist quasi wie eine Firewall. Von daher brauchst du dir keine Sorgen machen, dass dein Cups von aussen erreichbar ist. Genauer gesagt dürfte es ein "Restricted Cone NAT" sein. Durchgelassen werden nur Antworten auf Anfragen von deinem Rechner, von aussen kann keine Verbindung aufgebaut werden.

Brauchst also nichts umstellen, dein PC ist von aussen nicht erreichbar. Den Cups kannst du getrost wieder aktivieren und starten.

Grüße,
BK

 

[Netzwerkidi]

Zu den Fehlern: Läuft dein Cups gerade? Der sollte ja zumindest über 127.0.0.1 erreichbar sein.

Ich hatte Cups disabled (siehe oben).

Vorher war er erreichbar mit

http://localhost:631/

Brauchst also nichts umstellen, dein PC ist von aussen nicht erreichbar. Den Cups kannst du getrost wieder aktivieren und starten.

Gut zu hören, ich hatte mich gewundert, dass Suse das standardmäßig so einrichtet.
Die Benutzer, die keinen Router sondern nur ein Modem verwenden, dürften demnach ziemlich angeschmiert sein.

LG
Peter

 

[Netzwerkidi]

Offen gestanden ist mir nicht so richtig klar, wie man CUPS/das System einrichten muss, wenn man keinen Router verwendet. In der Verwandtschaft ist nämlich jemand, der auch auf openSuse umswitchen will, allerdings mit einer Versatelbox (enthält keinen ohne Router).

 

[Bratkartoffel]

Hi,

sobald man an einen Router / Fritzbox / Speedport / Versatelbox mehr als einen Rechner anschließen kann wird NAT verwendet, also mit integrierter "Firewall". Wenn du dein System wirklich komplett abriegeln willst, also auch ohne Dateifreigabe oder so was, dann kannst du dir zum Beispiel mit Hilfe von iptables ein paar Regeln für die Kernel-Firewall einstellen. Dies ist aber meiner Meinung nach Overkill.

Zu der Konfiguration: Dem Cups kann man, wie alle anderen Dienste die ich für Linux kenne, in der Konfiguration sagen, ob er Verbindungen von aussen annehmen soll oder nicht. Bei Cups steht das in der cupsd.conf, hier sind die "Listen" Einträge relevant. Diese Konfigurationsdateien kann man normal schnell mit dem Texteditor seiner Wahl anpassen, sofern es keine grafische Oberfläche hierfür gibt.

Generell ist ein offener Port, auch wenn er vom Internet erreichbar ist, nicht immer ein Sicherheitsloch über das man dich ausspionieren oder kontrollieren kann. Die Dienste sind unter Linux gut gesichert und gewartet (vorallem bei Debian) und solange du regelmäßig deine Updates machst und starke Kennwörter verwendest bist du den Aufwand eines Angriffs nicht wert.

Natürlich gibt es auch unter Linux immer wieder kritische Sicherheitslücken, die auch aktiv ausgenutzt werden und mit denen man einen Rechner übernehmen kann, doch die Gefahr ist hier imho weitaus geringer. Dass man mit einer Lücke root-Rechte bekommt (ist ja quasi Vorraussetzung dass man alles abfangen / kontrollieren / spionieren kann) ist noch viel seltener.

Gut, dass du dich in der Hinsicht so engagierst und vorab erkundigst, was Probleme machen kann. Da sollten sich manche Serveradmins eine Scheibe von dir abschneiden, bei denen wären solche Fragen nämlich absolut notwendig...

Btw, Modems alleine sind inzwischen sehr sehr selten, kenne die eigentlich nur noch von früher. Inzwischen gibt es soweit ich weiß nur noch Router mit integriertem Modem.

Grüße,
BK

 

[Netzwerkidi]

Hai,

das mit den iptables habe ich nun schon mehrfach gelesen, fange aber nicht wirklich etwas damit an. Kannst du mir etwas zum Einlesen empfehlen, was über das http://www.selflinux.org/selflinux/html/iptables.html hinausgeht?

Bei Cups steht das in der cupsd.conf, hier sind die "Listen" Einträge relevant. Diese Konfigurationsdateien kann man normal schnell mit dem Texteditor seiner Wahl anpassen

Bei mir offenbar nicht (s.o.)

Bzgl. der Versatelbox kann ich leider im Moment die Person nicht erreichen, um die es geht, um klären zu lassen, ob in dem Ding ein Router drin ist oder nicht. Ich denke aber, eher nicht. Ich hatte bis vor einiger Zeit von einem anderen Anbieter auch so eine Kiste.

sobald man an einen Router / Fritzbox / Speedport / Versatelbox mehr als einen Rechner anschließen kann

Kann man nicht, ich weiß, wie das Ding aussieht.

Versatel http://www.versatel.de/dsl/faq-hilfe sagt:

Was ist die Versatelbox?

Die VersatelBox ist ein Kombigerät, das die technischen Komponenten für Ihren ISDN-Anschluss liefert. Ein analoges Telefon und Fax können Sie, aufgrund des integrierten Wandlers, selbstverständlich weiterverwenden.
Der Clou: Die VersatelBox enthält zusätzlich einen DSL-Splitter, der Ihnen einen eventuellen Wechsel auf eines der DSL-Produkte von Versatel in der Zukunft erleichtern kann. Die VersatelBox ersetzt somit folgende Einzelgeräte: - NTBA - Terminaladapter TA / Wandler - DSL-Splitter.

LG
Peter

 

[Bratkartoffel]

Hi,

ob ein Router mit NAT arbeitet kannst du normal relativ schnell an der IP vom Rechner sehen.

Windows:
ipconfig /all

Linux:
ip -4 addr show

Sobald die Adresse eine der folgenden ist, wird NAT verwendet und somit auch die Firewall:
Siehe Wikipedia.

Und wenns wirklich einer ohne NAT ist, dann gibts ja immer noch die OpenSuse Firewall als YAST Modul: Klick.

Grüße,
BK