Seite 2 von 2

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 00:32
von Micky
Hi,

und nochmals danke, also ich muss dir eins gestehen, ich habe nur "Root" als Benutzer.....
Habe deshalb ein Password das über >14 Buchstarben/Zahlen sowie Sonderzeichen hat. Und deshalb den ganzen Firewall zeugs versucht zu installieren.

Hoffe das ist Ok, oder sollte man einen anderen Benutzer erstellen. ?!?

back to topic
nach dem Befehl

touch /var/log/{btmp,lastlog,wtmp}
Steht jetzt nun unter "Last Logins" im IPC WebIf

Code: Alles auswählen

Last Logins:
wtmp begins Wed Aug 31 01:08:57 2011
nach erneuten Einloggen sowie Ausloggen steht jetzt unter "Last Logins" im IPC WebIf

Code: Alles auswählen

Last Logins:
root pts/0 174.46.xxx.xxx Wed Aug 31 01:13 still logged in
wtmp begins Wed Aug 31 01:08:57 2011
scheint jetzt zu laufen, jeder Login/Logout wird Protokoliert

Code: Alles auswählen

Last Logins:
root pts/0 174.46.xxx.xxx Wed Aug 31 01:18 - 01:18 (00:00)
root pts/0 174.46.xxx.xxx Wed Aug 31 01:16 - 01:16 (00:00)
root pts/0 174.46.xxx.xxx Wed Aug 31 01:13 - 01:16 (00:02)

wtmp begins Wed Aug 31 01:08:57 2011
Und die letzten 20 Logins werden angezeigt?
Habe auch das mit dem I Jobs + var/emu/scripts/dellogs.sh erledigt, so werden diese alle 3 Tage gelöscht, coole sache! DANKE

unter etc/sudoers
ist ganz unten folgender Eintrag vorhanden

Code: Alles auswählen

www-data ALL=NOPASSWD:/bin/c,/bin/o,/bin/n,/bin/i,/etc/init.d/cron,/usr/bin/last,/bin/cat,/bin/echo,/bin/chmod,/tmp/reboot
Ist doch alles ok dann, oder ?

Danke danke danke, bist ein echter Profi
Grüße Micky

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 09:21
von feissmaik
Ein jedes Linux System hat mehrere "Benutzer" - nur musst du zwischen echten Benutzern die sich zb auch via ssh einloggen könnten, und Programm-Benutzern unterscheiden...
Es ist in der Linux-Welt so, dass es eigentlich als unsicher gilt ein Programm mit vollen root-Rechten laufen zu lassen weil wenn das evtl. eine Schwachstelle hat mit der man "ins Programm" eindringen könnte, hätte dieser Eindringlich dann auch gleich "die absolute Macht"...
Deshalb wird eigentlich für das meiste ein System-Benutzer angelegt, wie zb www-data für den WebServer... Siehe dazu -> cat /etc/passwd .... ABER auf keinen fall in dieser Datei herrum pfuschen!!
Es kann sich aber auch nur ein benutzer mit Password ins System einloggen (console oder remote) in dem Sinne also keine Panik ;)


Nochmal wegen der Firewall:
Spoiler
Show
Wenn du einen LAN Server hast und einen Router in dem kein DMZ auf den Linux-Server eingerichtet ist, brauchst du auf dem Linux-LAN-Server eigentlich auch keine Firewall...
Vor was soll die denn schützen? Wenn du ssh(22) oder web(80) oder sowas nicht ins Internet weiterleitest, kann auch keiner aus dem Internet umbefugt versuchen sich dort einzuloggen o.ä...
Also jenachdem was du weiterleitest, das musst du dann schützen - aber wenn das nur CCcam oder OScam is was du forwardest, dann kann eine standard Firewall daran auch nichts ausrichten weil du vom Router kommend ja eh alles zulässt.... Das einzige was dann noch eingreifen kann wäre sowas wie fail2ban weil das quasi von der Cam bescheid kriegt wenn die entsprechende Zeile, worauf fail2ban reagieren soll, im jeweiligen Cam log auftaucht....

Bei Linux Firewall's sollte man nicht sowas wie ZoneAlarm oder so drunter verstehen - Windows ist allg. anfälliger für Schädlinge die zb "nachhause telefoniern" etc also von dem LAN-Rechner eine Verbindung nach draussen herstellen...
Sowas würde ohne ZoneAlarm immer gemacht werden dürfen weil nicht zu unterscheiden ist, ob das der echte Benutzer machen möchte oder nicht - also generell werden alle Herrausgehende Verbindungen zugelassen... ZoneAlarm aber überwacht eben ALLE Datenverbdinungen etc und jagt jedes Paket durch einen "detector" etc.... das verbrät dann aber natürlich auch Leistung und Bandbreite :?

Eine Klassische Firewall blockiert aber nur die Eingehenden Datenpakete also alles was von irgendwo zu dem Rechner ankommt... dh zb erlaubt man nur das was man auch wirklich rein lassen möchte und den ganzen Rest blockt man...
Und genau das macht ein normaler Router von haus aus! Aus dem LAN nach draussen darf alles - wenn erstmal ne verbindung zu zb ICQ hergestellt ist, dürfen diese Datenpakete dann auch "durch den Router" - aber alle ingehenden Datenpakete werden abgewiesen
Nur sobald du eben eine Port-Weiterleitung einrichtest, dann wird das was du dort eingestellt hast, rein gelassen - oder ein DMZ würde ALLES an die jeweilige LAN-IP weiterleiten...

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 10:34
von Micky
Hi,

danke für deine ausführliche Erklärungen.

Kannst du mir sagen wie ich mich dann z.B. per www-data einloggen kann oder selbst einen erstellen kann ?
Bzw. wie richte ich für bestimmte Programme/Anwendungen einen Benutzer ein?
Aber wie kann man den Root dann die Rechte entziehen damit dies keine Schwachstelle darstellen kann?

nochmal zur Firewall:
Ich benutze diese auch weil mein Netgear Router keine Portweiterleitung von z.B.: Port 80 zu 43546 kann, problem besteht nur bei Web Port, oder ich habs einfach nicht hinbekommen. Das CCcam Port sowie einen SSH Port konnte ich ohne Probleme Freigeben per Portforwarding, aber wie gesagt vom bsp. Port 43546 zu port 80 ging nicht.

Dann habe ich das mittels folgenden befehlt im -Bash gemacht

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp --dport 43546 -j REDIRECT --to-ports 80
Somit ist z.B. mein IPC WebInf. über bsp.dyndns.com:43546 erreichbar und nicht über Port 80
Ist das OK, von der Sicherheit her?

Ich dachte immer das hätte was mit der Firewall zu tun, Zeige dir mal die von mir verwendete Firewall Skript
Wenn ich Port 80 IN_ALLOWED raus nehme ist IPC WEBInf nicht mehr erreichbar.
und da diese keine OUT_ALLOWED_IMCP zulässt hatte ich das problem das c version und andere Kommandos nicht gingen.

init.d/firewall
Spoiler
Show
#!/bin/sh
# script written by Gargi 2009 http://www.gargi.org

#needed modules
modprobe ip_conntrack_ftp

BLACKLIST=/usr/local/etc/blacklist.txt

#trigger for your ports
IN_ALLOWED_TCP="44232 44568 80"
OUT_ALLOWED_TCP=""
IN_ALLOWED_UDP=""
OUT_ALLOWED_UDP=""
IN_ALLOWED_ICMP=" "
OUT_ALLOWED_IMCP=" "

case "$1" in
start)

# Stopping IP trap
/etc/init.d/fail2ban stop
echo "Stopping fail2ban IP trap ..."

# Clear iptables
iptables -F

#Defaults
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# loopback communication
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# persist on connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ban blacklisted IPs
for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
echo "Blocking $x..."
iptables -A INPUT -t filter -s $x -j DROP
done

# TCP rules in
for port in $IN_ALLOWED_TCP; do
echo "Accepting TCP port $port"
iptables -A INPUT -t filter -p tcp --dport $port -j ACCEPT
done

# TCP rules out
for port in $OUT_ALLOWED_TCP; do
echo "Allowing sending over TCP port $port"
iptables -A OUTPUT -t filter -p tcp --dport $port -j ACCEPT
done

# UDP rules in
for port in $IN_ALLOWED_UDP; do
echo "Accepting UDP port $port"
iptables -A INPUT -t filter -p udp --dport $port -j ACCEPT
done

# UDP rules out
for port in $OUT_ALLOWED_UDP; do
echo "Allowing sending over UDP port $port"
iptables -A OUTPUT -t filter -p udp --dport $port -j ACCEPT
done

# ICMP rules in
for port in $IN_ALLOWED_ICMP; do
echo "Accepting ICMP port $port"
iptables -A INPUT -t filter -p icmp --dport $port -j ACCEPT
done

# ICMP rules out
for port in $OUT_ALLOWED_ICMP; do
echo "Allowing sending over ICMP port $port"
iptables -A OUTPUT -t filter -p icmp --dport $port -j ACCEPT
done

# Dropping startup requests
iptables -A INPUT -t filter -p tcp --syn -j DROP

# Restarting IP trap
/etc/init.d/fail2ban start
echo "Fire up IP trap again ..."
;;
stop)
/etc/init.d/fail2ban stop
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo "Warning! Firewall is stopped, server is unprotected now!"
;;
restart)
$0 stop
sleep 1
$0 start
;;
*)
echo "Usage $0 {start|stop|restart}"
;;
esac
Danke
Gruß Micky

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 10:48
von feissmaik
ähm du hast es schon wieder falsch verstanden - krieg das bitte nicht in den falschen Halz

Wenn du NICHT von Unterwegs auf dein LAN zugreifen musst, brauchst du auch KEINE Port-Weiterleitung für Web oder SSH einrichten! Das stellt so oder so ein unnötiges Sicherheitsrisiko da auch wenn du es brauchst!
Server rebiooten, Cams neustarten etc geht alles übers IPC WebIf also ist ne SSH Weiterleitung auf jedenfall übertrieben!

Internet-Server sind natürlich was völlig anderes als son oller LAN-Server der HINTER einem Router hockt...

Und wieso willst du dich als www-data Benutzer einloggen? Ich glaube du verstehst nicht ganz was ich dir damit versucht habe zu erklären aber ich möchte hier auch kein Linux-Grundkurs jetzt abhalten... Es gibt im Internet genügend "Linux für Anfänger" Anleitungen etc.....
Genausowenig wie du jetzt daher gehen sollst und manuell für irgendwelche Programme irgendnen Benutzer anzulegen etc... Das schiesst mächtig an dem Vorbei was ich ausnahmsweise erklärt habe - weil jetzt muss ich mich fragen ob ich nochmals so arg ins Detail gehen sollte wenn ich denn nich auch "riskiere" hier noch ne Seite über Offtopic zu sabbeln und den gleichen Krams wiederhole, nur anders formuliert......


...Und natürlich sollte man IMMER einen anderen Port für extern wählen als er in Wirklichkeit ist - oder willst du es jedem möglichst einfach machen?



Also Bitte auch mal selber nachdenken oder sich über google schlau lesen ansonsten beantworte ich künftig nurnoch IPC relevantes... ich wiederhole mich nämlich verdammt ungern und fals es dir noch nicht aufgefallen is, is das hier schon länger Offtopic....

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 11:15
von Micky
ne kein Problem ich danke dir für deine Hilfe, das ist für mich echt neuland...

ich versuche mich mal selbständig Online etwas schlauer machen -> Linux für Anfänger etc.

Werde auf jedenfalls mal den SSH Port deaktivieren also die Portweiterleitung, da du völlig recht hast, mit IPC Webif geht ebenso alles.
Hatte das nur weil ich bei Fail2ban schon mal einen wieder reaktivieren musste, da diese BadCommand verursacht hatten.
Also per SSH und Root benutzer verbunden und diesen aus dem iptables wieder rausgenommen.

Ich logge mich ja im IPC Webif immer mit Root ein, weiß halt nicht wie man sich über einen anderen Benutzer einloggen kann. Und Root halt nur z.B.: Für SSH verbindungen benutzen, falls dies dann vom Router aktiviert ist Portforwarding.

Ps.: Logge mich immer vom Netzwerk oder halt per Internet ein im IPC WebIf und nie Lokal.

Danke für deine Hilfe, hast mir sehr weitergeholfen.
Gruß
Micky

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 11:50
von feissmaik
oha... IPC WebIf und als root einloggen?

Wie gesagt, sammel deine Gedanken und denk da nochmal in Ruhe drüber nach


Ich hoffe du verpeilst das jetzt nur weil ssh login ist nicht gleich ipc webif login - sollte es zumindest nicht sein weil das wäre dann ebenfals unsicher...
Ich steig bei dem was du zuletzt geschrieben hast aber auch kaum noch durch - an meinem ThinClient is auch nur Strom+Netzwerk angechlossen etc aber wie gesagt wird es hier langsam aber sicher offtopic - ich möchte hier nur IPC relevantes supporten weil für den ganzen Rest gibts genug andere Foren etc

Re: IPC v 11.3 Onlineserver nicht erreichbar??

Verfasst: Mi 31. Aug 2011, 15:01
von Micky
Hi,

ja hat etwas länger gedauert....

klar im i cfg den Username und das Password was man dort gewählt hat für ipc webif benutzen, also zum einloggen....

SSH Putty wird dann nur für Netzwerk Intern genutzt das meinte ich, da man eigentlich von Extern gut mit IPC webif zurecht kommt.

Sorry und Danke