|
Es gibt ein paar wichtige Dinge, die Sie beachten sollten, wenn Sie ein
UUCP-System betreiben. Die meisten dieser Tips beziehen sich auf Dateirechte.
Lesen Sie die Manual Page zu chmod
und chown
, um die
Rechte anzupassen.
Die Dateien im UUCP-Verzeichnis müssen teilweise allgemein zugänglich sein,
z.B. damit der Sendmail Mails zustellen kann. Andere Dateien sollten
allerdings nur vom User uucp
aus der Gruppe uucp
lesbar
sein, da Paßwörter enhalten sind. Die Dateien passwd
und
call
enthalten Paßwörter.
Hier eine sichere Konfiguration:
/etc/uucp > ls -l
-r--r----- 1 uucp uucp 161 Oct 2 20:14 call
-rw-r----- 1 uucp uucp 120 May 23 23:58 config
-rw-r----- 1 uucp uucp 724 May 23 23:58 dial
-rw-r----- 1 uucp uucp 18 Oct 2 20:24 passwd
-rw-r----- 1 uucp uucp 162 May 23 23:58 port
-rw-r--r-- 1 uucp uucp 3027 Oct 2 20:22 sys
Der INN ermöglicht eine Paßwortabfrage beim Zugang zum Server. Wenn die
Paßwörter, die im Klartext gespeichert werden, für alle frei zugänglich
sind, bringt der Schutz nicht sehr viel. Setzen Sie die Rechte für die
Datei nnrp.access
, in der die Daten gespeichert sind, also
entsprechend:
/etc/news > ls -l nnrp.access
-rw-r----- 1 news news 1293 Sep 17 10:41 nnrp.access
Die Konfigurationsdateinen des Sendmail dürfen von allen gelesen werden,
allerdings nur von root
geändert werden:
/etc > ls -l sendmail.cf
-rw-r--r-- 1 root root 30910 Oct 2 17:20 sendmail.cf
/etc/mail > ls -l
lrwxrwxrwx 1 root root 10 May 23 13:01 aliases -> ../aliases
-rw-r--r-- 1 root root 85 Jan 20 1999 genericstable
-rw-r--r-- 1 root root 16384 May 23 11:19 genericstable.db
-rw-r--r-- 1 root root 8137 Jan 20 1999 linux.mc
-rw-r--r-- 1 root root 166 Jan 20 1999 linux.nullclient.mc
-rw-r--r-- 1 root root 1536 Oct 2 17:32 mailertable
-rw-r--r-- 1 root root 16384 Oct 2 17:33 mailertable.db
-rw-r--r-- 1 root root 267 Jan 20 1999 userdb
-rw-r--r-- 1 root root 0 May 23 11:19 userdb.db
-rw-r--r-- 1 root root 73 Jan 20 1999 virtusertable
-rw-r--r-- 1 root root 16384 May 23 11:19 virtusertable.db
SSH-Tunnel werden genutzt, um UUCP über IP sicherer zu machen. Damit es keine Probleme bei der Paßwortabfrage gibt, wird ein Public Key erzeugt. Mehr dazu finden Sie im anschliessenden Kapitel. Dieser Public Key ersetzt das Paßwort. Sie können sich nach Kopieren des Keys auf einen anderen Rechner auf diesem per ssh einloggen, ohne ein Paßwort eingeben zu müssen. Dies hat auch Nachteile. Wenn jemand Ihren Arbeitsplatzrechner gehackt hat und Ihren lokalen Account nutzen kann, kann dieser sich ebenfalls ohne Paßwort auf dem anderen Rechner einloggen. Wenn Sie den SSH-Tunnel nutzen, besteht die Möglichkeit, daß ein Angreifer sich bei Ihrem Provider mit Ihrem Shell-Account einloggen kann. Wenn Sie Ihren Rechner per Firewall oder setzen von sicheren Paßwörtern sicher gemacht haben, ist diese Lücke meiner Meinung nach allerdings zu vernachlässigen.
Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 17:56:56