On 21.11.05 13:37:44, Ace Dahlmann wrote: > On Mon, 21 Nov 2005 12:15:59 +0100 > Andreas Pakulat <[EMAIL PROTECTED]> wrote: > > > > - Für die Freigabe soll primär NFS verwendet werden, zusätzlich > > > würde > > > > Ich kann das selbst nicht bestaetigen oder widerlegen, aber man kann > > an verschiedenen Stellen im Netz lesen das CIFS "besser" sein soll. > > Mit CIFS hab ich mich noch nicht befasst; da werde ich mich dann auch > mal einlesen.
Fuer CIFS musst du in den Linux-Clients nichts weiter machen als statt smbfs cifs zu schreiben. Achja und ein paar Optionen fallen weg, da CIFS z.B. Unterstuetzung fuer Unix User/Rechte hat. > Alternativ hätte ich noch die Idee, den Server über Samba, der ja eh > läuft, als PDC einzurichten und damit (also auch für die Linux-Clients) > die Authentifizierung zu machen. > Was ist von der Idee zu halten? Geht das ueberhaupt? Ich wuerd ja eher LDAP nehmen und den Samba-Server da mit ranknueppern. Aber ich hab sowas auch noch nie gemacht... > > ?? Wieso iptables? Lass die Dienste nur auf der internen NIC lauschen, > > das ist deutlich sicherer als irgendwelche iptables Basteleiein. > > Gar keine Firewall zusätzlich? Was heisst Firewall, wenn auf dem externen NIC nur der sshd lauscht kann da nicht viel passieren, ausser eben das der sshd geknackt wird. Wenn der Server dann auch so eingerichtet ist, das nicht geroutet wird sollte das reichen. Aber ich bin kein Netzwerkspezialist, moeglich das ich da was uebersehe. > Sollte ich denn ggf. auch noch die hosts.allow mit nutzen? Wenn du den Zugriff auf den externen sshd nur von bestimmten Hosts/IP Addressen erlauben willst: Ja. Oder wenn du nicht automatisch allen Rechner im LAN vertrauen willst (Stichwort: "Bekannter stoepselt mal fix seinen PC ans Netz") kann das auch sinnvoll sein. > > ?? Weisst du wie viele Webseiten mit Apache laufen, ohne gehackt zu > > werden... > > Aber auf denen läuft wahrscheinlich kein Fileserver, der mit einem Bein > im LAN und mit dem anderen im Netz steht? ;) Daher bin ich halt > diesbzgl. etwas ängstlich. Das glaubts auch nur du ;-) Denk mal an die ganzen Webspace-Anbieter, da laeuft fuer den Webspace ein Apache-VHost, ein FTP-Vhost und manchmal auch noch ein sshd... Nun du kannst ja den Apachen erstmal nur fuers LAN installieren und dann spaeter wenn du dich mit dem ein wenig auseinandergesetzt hast auch fuers Netz oeffnen. Aber prinzipiell kann auch der sshd gehackt werden und dann hat derjenige Voll-Zugriff auf den Server. Andreas -- You will be married within a year, and divorced within two. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
