Hi alle zusammen,
hab mal ne Frage:
Ich administriere mehrerer Debian-Server, darunter
auch DMZ-Server. Da diese ja nie sicher genug sein
können, macht man sich immer wieder Gedanken, wie
man die Systeme noch sicherer machen kann...
Ich habe mich gerade gefragt, ob es z.B. bei einem
MailRelay
Hallo,
erstmal Danke für Eure Beteiligung!
So wie ich das verstanden habe, will er ja SCP verbieten,
damit es erst
gar nicht soweit kommt, das ein R00t-Kit hochgeladen werden kann.
Oder hab ich jetzt was falsch verstanden?
Als root auf dem Rechner kannst Du mit vielen Programmen das
Hi,
ich habe folgendes Problem:
Vor langer Zeit habe ich hier nach einem Weg gesucht,
spezielle RAID-Kontroller mit Woody zu nutzen. Ich
wurde auf spezielle CD-Images verwiesen, die einen
neueren Kernel mit entsprechender Unterstützung
hatten. Ich brauche diese Version inzwischen auch für
Starte mal memtest86 von der Diskette,
das braucht dann nur 26 kBytes...
Hmmm, ich habe keine Probleme unter
WOODY 3.0r2 1,5 GByte Ram zu testen...
Nabend,
also ich habe memtest86 installiert und zum Laufen gebracht.
Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet.
Ich habe
Nabend,
Im menu der rescue/root Diskette System Bootbar machen auswählen
und das wars..
also ich habe kein Zugriff auf ein Netzwerk! Ebenso ist Interaktion
nicht möglich!
Fragen:
---
1.
Ist es bei einem solchen Vorgehen relevant, ob sich die
Hardware ändert, also z.B. neues Board,
Wenn man solche Restriktionen benutzt, macht
das hier wahrscheinlich auch keinen Sinn mehr:
--schnip--
server01:~# ls -lah /bin/mount
-rwsr-xr-x1 root root 71k Dec 24 2002 /bin/mount
--schnap--
Wäre hier nicht ein 'chmod 700 /bin/mount'
angebracht?
Und der korrekte Weg das umzustellen, sodass es bei Upgrades erhalten
bleibt, ist mit
dpkg-statoverride --update --add root root 0700 /bin/mount
Danke für Eure Tips,
der hier ist ja obergenial. Kannte die Funktion noch
nicht, aber wir sind ja zum Glück noch lernfähig...
Gruß
Mathias
--
On Fri, 28 Nov 2003 11:39:39 +0100, Andreas Janssen
[EMAIL PROTECTED] wrote:
Das suid-Bit ist dazu da, es Benutzern zu ermöglichen, mount so
aufzurufen, daß es mit Besitzer- (also Root-)Rechten läuft,
auch wenn
der aufrufende Benutzer nicht Root ist.
Das ist die Grundlage dafür, dass
warum nicht das hier:
http://www.informatik.uni-koeln.de/fai/
Sorry,
hatte nicht explizit erwähnt, dass ich Installationen
übers Netzwerk aus technischen Gründen ausschließen
muss.
Daher auch mein eigenes Vorhaben, was ich gar nicht
so schlecht finde und auf jeden Fall im Bereich des
unter
http://www.udpcast.linux.lu/cast-o-matic/
kann man sich online sogar bootdisks basteln lassen, die das
Image automatisch
auf platte schreiben
Hm,
so wie ich das verstanden habe, findet auch hier die Installation
übers Netz statt. Kommt leider nicht in Frage ;O)
Habe
snip
- Apache
1.x oder 2.x ?
snip
Moin moin,
ist Apache 1.3.x, stable Release...
memtest86 ist übrigens beim 145 Durchlauf und
hat bisher noch keine Fehler gefunden.
Gruß
Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum
Servus,
ich betreue diverse Debian 3.0r2 Server und
habe auch die Aufgabe, diese nach bestem Wissen
und Gewissen abzusichern (wie so manch anderer
hier ;O).
Ich habe mal gelesen, dass es sinnvoll ist
diverse Teile des Dateisystems auf separate
Partitionen zu packen (siehe OpenBSD Dokus).
Ich
Servus,
neben dem Administrieren, gehört auch das Installieren
zu meinen Aufgaben. Ich habe des öfteren den Fall, dass
ich die gleiche Installation auf mehreren Servern
durchführen muss. Eine Art Recovery-CD ist mit meinem
Vorhaben ebenfalls möglich.
Ich habe mich zu diesem Thema schlau gemacht,
Hallo Leute,
in der letzten Zeit gab es mehrmals mit meinem ReverseProxy.
Insgesamt ist die Mühle 3mal abgeschmiert und nicht mehr
bootfähig (Kernel Panic!). Daher mach ich mir inzwischen
Sorgen, ob vielleicht die Kiste 'regelmäßig' gehackt wird...
Software, die ich verwende:
- Woody
- Apache
-
Sowas deutet wohl mehr auf ein Hardwareproblem hin.
Vielleicht gibt der
Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann
die Platte in einen anderen Rechner eingebaut und alles lief
wieder wie
geschmiert.
Das habe ich auch schon vermutet, ein Festplattenscan
Das habe ich auch schon vermutet, ein Festplattenscan
(Lesen+Schreiben) zeigte bisher keine Probleme. Habe
trotzdem mal die Platte getauscht. Kann man den Rest
der Hardware irgendwie testen, vielleicht sogar mit
Knoppix?
Was du brauchst is memtest86 oder so. Keine ahnung ob das auf
Das habe ich auch schon vermutet, ein Festplattenscan
(Lesen+Schreiben) zeigte bisher keine Probleme. Habe
trotzdem mal die Platte getauscht. Kann man den Rest
der Hardware irgendwie testen, vielleicht sogar mit
Knoppix?
Was du brauchst is memtest86 oder so. Keine ahnung ob das auf
Wird eigentlich ein log geschrieben, das mir anzeigt, welche
deb-files zu
welchem Zeitpunkt erneuert wurden?
Bei mir schon!
Ich lass das Ganze von Cron durchführen und bekommen immer eine
E-Mail mit dem Updatebericht. Weiß jetzt aber nicht, ob Du auch
Infos im root-Postfach finden wirst...
Tja, das war's nicht. Wie vorher (de-latin1-nodeadkeys),
scheint alles ok zu
sein. Nur äöü werden nicht angezeigt. Im vi nur als
Sonderzeichen \xxx.
Irgendetwas fehlt... nur was?
Habe seit heute das gleiche Problem bemerkt!
Ein frisch installiertes System mit den gleichen
Ein frisch installiertes System mit den gleichen
Zeichenproblemen. Der Backslash \ tut auch nicht
mehr, nur über Shift+ü !?
Wurden irgendwelche Pakete diesbezüglich aktualisiert?
console-data wurden im in Woody3.0r2 aktualisiert
siehe:
http://www.de.debian.org/News/2003/20031121a
Hm,
Moin,
Such man nach cron-apt.
also ich habs mal auf meinem Testrechner installiert,
kann jedoch keinen Unterschied zu meiner Variante
feststellen! Wie gesagt, es funktioniert einwandfrei,
solange keine Interaktion bei der Installation gefragt
ist. Wie kriege ich das in den Griff? Konnte zu
Hallo Leute,
ich möchte mit apt einigermaßen sicher die neuesten
Pakete ohne größeren Aufwand einspielen lassen.
Zur Zeit läuft das so:
--crontab--
...
0 0,4,8,12,16,20 * * * root/root/update.sh
# EOF
--update.sh--
#!/bin/bash
apt-get update
apt-get -y upgrade
# EOF
Cron schickt mir die
Moin,
Servus,
ich hab mal ne Frage zur Standardeinstellung der shadow-Datei :
Hier mal drei Zeilen aus meiner shadow :
...
proxy:*:12226:0:9:7:::
nobody:*:12226:0:9:7:::
sshd:!:12226:0:9:7:::
...
1.
Kann mir jemand vielleicht in ein paar Worten die grobe
Kannst du deinem MUA nicht vernünftiges Quoten beibringen?
Sorry, bin hier im Geschäft leider an M$ Outlook gebunden, hätte
auch lieber was anderes. Habe gerade ein bissl an den Eistellungen
gespielt, weiß aber nicht, ob das was bringt...
,
| If the password field contains some string
Servus mal wieder,
ich habe nach folgendem HOWTO eine chroot-Umgebung für
SSH-Benutzer eingerichet:
http://www.tjw.org/chroot-login-HOWTO/
Beim Anmelden mit einem Benutzer der chrooted werden soll,
bekommen ich die Fehlermeldung: su: pam_start: error 26
In dem HOWTO steht noch folgender
Servus,
ich hab mal ne Frage zur Standardeinstellung der shadow-Datei :
Hier mal drei Zeilen aus meiner shadow :
...
proxy:*:12226:0:9:7:::
nobody:*:12226:0:9:7:::
sshd:!:12226:0:9:7:::
...
1.
Kann mir jemand vielleicht in ein paar Worten die grobe Bedeutung
der Abschnitte erklären?
Hi,
ich will einen Squid mit integrierter NTLM Authentifizierung
aufzusetzen, und daher würde ich gerne den 2.5er Squid verwenden...
...
Schlechte Mitarbeiterführung kann man nicht mittels EDV-Configs
kompensieren.
aber mangelnde Bandbreite ;O)
Kann mir jemand einen Tip geben, wie ich
Servus nochmal,
Kann mir jemand einen Tip geben, wie ich wirklich nur den squid und seine
komponenten aus dem testing Bereich installiere?
man apt.conf
Und Stichwort Default-Release und dann apt-get -t testing install
Danke an Heiko für den Tip. Gibt jetzt noch ein Problem mit
der Konfig
Moin moin,
ich will einen Squid mit integrierter NTLM Authentifizierung aufzusetzen,
und daher würde ich gerne den 2.5er Squid verwenden...
Da der bei Debian noch unter testing läuft, kann man meines Wissens nach das
Ding nur installieren, wenn man bei den apt-sources eine testing Quelle
angibt.
Hi Stefan,
das Dumme an der Sache ist, das er mir ja vorschlägt, entweder
speichern, oder mit einer anderen Application öffnen.
Also ungefähr das gleiche, als wenn ich ein *.pdf - Dokument anklicke,
OHNE Acroread installiert zu haben.
Das ist ja klar, da der Browser sich nach dem MIME-Type
Nabend,
Jetzt habe ich aber folgendes Problem:
Da ich schon recht spät dran war mit dem Server, ist er schon
auf dem Weg zum Kunden. Kann ich den Kernel noch so updaten,
und wenn ja welchen nehme ich dann? Ist der stable oder testing?
IMO den gleichen, der auf der Install-CD war:
Moin moin,
Muss man eigentlich irgenwelche Bedenken mit dieser ISO
haben, offiziell ist das anscheinend ja nicht?
Kaum. Das ist ein Probe-Build der kommenden Boot-Floppies-Version im
Dauer-Testverfahren.
PS: Stimmt doch nicht ganz, der Kernel ist noch verwundbar. Update
soeben
Hi Eduard,
also ich versuche immernoch vergeblich ein Fasttrack100
(Promise PDC20267
...
Kernel, der bei Installation benutzt wird (Variante bf24), in der
kernel-config folgenden
Parameter nicht gesetzt hat: CONFIG_PDC202XX_FORCE=y
Meinesswissens ist der Kernel schlicht zu alt, um
Hallo mal wieder,
also ich versuche immernoch vergeblich ein Fasttrack100 (Promise PDC20267
onboard)
RAID1 zum Laufen zu bringen. Bisher konnte ich im besten Fall die Platten
einzeln
ansprechen, aber viel bringt mir das auch nicht...
Nach tagelangen Recherchen bin ich zu dem Ergebnis gekommen,
Hallo,
aufgrund der Flut von Spam die nun auch bei uns in der Firma anfängt,
soll ich mich dem Thema Spambekämpfung wittmen.
Da wir hier schon ein Postfix Mailrelay (auf Woody) laufen haben, bietet
sich Spamassassin mit Razor an. Beide Pakte sind nun installiert.
Jetzt mein Problem, in dem File
Hallo,
also wir haben hier gerade Probleme in unserem Netzwerk, wahrscheinlich sind
verschiedene Duplexmodi die Ursache...
In der Regel switche ich mit mii-tool zwischen den verschiedenen Modes, aber
kann mir jemand vielleicht ein Tip geben, wie ich das ganze 'resistent'
Hinterlege? Bisher ist
Hi,
hat irgend jemand ne Ahnung wozu das Paket ntp gut ist?
Ich habe hier einen Zeitserver laufen, aber nur die Paket ntp-date und
ntp-simple installiert und alles funktioniert!?
Gruß Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Hi,
Wie kann ich Linux überreden, im Verzeichnis /usr/local/lib nach
Bibliotheken zu suchen?
entweder setzt Du mit 'ln -s /usr/local/lib /virtueller/link' einen
symbolischen Link oder beim Kompilieren angeben.
Gruß
Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ):
Servus,
wie kann ich denn einem User (nobody) das nutzen einer Shell verbieten.
In der /etc/passwd steht für nobody:
nobody:x:65534:65534:nobody:/home:/bin/sh
Wie sollte der Eintrag denn am Besten aussehen?
Gibt es eine dummyShell mit der er nichts machen kann oder kann ich den Teil
für die
Hallo Andreas,
Was hast du denn gemacht? Bei mir steht da:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
Und ich kann mich nicht als nobody einloggen, außer als root ein su
nobody machen. Aber sowas geht ja IMHO immer.
hier der Auszug von dem Security-Tool tiger:
...
# Performing check
Nochmal,
wenn wir schon dabei sind:
Lohnt es sich, oder besser gesagt macht es Sinn, die Einstellung auch für
andere Accounts zu ändern? Hat da irgend jemand schon Erfahrung mit?
Gruß
Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Danke für Eure Hilfe!
Ich wollte mich zum Abschluss nochmal für Eure freundliche Unterstützung
bedanken. Ich werde jetzt noch diverse Tests durchführen und dann wohl eine
Entscheidung treffen können.
Gruß
Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ):
42 matches
Mail list logo
