könnt ihr euch das mal kurz ansehen...

Beitrag von **BeS** » 17.01.2003 20:37:28

Hallo,
ich habe jetzt squirrelmail eingerichtet, ist irgendwie leichter zu konfigurieren

Ich habe jetzt meinen router bei dyndns.org registriert. Könnte ihr mal schauen ob man da von aussen drauf kommt? ( https://bes.homelinux.org und https://bes.homelinux.org/squirrelmail)

Eigentlich müssten meine ipchains Regeln ganz gut sein, aber man weiß ja nie.
Deshalb wäre auch super wenn ihr mal schauen könntet ob das Ding einigermassen sicher ist, oder ob man da durch alle Verzeichnise meines routers surfen kann oder sonstige grosse Lücken existieren.

Danke!

pdreker · Beitrag von **pdreker** » 17.01.2003 22:16:21

Die hauptseite ist erreichbar, Squirrel aber nicht, weil der Rechner server.local.netz unbekannt ist.

Patrick

Beitrag von **BeS** » 17.01.2003 22:29:51

Danke!

Ich habe gerade mal in meine httpd.conf von apache gesehen. Dort steht nirgends was von server.local.netz (das ist der name fürs heim-netz).
Wo könnte das denn noch drin stehen, dass https://bes.homelinux.org/squirrelmail in https://server.local.netz/squirrelmail/ umgewandelt wird?

Kannst du mir sagen wo ich das einstellen/korrigieren kann?

pdreker · Beitrag von **pdreker** » 17.01.2003 22:43:40

IMP3 hat das gleiche Problem, wenn es per PortForward betreibe. Das ist normalerweise ein Problem damit, dass Squirrel einfach nicht damit klarkommt, das ein und der selbe Rechner 2 Namen hat (bes.homelinux.org und server.local.netz) und sich da den falschen aussucht, wenn er den redirect auf die Login Seite generiert.

Abhilfe: server.local.netz heisst ab sofort einfach intern auch bes.homelinux.org (/etc/hosts kontrollieren!). Alternativ kannst Du auch versuchen unter 127.0.0.1 bes.homelinux.org in die /etc/hosts einzutragen. Experimentier einfach 'mal da ein wenig mit den Settings. Squirrel hat vielleicht auch irgendwo ein Setting, wo man das tunen kann. Notfalls einfach in den PHP Sourcen anpassen, aber das könnte ein Fass ohne Boden sein, wenn das noch mehr Stellen sind, wo es schiefgeht...

Patrick

Beitrag von **BeS** » 17.01.2003 23:26:22

Hallo,
ich habe jetzt den hostname in bes.homelinux.org geändert und auch bei der Einstellung von squirrelmail die option domain auf bes.homelinux.org gestellt.

Es geht aber immer noch nicht, oder?

Wie hast du denn das Problem bei dir gelöst?

Danke!

pdreker · Beitrag von **pdreker** » 17.01.2003 23:43:45

Doch, jetzt geht es (ich bekomme wenigstens einen Login Screen von Squirrel).

Ich habe es genauso gelöst

Patrick

Beitrag von **BeS** » 18.01.2003 00:07:40

hallo,
super!
Ich habe jetzt aber nochmal eine andere Lösung gefunden. Ich habe in meiner httpd.conf von apache Folgendes eingetragen:

Code: Alles auswählen

ServerName bes.homelinux.org

Ich glaube so funktioniert es auch, ohne das man sein internes Netz umbennent.
Ist vielleicht die etwas elegantere Lösung, wenn es funktioniert...

Kannst du nochmal kurz schauen?

Danke!

pdreker · Beitrag von **pdreker** » 18.01.2003 04:17:29

Jupp, geht auch. Habe es bei mir auch schon geändert, erscheint mir einfach die "richtigere" Lösung...

Patrick

Frankenstein · Beitrag von **Frankenstein** » 18.01.2003 12:16:30

Ein Schöncheitstip :
Ändere den Certifikan von apache auf deine dyndns Adresse.

Beitrag von **BeS** » 18.01.2003 13:00:30

Hallo,

Frankenstein hat geschrieben:Ein Schöncheitstip :
Ändere den Certifikan von apache auf deine dyndns Adresse.

wo kann man das einstellen?
In der httpd.conf von apache konnte ich keinen passenden EIntrag finden.

Danke!

Beitrag von **blackm** » 18.01.2003 13:08:42

HI Bes,

das Problem mit den Zertifikaten hatte ich auch. Schau mal bei http://www.apache-ssl.org/#FAQ vorbei, da ist ein Punkt :Now I've got my server installed, how do I create a test certificate?.
Achso, wegen der Sicherheit deines Rechners...sieht ganz gut aus. ssh, http, https und auth an Port 113 sind offen. Weißt du was das ist?

by, Martin

Beitrag von **BeS** » 18.01.2003 13:51:06

Hi blackm,

Danke, das mit dem Zertifikat werde ich mir gleich mal ansehen.

blackm hat geschrieben: Achso, wegen der Sicherheit deines Rechners...sieht ganz gut aus. ssh, http, https und auth an Port 113 sind offen. Weißt du was das ist?

also http und https brauch ich ja damit man überhaupt auf den server zugreifen kann. ssh sollte nur mit key-auth funktionieren, das ist doch die sicherste Methode, oder?
Was das auth ist weiß ich nicht so genau, braucht man das? Oder kann ich das noch irgendwie abstellen.

Nochwas: Hast du den Test mit nessus gemacht?
Ich scanne nämlich hier gerade meinen server auch mit nessus und bei mir zeigt er immer meine nfs-Freigaben an, was mir etwas sorgen macht. Eigentlich dürften die aber nur im inneren Netz sichtbar sein.
Kann es sein das nessus die Sachen deshalb bei mir erkennt, weil es aus dem inneren Netz kommt und nicht von aussen und so die ipchains Regeln umgeht?

Danke!

Bert · Beitrag von **Bert** » 18.01.2003 14:13:39

nun auth scheint ja jetzt zu zu sein. Ich seh nur noch ssh, hhtp und https als offen.

Was muß ich eigentlich installieren, damit Mozilla bei mir https kann? Er beschrert sich über einen fehlenden Security Manager oder so.

Beitrag von **blackm** » 18.01.2003 14:41:49

Bert hat geschrieben:Was muß ich eigentlich installieren, damit Mozilla bei mir https kann? Er beschrert sich über einen fehlenden Security Manager oder so.

Dann installier doch mal den PSM

Code: Alles auswählen

blackm@ferris:~$ apt-cache search psm
mozilla-psm - Mozilla Web Browser - Personal Security Manager (PSM)

by, Martin

Beitrag von **blackm** » 18.01.2003 14:53:31

Hi BeS,

BeS hat geschrieben:Danke, das mit dem Zertifikat werde ich mir gleich mal ansehen.

Ja, schau dir das mal an. Ich hab das so beim ersten durchlesen und versuchen nicht hinbekommen. Der wollte bei mit den passphrase nicht entfernen. Naja, mal schauen, vielleicht finde ich da ja auch noch was anderes.....

ssh sollte nur mit key-auth funktionieren, das ist doch die sicherste Methode, oder?

Ja, so hab ich da auch bei mir eingerichtet.

Was das auth ist weiß ich nicht so genau, braucht man das? Oder kann ich das noch irgendwie abstellen.

Abstellen kannst du das am einfachsten, indem du der Port mit den iptables sperrst. Für einen IMAP hab ich so einen Service, der sich auch irgendwie auth nennt, kann sein das der bei dir auch noch für einen anderen Dinst arbeitet.

Nochwas: Hast du den Test mit nessus gemacht?

Ne, ich hab das mit nmap gemacht.
Wenn du dich selbst von einem LAN aus scannst, dann ist das nicht das gleiche als würdest du das von Inet aus machen. Frag vielleicht mal in einem Chat oder bei jabber jemanden, ob er dich mal mit nessus scannen kann (ich kenn mich mit dem Programm nicht aus).

by, Martin

Bert · Beitrag von **Bert** » 18.01.2003 16:09:21

tja, da war ich schneller am fragen, als am selber denken/suchen. hatte das fragliche packet dann schon selber durch apt-cache search gefunden. leider bin ich erst vor kurzem von unstable auf testing gewechselt und debian muß jetzt erst langsamm in testing 'reinaltern' im moment gibt es da versionskonflikte und ich möchte mozilla eigentlich nicht downgraden.
danke trotzdem

Frankenstein · Beitrag von **Frankenstein** » 18.01.2003 23:34:46

hier http://www.linux-sec.net/Audit/nmap.test.gwif.html kannst dein Rechner selber scannen ohne irgend jemanden zu bemühen. Es ist eine neue Version von nmap. Aber der reicht auch für normaler Weise aus.

Mit Zertifikat habe ich auf einem Rechner in meiner Arbeit erstellt (über webmin).

Du kannst deine eigene Zertifikate mit openssl erstellen. Dann in apache kopieren bzw. den Pfad zu denen sreiben oder so.

pdreker · Beitrag von **pdreker** » 19.01.2003 18:02:22

Port 113 auth ist der ident Service (identd). Damit können externe Server nachfragen, welcher User ein bestimmte Verbindung geöffnet hat.

IRC Server machen das sehr gerne, es ist aber normalerweise nicht erforderlich.

Patrick