Das komplette Buch
Contents
1. cR pa Neue Verbindung Netzwerk und herstellen DFU Verbindungen LAN Verbindung Typ LAN Verbindung Status Verbindung hergestellt Abbildung 10 6 Aktivierung von DHCP bei Windows 2000 Men s ein wenig ge ndert 326 10 DHCP Eigenschaften von LAN Yerbindung MY NWLink NetBIOS Eigenschaften von Internetprotokoll TCP IP Abbildung 10 8 Verbindung eintragen bei Windows 2000 m Uber Start Einstellungen Systemsteuerung Netzwerk und DFU Verbindungen gelangen Sie zu dem in Bild 10 6 gezeigten Men im Browser 10 4 Installation der Klienten 327 Stil Dort interessiert nur das Icon LAN Verbindung m Durch Anklicken des Icons LAN Verbindung landen Sie im Fenster Eigenschaf ten von LAN Verbindung Hier ist nur der Eintrag f r das Internet Protokoll wichtig m Durch Aktivieren des Eintrags Internetprotokoll TCP IP und Anklicken des Schalters Eigenschaften erreichen Sie schlie lich die Maske die im Bild 10 8 dar gestellt ist Mit einem Klick auf den Schalter IP Adresse von einem DHCP Server beziehen wird der DHCP Dienst eingeschaltet Im vorliegenden Fall wird auch die Adresse des Nameservers vom DHCP Server geliefert Daher wird auch der Schalter DNS Server Adresse automatisch beziehen angeklickt m Nach dem Best tigen der nderungen mit dem OK Schalter mu der Rechner neu gestartet werden um den DHCP Dienst nutzen zu k nnen D2. C proxy informatik campus edu Abbildung 7 14 Proxies auf dem Campus Festlegung der Ports http_port 3128 icp_ port 3130 Hierarchie definieren cache_peer proxyl campus edu parent 3128 3130 cache_peer proxy2 campus edu parent 3128 3130 cache_peer proxy e technik campus edu sibling 3128 3130 cache_peer proxy informatik campus edu sibling 3128 3130 Proxyl bearbeitet nur die Domaene COM cache_peer_domain proxyl campus edu com Proxy2 den Rest cache_peer_domain proxy2 campus edu com dead_peer_timeout 10 seconds Dynamische Dokumente nicht cachen hierarchy_stoplist cgi bin acl LohntNicht urlpath_regex cgi bin no_cache deny LohntNicht Speicher cache_mem 12 MB Verzeichnisse und Log Dateien cache_dir var squid cache 3000 16 256 cache_access_log var squid logs access log cache_log var squid logs cache log cache_store_log var squid logs store log Diverse Optionen debug_options ALL 1 log_fqdn off IP Nummer anonymisieren ient_netmask 255 255 255 0 7 5 Proxy Verb nde 257 Zugriffsrechte acl all src 0 0 0 0 0 0 0 0 acl campus sre 123 123 0 0 255 255 0 0 Zugriff nur vom Campusnetz erlaubt http_access allow campus http_access deny all icp_access allow campus icp_acces deny all Mail UID und GID cache_mgr proxyadmin cache_effective_user squid cache_effective_group nogroup logfile_rotate 5 append domain bwl campus edu Die squid conf des Parent Servers s
3. 004 79 SHINE nennen 371 SNMP Abfragen 381 W Spam Filter 22 222220 88 93 Webalizer cursos adi bas 224 UR WEE 234 Webforum 347 SQU A nassen la 234 Webserver Statistik 217 Squid Statistik 228 WHOIS anar ge 379 SQUIC CONE amaia pai 238 Windows 2000 Klient 322 SIM CONE run 124 126 Windows Client o ooooo 279 Index 434 UE 389 WUPI unseres 98 WWW Browser ooccocccccccoo 115 WWW Server 2 2222 115 WWW Server Infos 146 WWW Statistik 219 224 WWW User Administration 148 Z Zugriffsrechte 52 60 103 244 292 zustandsloses Protokoll 116
4. DEST Verzeichnis in dem alle Komponenten von htDig installiert werden BIN_DIR Unterverzeichnis von DEST in dem alle ausf hrbaren Dateien von htDig installiert werden CONFIG_DIR Unterverzeichnis von DEST in dem alle Konfigurations Dateien abgelegt werden derzeit nur eine einzige m COMMON DIR Unterverzeichnis von DEST in dem alle Dateien liegen die von verschiedenen Datenbanken und Programmen gemeinsam verwendet werden m DATABASE_DIR Unterverzeichnis von DEST in dem die Datenbanken installiert werden Achtung Stellen Sie sicher da gen gend Platten Speicherplatz auf der zugeh rigen Partition verf gbar ist DEFAULT_CONFIG FILE Pfad und Name f r die Konfigurations Datei htdig conf CGIBIN_DIR Verzeichnis der CGI Programme des Webservers Hier wird das Programm ht search installiert IMAGE DIR Dieses Verzeichnis mu unterhalb des Document Root des Webservers liegen Hier werden Bilddateien Pfeile Buttons etc installiert die htsearch in seinen Antwortseiten referiert m IMAGE_URL_PREFIX URL die auf das Verzeichnis der oben definierten IMAGE_DIR Variabeln zeigt m SEARCH_FORM Name des Beispiel Suchformulars search html Von diesen Variablen lassen sich einige ber Parameter von configure festlegen 5 5 Das Programm htdig 195 Variable Parameter DEST prefix Verzeichnispfad BIN_DIR xec prefix Verzeichnispfad CGIBIN_DIR with cgi
5. Damit sich ein Anwender beim Samba Server anmelden kann mu er nat rlich einen Benutzereintrag Account haben Im Fall der unverschl sselten Pa wort bertragung reicht ein Eintrag in der unter Unix blichen etc passwd Benutzerdaten und etc shadow Pa wort Bei vielen Linux Distributionen wird f r Routineaufgaben wie die Pa wortver gabe ein Verwaltungsprogramm mitgeliefert Bei einem SuSe Linux dient dazu yast2 von Yet Another Setup Tool Die einzelnen Schritte zum Anlegen eines Benutzers sind m Starten Sie das yast2 Kontrollzentrum m W hlen Sie die Men punkte Sicherheit und Benutzer und Neuen Benutzer anle gen m Geben Sie die Benutzerdaten ein wie in Bild 9 7 gezeigt Steht Ihnen keine Linux Distribution zur Verf gung oder ist Ihnen die Bedie nung von Yast zu kompliziert l t sich das Benutzeranlegen auch mit einem kleinen Shell Skript bew ltigen bin sh Skript zum Anlegen neuer Benutzer fuer den Samba Service Pa wortdateien PASS etc passwd SHAD etc shadow Heimatverzeichnis HOME home tandardgruppe fuer Samba User users hell LL bin bash keleton Verzeichnis L usr local samba skel GR SH D oP om un SK keine Parameter if S lt 2 then 288 9 Samba The Linux Experts SuSE Indem Sie die Felder ausf llen Vorname und Nachname wird ein solcher Benutzer angelegt und ein Passwort Kennwort hinterlegt Bei der Eingabe eines Pa
6. 0s seer eee 56 Hif zzy ven eds ra eve den 195 JLISEZEEEZEEZEZZEZEZZZZEZZZE 25 39 259 A EE Sen 194 DNS Cache sansnsnunsaner anne 260 hnotify een 195 DNS Spoofing cococococococicnonos 375 htpasswd 0 cece eee eee 131 Document Latency Time 231 htsearch Ae tte arg 195 Domain Level Security 299 Ehnen een 115 Domain Name System EE 259 http Botschaften 116 Druckdienste 2rc222 294 http Returncodes u un 119 Dr cker eek 294 E 115 Dynamic Allocation 314 hittpd access oo cece es cess nn 139 Kttpd conf sais sie Rn 124 E httpd ert r u ae dE ege d 139 EsMall er n SERA iaa Ol HPS enge O 158 edquota A A AER ge E 59 Hypermail e deans 347 F I Fetchmail 2ccerc22 ee 89 ICMP ooo ccc cc cccccccccccccccsesees 30 Finger A keet dE 379 ICMP Tunneling NS 000s 373 Firewall o o oo ooo 232 240 ifconfig Ae Agen 42 142 forward italia adds 77 IMAP nn 67 FTP EEEEZZEZZEEZZEZZEEZZEEZE EZ 24 97 MP sus 18 FTP Server ucecceeeeeeenece ee 46 FTP Statistik ooooooooo 228 Infoboard 347 ftpcount ee cece eee eee 112 Internet 17 ftprestart DEE 111 Internet Explorer REENEN 243 ftpshut SEEZEZZEZEEZEZZZZEZZZZEZZEZE EE 27 IL SL UZEEZEEZEZZEZEZEZZEZEZZEZEZE 12 IP Adresse 313 IP Header cece eee eens 28 G IP Nummer 0 c00ceeee ees 27 Gast Zugriff ace cse recite codes dacs 297 PsSpoofing unse 373 Gefahren 360 363
7. Urgent Pointer Markierung eines Teils des Datenteils als dringend Dieser wird unabh ngig von der Reihenfolge im Datenstrom sofort an das Anwen derprogramm weitergegeben URG Code mu gesetzt sein Der Wert des Urgent Pointers markiert das letzte abzuliefernde Byte es hat die Nummer lt SequenceNumber gt lt UrgentPointer gt Options Dieses Feld dient dem Informationsaustausch zwischen beiden Sta tionen auf der TCP Ebene z B die Segmentgr e die ihrerseits von der Gr e des IP Datagramms abh ngen sollte um den Durchsatz im Netz optimal zu gestalten 1 3 TCP IP 37 Client Server listen aktives SYN 1000 open SYN 3000 passives ACK 1001 open Verbindung ACK 3001 Verbindung aufgebaut aufgebaut Voll duplex ACK Daten Verbin dung Programm iat durch ACK 3400 Gate s i e deenen FIN 1500 halb ge ACK 1501 TCP quitt schlossen FIN ACK 1501 close FIN 3400 Programm Verbind ACK 3401 Verbind abgebaut abgebaut Abbildung 1 9 Ablauf einer TCP Session ber die Zeit 38 1 Einf hrung Das einleitende Paket mit gesetztem SYN Bit Synchronise oder Open Request gibt die Anfangs Sequence Number des Client bekannt Diese Anfangs Sequence Number wird zuf llig bestimmt Bei allen nachfolgenden Paketen ist das ACK Bit Acknowledge Quittung gesetzt Der Server antwortet mit ACK SYN und der Client best tigt mit ACK Zu beachten ist auch das Quittieren des
8. Homepage http htdig sdsu edu 5 2 Lokal suchen Ist die Website nicht allzu gro mu es nicht unbedingt eine Suchmaschine sein sondern es reicht aus die HTML Dateien bei Bedarf lokal zu durchsuchen Hier 5 2 Lokal suchen 187 werden die Grenzen durch die Anzahl und Gr e der zu durchsuchenden Da teien festgelegt Aber f r die ersten Versuche sollte das folgende Perl CGI Skript ausreichen Die Suchmaske ben tigt folgende Eingabefelder m searchvalue Suchbegriff e getrennt durch Leerzeichen m type all UND Verkn pfung any OR Verkn pfung dirs zu durchsuchende Verzeichnisse m exdirs auszusparende Verzeichnisse Die beiden ersten Werte werden in der Maske abgefragt dirs und exdirs sind da gegen versteckte Eingabefelder Jedes Verzeichnis bei dirs und exdirs mu mit einem Schr gstrich beginnen mehrere Verzeichnisse sind durch Strichpunkt zu trennen z B nicht hier auch nicht usw Das Formular ist dann auch recht kurz lt HTML gt lt HEAD gt lt TITLE gt Webserver Suche lt TITLE gt lt HEAD gt lt BODY BGCOLOR FFFFFF TEXT 000000 LINK 0000FF VLINK 0000CC ALINK FFO0000 gt lt FORM METHOD POST ACTION cgi bin such pl gt lt INPUT TYPE HIDDEN NAME dirs VALUE irgendeindir gt lt INPUT TYPE HIDDEN NAME exdirs VALUE nichthiersuchen gt Suchbegriff lt INPUT TYPE TEXT NAME searchvalue VALUE gt Verkn amp uuml pfung lt SELECT NAME type gt lt OPTION
9. TopSites 0 TopURLs 60 TopReferrers 30 TopAgents 15 TopCountries 0 Falls nicht index html als Standard Startseite fiir Verzeichnisse verwendet wird sondern beispielsweise home html ist dies im Abschnitt IndexAlias zu definieren z B IndexAlias homepage htm Der nun folgende Abschnitt mit den Hide Group Ignore und Include Schl sselw rtern ist wieder von gr erer Wichtigkeit f r eine vern nftige Aus wertung der Zugriffe In diesem Abschnitt kann man die Zugriffe z B von der ei genen Maschine von anderen Rechnern des gleichen Netzwerks z B alle Rechner der eigenen Firma oder von ungeliebten Nutzern ausblenden oder sogar v llig ignorieren Auf der anderen Seite kann man z B f r interne Zwecke alle Nutzer ausblenden und nur explizit ganz bestimmte anzeigen lassen Ausblenden kann und sollte man auch die Zugriffe auf die Bilder oder bestimmte andere Dateity pen der Homepage z B txt oder tpl da sonst jeder Button als Hit gez hlt wird W hlt man das Schl sselwort Hide um bestimmte Angaben zu verstecken wer den die jeweiligen Zahlen in den Tabellen und den Graphen der TopStatistiken ignoriert Sie tauchen jedoch in den Total Tabellen am Anfang der Webalizer Ausgabe auf bzw werden dort mitgez hlt W hlt man hingegen Ignore werden diese Zugriffe v llig ignoriert auch in den lotal Tabellen Der angegebene Wert kann ein als f hrendes oder nach gestelltes Jokerzeichen enthalten Gibt
10. Art 3 Die folgenden Ausdr cke bedeuten m Personendaten Daten alle Angaben die sich auf eine bestimmte oder be stimmbare Person beziehen Betroffene Personen nat rliche oder juristische Personen ber die Daten be arbeitet werden Besonders sch tzenswerte Personendaten Daten ber 1 Die religi sen weltanschaulichen politischen oder gewerkschaftlichen Ansichten oder T tigkeiten 2 Die Gesundheit die Intimsph re oder die Rassenzugeh rigkeit 3 Ma nahmen der sozialen Hilfe 4 Administrative oder strafrechtliche Verfolgungen und Sanktionen m Pers nlichkeitsprofil eine Zusammenstellung von Daten die eine Beurteilung wesentlicher Aspekte der Pers nlichkeit einer nat rlichen Person erlaubt m Bearbeiten jeder Umgang mit Personendaten unabh ngig von den ange wandten Mitteln und Verfahren insbesondere das Beschaffen Verwenden Umarbeiten Bekanntgeben Archivieren oder Vernichten von Daten m Bekanntgeben das Zug nglichmachen von Personendaten wie das Einsicht gew hren Weitergeben oder Ver ffentlichen m Datensammlung jeder Bestand von Personendaten der so aufgebaut ist da die Daten nach betroffenen Personen erschlie bar sind 362 13 Server Sicherheit Bundesorgane Beh rden und Dienststellen des Bundes sowie Personen so weit sie mit ffentlichen Aufgaben des Bundes betraut sind m Inhaber der Datensammlung private Personen oder Bundesorgane die ber den Zweck und Inhalt ei
11. htm eine dreibuchstabige Endung definie ren m L legt die Sprache fest de en es se fi z B L de Updateparameter Schlie lich gibt es noch vier Optionen welche die Art und Weise definieren wie Hypertext das Archiv aktualisiert m x weist Hypermail an alle bis dahin generierten HTML Dateien zu ber schreiben Diese Option wird nur verwendet wenn ein Archiv komplett neu generiert werden soll 12 2 Aufrufoptionen und Konfiguration 353 m u weist Hypermail an nur eine einzige E Mail Nachricht zu bearbeiten Es wird also nur eine E Mail gelesen von der Standardeingabe mit i oder aus einer Mailbox mit m Mailbox Diese E Mail wird ins Archiv integriert und die entsprechenden Indexeintr ge werden erzeugt Hypermail geht auch da von aus da nur eine einzige Nachricht zu bearbeiten ist p veranla t Hypermail Informationen ber den Fortschritt der Bearbeitung eines Archivs auszugeben Die Angabe dieses Parameters ist beispielsweise sinnvoll wenn ein Archiv vieler Mails komplett neu erzeugt wird m v veranla t Hypermail die Konfiguration aufzulisten und sich dann zu be enden So kann man die Konfiguration testen die ja aus der Kommandozeile ber Umgebungsvariablen und die Konfigurationsdatei beeinflu t wird Einige Beispiele dazu cat letter hypermail i u d opt www htdocs archiv weist Hypermail an die Daten von der Standardeingabe in das Archiv aufzuneh men Existiert noch kei
12. if defined SENV REMOTE_HOST site site ih if SLOGFILE open OUTFILE gt LOGFILE else open OUTFILE gt gt SLOGFILE flock OUTFILE 2 exclusive lock print OUTFILE Sein searchvalue print OUTFILE localtime time flock OUTFILE 8 unlock close OUTFILE sub CheckFiles Dies ist die eigentliche Suchroutine Verzeichnis sich rekursiv durch alle Se my path II my fullFilename my files my line my title my search my tmp my Stmpath PE SENV REMOTE_HOST or return Ssite das als Parameter uebergeben wird Unterverzeichnisse s F or return Sein type i LO ate Sie beginnt in dem und hangelt aktueller Pfad Funktions Parameter voller Dateiname mit Pfad Dateien des aktuellen Verzeichnisses Hier drin wird eine Datei gespeichert Text des TITLE Tags der Seite Suchbegriff Zwischenspeicher fuer Link 5 2 Lokal suchen 191 my Srecurse 0 my found 0 1 Verzeichnis rekursiv durchsuchen 1 Suchbegriff gefunden Spath shift return unless d path opendir ROOT path or return files readdir ROOT closedir ROOT foreach files next if fullFilename Spath _ if d fullFilename Srecurse 1 if Sexdirs Stmp fullFilename tmp s SBASE forea
13. m Eigene Hier sind die pers nlichen Zertifikate gespeichert Mit diesen k nnen Sie sich gegen ber anderen Personen oder WWW Servern identifizieren m Andere Zertifikate anderer Personen Mit Hilfe dieser Zertifikate k nnen Sie verschl sselte E Mails an die Zertifikatinhaber verschicken m Web Sites Wenn Sie eine SSL Verbindung zu einem Web Server aufbauen so wird das Zertifikat des Servers angezeigt sofern Sie es noch nicht besitzen und Sie k nnen dann w hlen ob Sie dieses Zertifikat nur f r diese einmalige Verbindung oder auch f r alle weiteren Verbindungen akzeptieren wollen m Unterzeichner Hier befindet sich eine Liste von Zertifikaten der Certificate Authorities CAs die man als vertrauensw rdig h lt Bauen Sie eine Verbin dung zu einem Web Server auf und ist das Server Zertifikat von einer der in der Liste stehenden CAs unterschrieben so wird das Server Zertifikat als kor rekt erachtet und die Verbindung aufgebaut 4 14 3 Apache mit SSL Apache mit SSL war zu der Zeit als dieses Buch geschrieben wurde noch recht dynamisch Es gibt zwei verschiedene M glichkeiten dem Apache SLL beizubrin gen die beide einen Patch der Apache Quellen notwendig machen Bei der er sten M glichkeit wird SSL komplett im Apache Quellcode untergebracht bei der zweiten sind die Anderungen im Apache geringer Sie dienen hier nur der Anbin dung eines SSL Moduls namens mod sel Wir haben uns f r die letzte M glich keit entschiede
14. t Die ben tigte Konfigurationsinfo wird direkt in das Skript setup htpasswd eingetragen Dieses Skript erzeugt nicht nur die Dateien sondern ndert auch das CGI Skript htpasswd cgi passend ab Folgende Variablen m ssen angepa t werden m Der volle Systempfad zur Datei htaccess einschlie lich des Dateinamens selbst Diese Datei liegt im zu sch tzenden Verzeichnis das Sie vorher ange legt haben m ssen Zum Beispiel SAuthAccessFile opt www htdocs privat htaccess m Der volle Systempfad zur Datei htpasswd einschlie lich des Dateinamens selbst Diese Datei sollte aus Sicherheitsgr nden au erhalb des per Browser zugreifbaren Bereichs liegen z B SAuthUserFile opt www etc htpasswd m Das Admin Passwort wird ebenfalls direkt im Skript eingetregen Daher sollte setup passwd pl dem User root geh ren und auch nur von root lesbar und ausf hrbar sein Zum Beispiel SAdminPassword TopSecret m Die berschrift der Passwortabfrage Box f r das gesch tzte Verzeichnis kann ebenfalls vorgegeben werden SAuthName Privatbereich m Der volle Systempfad zum Standard Mailprogramm meist sendmail wird ben tigt wenn bei Eingabe eines falschen Admin Pa wortes eine Mail an den Webmaster geschickt werden soll meist ist dies Smailprog usr lib sendmail m Die E Mail Adresse des Webmasters wird nat rlich auch ben tigt z B yourmail webmaster netzmafia de 4 13 WWW User A
15. verse Unix Programme in das neu angelegte Heimatverzeichnis kopiert Nor malerweise sind das alle Dateien die im System Verzeichnis etc skel lie gen F r einen Anwender der ausschlie lich den Samba Service nutzt sind diese Dateien aber meist v llig sinnlos oder verwirrend Das obige Skript defi niert mit der Variablen SKEL ein eigenes sogenanntes Skeleton Verzeichnis In diesem Fall ist es das Verzeichnis usr local samba skel das Sie als Administrator zuvor anlegen m ssen Hierin k nnen Sie alle Dateien ablegen die wirklich vom Samba Nutzer gebraucht werden und Sie sind damit un abh ngig von den Unix Einstellungen Speichern Sie die Datei unter dem Namen genaccount und machen Sie sie mit dem Kommando chmod x genaccount ausf hrbar Nun k nnen Sie Benutzer mit einer einzigen Kommandozeile anlegen Sie m ssen lediglich den Benutzernamen und den vollen Namen in Anf hrungsstrichen angeben Also zum Beispiel genaccount huber Erwin Huber Das eben erstellte Programm antwortet daraufhin mit Lege Benutzer huber an Fertig Der so entstandene Benutzerzugang ist noch gesperrt Zur Freigabe m ssen Sie ein Pa wort vergeben Hierzu gibt es das Standard Unix Kommando passwd Im obigen Beispiel k nnen Sie also mit passwd huber dem Benutzer Huber sein erstes Pa wort zuteilen Nat rlich sollte der Benutzer Huber sein Pa wort baldm glichst in sein Lieb lingspasswort ndern k nnen Das geschi
16. 5 10 2 Bild Dateien Am wenigsten ist ber die Bilder zu sagen Die folgenden Bilddateien k nnen Sie jederzeit durch passende andere Bilder ersetzen Es gibt jedes Bild als GIF und als PNG Datei IMAGE _DIRJ star gif Standard Stern Icon das die Rangfolge der Treffer an zeigt m IMAGE _DIR star_blank gif Ein Platzhalter Bild in der gleichen Gr e wie das Star icon aber leer Es wird verwendet um die Resultate in der kompakten Listenform auszurichten a IMAGE _DIR htdig gif Das htDig Logo m IMAGE _DIR button gif Beispiel Bilder die verwendet werden um in der Resultate Ausgabe Links f r die einzelnen Resultat Seiten zu bilden Ziffern 1 9 Vor R ck etc 5 10 3 Wortlisten COMMON_DIR english 0 Standard Liste aus W rter mit Endungen die vom Programm htfuzzy verwendet werden m COMMON DiRlenglish aff Standard Affix rule Datenbank die von htfuzzy verwendet wird 208 5 Die lokale Suchmaschine Dazu kommt gegebenenfalls noch eine Stopwortliste Hier sind Worte aufgef hrt die nicht in den Index aufgenommen werden sollen Wie man deutsche Wortlisten einbaut wird weiter unten behandelt 5 10 4 Texte der Ergebnisanzeige Die Hilfeseite die Fehlerausgabe sowie Kopf und Fu der Ergebnisausgabe sind englischsprachige HTML Seiten die nat rlich eingedeutscht werden m ssen Es handelt sich um die folgenden Dateien COMMON _DIR header html Beispiel HTML Dokument das als Kopfzeilen Block
17. B Netz 172 16 x x 284 9 Samba C Netze 192 168 x x m Ob noch weitere Einstellungen in den anderen Karteikarten vorzunehmen sind h ngt von der Konfiguration Ihres Netzes ab F r den Betrieb von Samba allein im lokalen Netzwerk ben tigen Sie keine weiteren Einstellungen und Sie k nnen die Maske mit einem Klick auf ok beenden Nun fehlt nur noch die Einstellung der Arbeitsgruppe Mit einem Klick auf die Karteikarte Identifikation von Bild 9 2 gelangen Sie zum Men aus Bild 9 4 Ver geben Sie hier einen Namen f r den lokalen Rechner Denken Sie daran da der Namensraum von NetBIOS flach ist und jeder Netzwerkcomputer nur an hand dieses Namens der eindeutig sein mu identifiziert wird Kombinieren Sie z B die Raumnummer und Namen des Mitarbeiters der an dem Rechner sitzt Unter Arbeitsgruppe ist der Name einzutragen den Sie in der smb conf verwendet haben Benutzen Sie nicht Arbeitsgruppe oder Workgroup sondern besser einen eigenen Namen wenn Ihr Netz mit anderen Netzen verbunden ist Bei den Campusinstallationen von Hochschulen wo viele Teilnetze mitein ander verkabelt sind entstehen oft Probleme weil man ber den Standardwert Arbeitsgruppe unfreiwillig zwei Netze logisch miteinander verbunden hat die gar nicht zusammengeh ren Netzwerk 21 x Konfiguration Identifikation Zusriissteuerung E Anhand der folgenden Informationen wird Ihr Computer im cl Netzwerk identifiziert Geben Sie den Co
18. Der Benutzer hat Schreibrecht f r die Datei Der Superuser will die Datei l schen Das Setzen des Sticky Bits erfolgt durch das Kommando chmod t datei Beim ls Kommando wird t statt x bei den Others Rechten angezeigt Normalerweise wird man auch f r einzelne Dienste wie WWW oder FTP jeweils Pseudo Benutzer mit geringen Rechten einrichten die dann Eigent mer aller Da teien Unterverzeichnisse in den Verzeichnissen dieser Dienste sind 1 8 Start und Stop von Diensten Start Bootstrap und Stop Shutdown des Systems ist bei UNIX wesentlich kom plexer als bei einfachen Betriebssystemen Es gibt abh ngig von den jeweiligen Aufgaben mehrere Run Levels des Systems die festlegen welchen Zustand das System nach dem Start haben soll hier nur eine Auswahl m 0 Power Down Ausschalten des Rechners 1 Administrativer Level Oft auch s oder S Singleuser Einzelbenutzer Modus m 2 Multiuser Modus ohne Netzwerkanbindung m 3 Multiuser Modus mit Netzwerkanbindung Normal Level m 4 Frei f r benutzerdefinierten Modus p 5 Firmware Modus z B Diagnose und Wartung oft nur mit spezieller Floppy zu starten m 6 Shutdown und Reboot Wechsel zu Level 0 und dann sofortiges Hochlaufen Die Zuordnung der Level kann auch von der oben angef hrten abweichen Der Wechsel des Levels wird durch spezielle Kommandos erreicht z B shutdown te linit re boot oder halt Egal ob der Reboot Vorgang
19. From Juergen Plate lt plate gt To postmaster mailhost fh muenchen de Subject test MIME Version 1 0 Content Type text plain charset iso 8859 1 Content Transfer Encoding 8Bit Dies ist eine Testzeile Der eigentliche Text des Briefes besteht nur aus dem Satz Dies ist eine Testzeile Die Leerzeile zwischen Kopf und Text interpretiert das Post Programm als den Hinweis da nun der Text beginnt Das hei t auch Kopfzei len d rfen keine Leerzeile enthalten Die ersten Zeilen bis einschlie lich zum Feld Received stammen dabei nicht vom Post Programm selbst sondern vom Trans portprogramm Jedes Transportprogramm stempelt den Brief bei seinem Weg durch den Rechner ab So kann der Weg des Briefes durch die Rechner des In ternet verfolgt werden Man kann so auch einen Indikator daf r erhalten ob der Absender wirklich der ist der er zu sein scheint Da es sich in diesem Beispiel nur um einen einzigen Rechner als Sender und Empf nger handelt ist diese Informa tion relativ kurz hnlich wie in diesem Beispiel werden Informationen ber die verwendete Transport Software ebenfalls in diesen Feldern untergebracht 2 1 E Mail Grundlagen 65 Die Felder Date und Message Id k nnen vom Post Programm vorgegeben werden m ssen es aber nicht Dabei dient vor allem die Message Id einer ein deutigen Identifizierung des jeweiligen Briefes Die drei weiteren Felder MIME Version Content Type Con
20. Kritisch sind hier unter anderem telnetd Telnet abschalten Logins nur per ssh erlauben portmap Wird von rpc Diensten wie NIS oder NFS ben tigt netfs Der NFS Client rstatd Man sollte auf alle r Dienste verzichten rusersd rwh rwalld bootparamd F r diskless clients abschalten yppasswdd Nur bei NIS Servern ein extrem verwundbarer Dienst ypserv SS ypbind Nur n tig wenn der Server ein NIS Client ist atd Wird vom at Dienst benutzt abschalten snmpd SNMP daemon liefert detaillierte System Informationen named DNS Server routed RIP abschalten Ipd Druckdienste werden meist nicht ben tigt nfs Ben tigt f r den NFS Server sonst abschalten amd AutoMount daemon gated N tig f r andere Routingprotokolle wie OSPF sendmail Abschalten E Mails senden geht aber kein empfangen xfs X Font Server abschalten innd News Server linuxconf Fernkonfiguration per Browser Traum jedes Hackers Nach der Anpassung der Skripte und einem Reboot kann man sich mit dem Kommando ps aux ansehen welche Prozesse noch laufen Au erdem sollte man feststellen welche Netz Dienste noch laufen netstat na ip 386 13 Server Sicherheit Beseitigen Sie alle nicht verwendeten oder ben tigten Accounts Bei der Instal lation werden oft f r alle m glichen und unm glichen Programme Pseudo User eingerichtet Richten Sie nur die unbedingt notwendigen administrativen Accounts ein Pseudo Benutzer di
21. Mit dem Programm Squid steht ein Proxy Cache zur Verf gung der sich schon seit langem bew hrt hat und von vielen Internet Providern eingesetzt wird 7 2 Installation und Konfiguration Die Installation von Squid ist schnell erledigt Besitzt man eine komplette Linux Distribution mu lediglich das Squid Paket installiert werden Hat man die Quelltext Variante vorliegen mu zum bersetzen das Script configure aufge rufen werden das automatisch alle Einstellungen vornimmt Anschlie end kann das Programm mitmake allundmake install compiliert und installiert wer den Die Konfiguration des Caches wird ber eine einzige Datei vorgenommen squid conf In jedem Squid Paket ist bereits eine Musterdatei enthalten die nur noch editiert werden mu Die wichtigsten Parameter f r die Grundfunktionen lauten m http_port TCP Portnummer auf der der Cache von Klienten angesprochen werden kann Standardwert ist 3128 aber viele Proxybetreiber verwenden hier die Portnummer 8080 7 2 Installation und Konfiguration 237 cache_mem Mit diesem Wert kann der Hauptspeicherverbrauch des Caches in MByte eingestellt werden Um auf den tats chlichen Speicherbedarf des kompletten Squid Prozesses zu kommen mu man diese Zahl etwa mit dem Faktor 3 multiplizieren Standard ist 8 MByte damit belegt Squid circa 24 MB Hauptspeicher Bei der Eintragung dieses Wertes sollte man nicht vergessen gen gend Speicher f r Linux und alle anderen laufenden Sys
22. Optionen Hiermit k nnen diverse Einstellungen vorgenommen werden die die Kommunikation der Caches untereinander beeinflussen Die wohl wichtig ste Option ist proxy only Sie sorgt daf r da Dokumente des angegebenen Proxies nicht noch einmal im lokalen Cache abgespeichert werden Zus tzlich kann in der Konfiguration mit dem Befehl cache_peer_domain ange geben werden f r welche Domain ein Cache zust ndig sein soll Die Zeile cache_peer_domain parent meinprovider com com bewirkt da der Parent Cache parent meinprovider com nur nach Dokumenten ge fragt wird deren Adressen innerhalb der COM Dom ne liegen Setzt man vor den Dom nennamen ein Ausrufezeichen wird das als Verneinung interpretiert com legt also fest da der Proxy f r alle anderen aber nicht f r die Dom ne com zust ndig ist Mit dem Befehl neighbor_type_domain l t sich die Hierarchieebene eines an deren Caches f r bestimmte Dom nen ndern Die Zeilen cache_peer parent parent meinprovider com 3128 3130 neighbor_type_domain parent meinprovider com sibling de definieren den Cache parent meinprovider com als Parent F r alle Dokumente aus der Dom ne de ist er aber ein Sibling Mit verschiedenen weiteren Befehlen l t sich das Zeitverhalten der ICP Abfragen steuern Die wichtigsten davon sind 7 5 Proxy Verb nde 255 icp_query_timeout Zeit in Millisekunden die nach Absenden eines ICP Paketes auf Antwort gewartet werden soll Mit
23. RewriteRule home htdocs error html Bei g ngigen Browsern sollte jetzt die Stopp Seite bzw die entsprechende Feh lermeldung zu sehen sein Nach einem erfolgreichen Test sollten Sie diese Zeile wieder entfernen Sonst sieht niemand mehr die sch ne Website Man kann dieses Beispiel aber auch verwenden um Spider oder sogenannte Offline Browser auszusperren Beispiel 2 Wenn im Verzeichnis foo bar die gew nschte Datei existiert wird dem komplet ten Pfad der Anforderung die Verzeichnisangabe vorangestellt So w rde aus bilder img1 gif nun foo bar bilder img1 gif RewriteCond foo bar REQUEST_FILENAME f RewriteRule foo bar 1 Beispiel 3 Man kann auch verschiedenen Browsern verschiedene Homepages liefern Fol gendes stammt aus der mod_rewrite Dokumentation RewriteCond HTTP_USER_AGENT Mozilla RewriteRule homepage max html last RewriteCond HTTP_USER_AGENT Lynx RewriteRule homepage min html last RewriteRule homepage std html last F r die Protokollierung gibt es noch zwei weitere Direktiven 4 16 Apache 2 0 175 RewriteLog Dateiname RewriteLogLevel n Dabei ist Dateiname der Pfad zu einer Log Datei und n ein Wert der die Detaillie rung der Protokollierung bestimmt 0 schaltet die Protokollierung ab f r den Test sollte man das Maximum 9 einstellen Log Level oberhalb von 2 beeintr chtigen aber die Server Performance daher sollten Sie den Pegel nach d
24. Scripts erlaubt 130 4 WWW Server Apache Indexes Bei Anfrage nach einem Verzeichnis wird dessen Inhalt formatiert ausgegeben wenn DirectoryIndex nicht vorhanden ist Ist die Indexierung gew nscht sollte man das System auf jeden Fall auf nicht gewollte Verzeich niseintr ge untersuchen Fatal kann diese Option werden wenn es dem Sy stem zus tzlich erlaubt ist symbolischen Links zu folgen FollowSymLinks bzw den WWW Bereich zu verlassen Im Extremfall kann dann jeder auf das komplette Verzeichnissystem eines Servers zugreifen MultiViews inhaltsbezogene content negotiated MultiViews sind erlaubt Dabei handelt es sich beispielsweise um mehrere Dateien in jeweils unter schiedlicher Sprache oder Bilder in unterschiedlichen Formaten die der Ser ver je nach Spezifizierung des Clients sucht und verschickt FollowSymLinks Server verfolgt symbolische Links Auch diese Option ist mit gro er Vorsicht einzusetzen Der Web Server sollte mit seinem Dateizu griff keinesfalls den Dokumentenbaum verlassen d rfen Ist dies unumg ng lich sollte die Option SymLinksIfOwnerMatch eingesetzt werden welche eine bereinstimmung der Benutzerkennung des Verweises und des Zieldo kuments voraussetzt SymLinksIfOwnerMatch symbolische Links werden nur dann verfolgt wenn das Ziel denselben Eigent mer wie der Link hat ExecCGI CGlI Scripts d rfen ausgef hrt werden Diesen Eintrag mit Vorsicht behandeln Generell sollte nur das Stan
25. nderung von etc sendmail cf oder etc sendmail cw mu Sendmail neu gestartet werden damit die Konfigurationsdateien neu geladen werden Als n chstes mu man sich berlegen ob es Namens berschneidun gen gibt z B webmaster wwwfirmal de und webmaster www firma2 de Solange der Webmaster f r beide Firmen gleich ist mu nichts unternommen werden Gibt es jedoch unterschiedliche Betreuer mu die Mail abh ngig vom Domain Namen an verschiedene Mail Adressen geschickt werden Die normale Alias Datei etc aliases reicht daf r nicht aus da sie in der ersten Spalte vor dem Doppelpunkt alle Domainangaben ignoriert Deswegen gibt es eine neue 146 4 WWW Server Apache Datenbank die virtusertable in der jede beliebige Mail Adresse durch jede beliebige andere E Mail Adresse ersetzt werden kann Mehr dazu k nnen Sie im Sendmail Kapitel nachlesen 4 10 3 Virtuelle WWW Server Der Apache kann auf mehrere IP Adressen die z B durch virtuelle Netzwerk interfaces erzeugt werden reagieren und abh ngig von der IP Nummer auf die Anfragen eingehen Wenn sich z B in einem Rechner eine Netzwerkkarte eth0 mit der IP Nummer 192 168 253 1 befindet zus tzlich virtuelle Interfaces ethO 1 bis mit etho 4 mit den IP Adressen 192 168 253 2 bis 192 168 253 5 defi niert wurden und die entsprechenden Nameserver Eintr ge existieren kann man die Datei httpd conf anpassen Jeder WWW Server hat sein eigenes Home Verzeichnis Alle Angaben innerhalb d
26. 20 gt lt TD gt lt TR gt lt TR gt lt TD gt Admin Passwort lt TD gt lt TD gt lt input type password name apassword size 20 maxlength 20 gt lt TD gt lt TR gt lt TR gt lt TD gt amp nbsp lt TD gt lt TD gt lt input type submit value Abschicken gt lt input type reset value Loeschen gt lt TD gt lt TR gt lt table gt lt form gt lt body gt lt html gt 4 14 Sichere Kommunikation mit Apache SSL 4 14 1 Secured Socket Layer SSL Das Internet in seiner heutigen Form bietet keinerlei Datensicherheit Alle Daten die ber das Netz verschickt werden lassen sich ohne gr eren Aufwand abh ren und verf lschen da sie im Klartext bertragen werden Um die Nutzung des WWW sicher zu gestalten ist eine vertrauliche Daten bertragung dringend er forderlich z B bei der bertragung von Kreditkarteninformationen Die L sung des Problems besteht in der Verschl sselung der Datenpakete so da sie zwar abgeh rt werden k nnen die Lauscher mit den abgeh rten Datenpaketen aber nichts anfangen k nnen Unter sicherer Daten bertragung versteht man in die sem Zusammenhang die Einhaltung der drei kryptografischen Grunds tze m Vertraulichkeit Ein Lauscher kann aus den abgeh rten Daten nicht den Inhalt ermitteln m Integrit t Die bertragenen Daten k nnen nicht verf lscht werden bzw Verf lschungen werden erkannt m Authentizit t Die Daten stammen
27. 94 2 E Mail Server echo usr bin fetchmail d 900 a f root fetchmailrc L var log fetchmail 2 gt amp 1 vr echo Usage 0 start stop restart exit 1 esac exit 0 Hierbei m ssen Sie bei der Option f den Pfad zur fetchmailrc des Users ange ben der die Post holen soll bei uns root Machen Sie dieses Script ausf hrbar und setzen Sie noch die Links f r die entsprechenden Runlevels cd etc rc d chmod x fetchmail cd etc rc d rc2 d ln s fetchmail SO6fetchmail ln s fetchmail K39fetchmail Und wer im Runlevel 3 grafischer Login arbeitet setzt noch zus tzlich cd etc rc d rc3 d ln s fetchmail SO6fetchmail ln s fetchmail K39fetchmail 2 4 2 Multidrop Modus Manche Provider stellen Mails f r verschiedene Mail User in einem einzigen POP3 Account bereit Mit der oben beschriebenen L sung kann man nun alle Mails zwar abholen doch sie w rden an einen einzigen lokalen User zugestellt Bei der Bearbeitung solcher Mails mu man unterscheiden ob beim Provider die Zieladresse beibehalten oder die Zieladresse auf den Mailaccount umgesetzt wird Bleibt die Zieladresse erhalten kann fetchmail die Mails direkt an Sendmail weitergeben Sie m ssen nur daf r sorgen dass sich Sendmail f r die ankommen den Mails zust ndig f hlt z B durch die Optionen aka ersetzt den Domainan teil durch localhost oder localdomains beh lt den Domainanteil bei Die fetchmailrc sieht dann z B
28. Adressen festgelegt Hier findet auch das Routing das hei t die Wegsteuerung eines Paketes von einem Netz ins andere statt Ebenfalls in diese Ebene integriert sind die ARP Protokolle ARP Address Resolution Protocol die zur Aufl sung Umwandlung einer logischen IP Adresse in eine physikalische z B Ethernet Adresse dienen und dazu sogenannte Broadcasts Datenpakete durch die alle an geschlossenen Stationen angesprochen werden verwenden ICMP ein Protokoll welches den Austausch von Kontroll und Fehlerpaketen im Netz erm glicht ist ebenfalls in dieser Schicht realisiert Die Schichten 1 und 2 sind gegen ber Schicht 3 protokolltransparent Sie k nnen durch standardisierte Protokolle z B Ethernet CSMA CD FDDI SLIP Serial Line IP PPP Point to Point Protocol oder andere bertragungsverfahren reali siert werden Bild 1 3 Zur TCP IP Familie geh ren mehrere Dienstprogramme der h heren OSI Schichten 5 7 z B m Telnet RFC 854 Ein virtuelles Terminal Protokoll um vom eigenen Rechen system einen interaktiven Zugang zu einem anderen System zu realisieren FTP RFC 959 Dieses File Transfer Protokoll erm glicht die Dateidienste 1 3 TCP IP 25 E O Process Process Application Data Application BE Host To Host Host To Host Y uessage ES g Packet fi Frame Network Network E e gt Abbildung 1 3 Der TCP IP Stack mit seinen drei Ebenen eines Fremdsystems interaktiv
29. Bevor die einzelnen Drucker f r Samba zur Verf gung stehen m ssen Sie zun chst unter Linux funktionieren Die zentrale Steuerdatei die festlegt wel ches Ger t verwendet werden kann ist die etc printcap von Printer Capabilities In ihr besitzt jeder Drucker eine separate Konfigurationszeile die mit einem Backslash Zeichen am Ende auch auf mehrere Textzeilen umbro chen werden darf Beispiel f r eine printcap HP Laser lokal an LPT1 lplhplj lp dev 1p0 sd var spool 1p0 mx 0 1f var spool 1p0 hp13 log Entfernter Netzwerkdrucker lp2 remote sd var spool remote rm pserv7 rp 1p mx 0 l var spool 1lp2 1p2 log Im Beispiel oben werden zwei Drucker angegeben ein lokaler und ein entfern ter Drucker das k nnte ein Ger t mit eigener Netzwerkkarte sein das weit vom Samba Server entfernt steht Jeder Druckereintrag folgt demselben Schemma Zun chst werden ein oder mehrere Namen angegeben unter denen das Ger t erreichbar sein soll Dann folgt bei lokalen Druckern die Angabe des Druckeran schlusses 1p Beachten Sie dabei da seine laufende Nummer unter Unix mit 0 beginnt und nicht wie unter DOS blich mit 1 Der erste Druckerport ist demnach dev 1p0 Bei Netzwerkdruckern wird 1p durch rm ersetzt Nach dem Gleichheitszeichen kann man den Namen des entfernten Druckservers an geben Zus tzlich ben tigt man den symbolischen Namen rp unter dem man dort auf den Druc
30. DNS and BIND O Reilly amp Associates Cricket Liu DNS and BIND Kochbuch O Reilly amp Associates B Literatur und Links 423 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 Ben Laurie Peter Laurie Apache The Definitive Guide O Reilly amp Associates Bryan Costales Eric Allman Neil Rickert sendmail O Reilly amp Associates D Mullet K Mullet it Mailmanagement mit IMAP O Reilly Associates Daniel J Barrett Richard E Silverman SSH Secure Shell O Reilly amp Associates Michael D Bauer Building Secure Servers with Linux O Reilly amp Associates Tobias Klein Linux Sicherheit dpunkt verlag E de Castro Lopo P Aitken B L Jones C Programmierung f r Linux Markt amp Technik Axel Sikora Technische Grundlagen der Rechnerkommunikation Hanser Martin Gr fe C und Linux Hanser Wolfgang Barth Das Firewall Buch SuSE PRESS Robert L Ziegler Linux Firewalls New Riders S Northcutt J Novac Network Intrusion Detection New Riders Linus Torvalds Just for Fun Hanser Jens Sieler Hornke Kommunizieren unter Linux Hanser Florian Schiel BAfH Bastard Assistent from Hell Schwarten oder unter http bofh ntk net Bastard html Walter Moers Die 13 1 2 Leben des K pt n Blaub r Eichborn Walter Moers RUMO amp die Wunder im Dunkeln Piper Anstelle einer CD zum Buch hier die Links m Listings Programme Erg nzungen und Linklisten http www netzm
31. Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliogra phie detaillierte bibliographische Daten sind im World Wide Web ber http dnb ddb de abrufbar Dieses Werk ist urheberrechtlich gesch tzt Alle Rechte auch die der bersetzung des Nachdruckes und der Vervielf ltigung des Bu ches oder Teilen daraus vorbehalten Kein Teil des Werkes darf ohne schriftliche Genehmi gung des Verlages in irgendeiner Form Druck Fotokopie Microfilm oder einem anderen Verfahren auch nicht f r Zwecke der Unterrichtsgestaltung reproduziert oder unter Ver wendung elektronischer Systeme verarbeitet vervielf ltigt oder verbreitet werden 2003 Carl Hanser Verlag M nchen Wien http www hanser de Lektorat Margarete Metzger Herstellung Irene Weilhart Satz Autoren mit ETEX Datenbelichtung Druck und Bindung K sel Kempten Printed in Germany ISBN 3 446 22473 4 Inhaltsverzeichnis 1 Einf hrung 17 1 1 Internet und Intranet 17 1 2 Entwicklung des Internet o o o ooo eee 18 L MCPF ss 44 dice ia e e Ee E 23 1 3 1 Die TCP IP Protokolle 2 26 4056 2b be ee es 26 1 3 2 Das Internet Protocol IP 2 2 2222222 27 1 3 3 Format des IP Headers 2 2 2 2 222er 28 1 3 4 IP Zusammenfassung 30 1 3 5 Private Netzadressen 2 222222 Comm 0 eee ee eee 30 1 3 6 ICMP Internet Control Message Protocol 31 1 3 7 UDP User Datagram Protocol s sec sessed amamos 33 1 3
32. Intern wird das private Netz 192 168 112 0 verwendet und der Squid Proxy hat die Adresse 192 168 112 1 Die Umleitung auf den Proxy findet in den beiden letzten Zeilen statt Sie bedeuten bersetzt etwa Leite alle empfangenen Pakete die auf dem internen Interface eintreffen zum TCP Protokoll geh ren von einer Portnummer gr er als 1024 kommen den so genannten Userports und an den Empf ngerport 80 http gehen an den Rechner 192 168 112 1 weiter Mit DNAT wird festgelegt da es sich bei diesem Vorgang um Destination Network Adress Translation handelt Das bedeutet lediglich da die Empf ngeradresse eines Paketes ge ndert wird A PREROUTING legt fest da die Umwandlung gleich nach dem Empfang des Paketes geschieht und be vor es durch etwaige andere Firewallregeln modifiziert wird 7 3 Konfiguration der Webbrowser Bevor der einzelne Benutzer an seinem Computer vom Proxy profitieren kann mu der lokale Webbrowser f r die Benutzung des Caches umkonfiguriert wer den sofern man keinen transparenten Proxy einsetzt Stellvertretend f r die vie len Browser auf dem Markt werden die Einstellungen f r den Netscape Navigator oder Mozilla und den Internet Explorer beschrieben 7 3 1 Netscape FH M nchen FB Elektrotechnik und Informationstechnik Netscape Ausschneiden NAEK Kopieren Grave Einf gen Ets Alles markieren Soch Seite durchsuchen Strg F Wenersiictien Shoes www e technik muenchen dei b
33. Konfigurationsdatei in der viele Optionen voreingestellt sind Andere sind auskommentiert so da man sie bei Bedarf nur aktivieren mu F r den gr ten Teil der Optionen existiert eine Default Einstellung so da prinzipiell kein Eintrag in der conf Datei n tig ist Es werden hier nur die wichtigsten Optionen der Konfigurationsdatei besprochen Die Datei hei t standardm ig webalizer conf und sollte damit sie beim Start des Webalizers ohne Pfadangabe gefunden wird am besten in etc stehen Um sie zu benutzen wird der Durchlauf dann einfach mit webalizer gestartet Benutzt man verschiedene Konfigurationsdateien f r verschiedene Aufgaben so mu au er bei Benutzung von etc webalizer conf als Konfigurationsdatei dem Programm stets der Pfad mit der Option c mitgegeben werden So lassen sich beispielsweise f r jeden virtuellen Server getrennte Statistiken erstellen Nun wird die Konfigurationsdatei mit dem Editor bearbeitet Suchen Sie die Zeile LogFile var lib httpd logs access_log Entfernen Sie das Kommentarzeichen und ersetzen Sie die Pfadangabe mit dem Pfad zu Ihrem Apache Logfile In der Konfigurationsdatei mu angegeben 228 6 Webserver Statistik werden welche Logdatei benutzt werden soll d h es gibt hier keine Voreinstel lung LogFile var log httpd access_log Es gibt mehrere Logfile Formate die benutzt werden k nnen das Standardfor mat hei t c1f Ebenso funktioniert der Durchlauf mit gezippten L
34. ServerName www netzmafia de ServerAdmin webmaster netzmafia de ErrorLog var log httpd error_log TransferLog var log httpd access_log SSLEngine on Enable SSL Mit dieser Zeile lasssen sich die verwendeten Kryptoverfahren gegebenen falls einschraenken Eine Liste finden Sie in der mod_ssl Dokumentation SSLCipherSuite ALL ADH EXPORT56 RC4 RSA HIGH MEDIUM LOW SSLv2 EXP eNULL Vollstaendiger Pfad zur Datei mit dem Server Zertifikat SSLCertificateFile etc httpd ssl crt server crt Vollstaendiger Pfad zur Datei mit dem Server Private Key SSLCertificateKeyFile etc httpd ssl key server key Standard SSL Environmentvariablen exportieren fuer CGI Skripte lt Files Dh egi shtml gt SSLOptions StdEnvVars lt Files gt lt Directory opt www cgi bin gt SSLOptions StdEnvVars lt Directory gt SSL Protokoll Anpassung Der Original Kommentar unten spricht fuer sich This forces an unclean shutdown when the connection is closed i e no SSL close notify alert is send or allowed to received This violates the SSL TLS standard but is needed for some brain dead browsers SetEnvIf User Agent MSIE nokeepalive ssl unclean shutdown lt VirtualHost gt lt IfDefine gt Nun kommt der erste Test Nach einm Neustart des http Daemons greifen Sie mit 170 4 WWW Server Apache einem SSL f higen Browser auf den Server per https Protokoll zu Der Browser wird nun ein Fenster ffn
35. beispielsweise mod_perl oder mod_PHP Alle Optio nen erfahren Sie durch den Aufruf configure help wie bei allen anderen Softwarepaketen die mit configure arbeiten Nun ist das statische Modul mod_ss1 dem Apache Quellcode hinzugef gt wor den und der Apache ist jetzt bereit zur Konfiguration SSL_BASE opt openss1l 0 9 6b export SSL_BASE configure prefix opt apache_1 3 22 ssl enable shared ssl enable module ssl make make install Gegebenenfalls miissen noch weitere Optionen beim configure Aufruf angegeben werden z B die Freigabe weiterer Module Mit den Aufrufen nable shared max und nable module all wird so ziemlich alles abgedeckt 4 14 4 Erstellen eines SSL Zertifikats Der Server mu sich bei gesicherter Verbindung durch ein Zertifikat ausweisen weshalb ein Server Zertifikat zu generieren ist OpenSSL fragt im Verlauf der Zer 4 14 Sichere Kommunikation mit Apache SSL 165 tifikatserzeugung nach verschiedenen Dingen Ein h ufiger Fehler dabei ist das Missverstehen von common name bei dem your name als Erl uterung steht Hier ist beim Serverzertifikat nat rlich nicht Ihr Name sondern der Fully Quali fied Hostname gemeint also zum Beispiel www netzmafia de Ein Testzertifikat kann im Apache Quellverzeichnis mitmake certificate er zeugt werden Alle Aktionen zum Erzeugen der ben tigten Dateien laufen dann fast automatisch ab bis auf die unten bei den Einzelsch
36. da das angegebene Programm gestartet und anschlie end die ge samte Mail an stdin des Programms geleitet wird Bei Auftreten von EOF mu das Programm sich selbst beenden um Klemmer im Mailsystem zu vermeiden es To robot usr local bin mailrobot 2 3 3 Fehlersuche Durch einen Bug in der Procmail Version 3 13 1 3 wird nur eine statische Liste von Suchpfaden f r das Ausf hren von Programmen durchsucht Dabei fehlen wichtige Pfade wie bin oder usr bin Setzen Sie auf jeden Fall den Suchpfad explizit in der Datei procmailrc Wenn procmail gar nichts tut und auch keine Datei procmail 1log erstellt wur de sollte der Eintrag in der Datei forward nachgepr ft werden Stimmt der Eintrag Ist die Datei f r alle lesbar Wenn procmail absolut nicht das Erwartete leistet ist zuallererst die Da tei procmailrc peinlich genau auf Fehler hin zu berpr fen die Datei procmail log kann dabei weiterhelfen Bei Mail Loops und fehlerhaften Receipes werden alle E Mails in die Datei dead letter geschrieben 2 4 Mail holen mit Fetchmail Derzeit gibt es verschiedene POP Clients Sie unterscheiden sich haupts chlich in der Art der Konfigurierbarkeit und weniger in der Funktionalit t IMAP Clients existieren noch nicht so viele was damit zusammenh ngt da das IMAP Verfahren bei den Providern noch nicht so weit verbreitet ist Wir haben uns das 92 2 E Mail Server bekannte Programm fetchmail herausgegriffen Es i
37. die beim System Boot aufgerufen werden k nnten In den Verzeichnissen rcx d sind nun nur noch Links auf diese Programme enthalten Alle Links folgen ebenfalls einer festen Namenskonvention m der erste Buchstabe ist entweder ein S oder ein K m danach folgt eine zweistellige Zahl zum Schlu folgt der Name des Programms in etc init d Die so entstandenen rc Scripts werden in lexikalischer Reihenfolge aufgerufen und zwar zuerst die K Dateien dann die S Dateien Die Zahl im Namen legt also die Reihenfolge innerhalb der K oder S Gruppe fest Die K Dateien dienen zum L schen Kill von Prozessen die S Dateien zum Starten von Prozessen Dabei sind K und S Dateien mit ansonsten gleichem Namen lediglich Hinweise darauf dasselbe Programm aufzurufen So wird z B bei den Dateien K30tcp und S30tcp das Programm oder Script etc init d tcp einmal mit dem Pa rameter stop und einmal mit dem Parameter start aufgerufen Man kann also durch Anlegen von Links das Hochfahren des Systems sehr gezielt steuern Das entsprechende rc Script wird dann auch sehr einfach es l t sich folgenderma en skizzieren 56 1 Einf hrung bin sh Wenn Directory etc rc2 d vorhanden ist if d etc rc2 d then K Files bearbeiten for f in etc rc2 d Kx do if s f then bin sh f stop fi done S Files bearbeiten for f in etc rc2 d Sx do if s f then bin sh f start fi done fi Ein von de
38. es Hindernis dar 390 13 Server Sicherheit Prinzipielle Abhilfe schaffen hier nur Hosting Umgebungen bei denen die Document Root des Webservers tiefer als die Wurzel des Kundenverzeichnisses liegt beispielsweise ab home www servers www kunde de pages Nun kann der Kunde weitere Verzeichnisse oberhalb der Document Root anlegen zum Beispiel home www servers www kunde de shop und seine vertraulichen Daten dort speichern Da diese Verzeichnisse ber Wartungs FTP nicht aber mit HTTP zug nglich sind k nnen sie nicht so einfach abgerufen werden Alternativ legt man Verzeichnisse unterhalb der Document Root an und verbietet den Zugriff per HTTP auf das Verzeichnis durch Anlegen einer htaccess Datei Die Datei verbietet den Zugriff von berall und enth lt nur zwei Zeilen order deny allow deny from all Daten k nnen dann nur noch ber FTP abgerufen werden F r FTP gelten htaccess Dateien nicht 13 8 3 Eingabeparameter aus Webformularen ber das Common Gateway Interface also ber CGI Skripts k nnen Attacken gestartet werden Normalerweise erlaubt ein CGI Skript dem Benutzer einer Web site interaktive Prozesse vom Browser auszul sen z B auf eine Datenbank zuzu greifen oder ein Formular vom Server auswerten zu lassen Die Sicherheitsl cken bei CGI Programmen entstehen durch Fehlkonfiguration der Serversoftware und durch Fehler im Skript selbst Dazu ist es nicht notwendig da das Skript von Haus aus angele
39. es beachtet also die Datei robots txt 5 14 htDig mit gesch tzten Verzeichnissen Eigentlich ist es ein Widerspruch man will Verzeichnisse nur f r bestimmte Be nutzer ffnen und packt dann den Inhalt in eine Suchmaschine Manchmal kann das aber auch bewuft so gestaltet werden Beispielsweise bietet eine Fachzeit schrift ihren Abonnenten zus tzliche Informationen etwa ein Artikel Archiv oder einen Newsticker mit Insider Infos aus der Branche Nicht Abonnenten sehen so in der Suchmaschine welch tolle Infos sie bekommen w rden wenn sie ein Abonnement der Zeitschrift h tten kommen aber nicht an den Volltext htDig mu sich so wie jeder User autorisieren Das bedeutet da f r htDig in der entsprechenden Benutzerdatei f r das gesch tzte Verzeichnis eine Benutzerken nung existieren mu Dann mu htDig sich beim Zugriff auf den Server mit Benut zerkennung und Pa wort identifizieren Leider kennt der HTTP Mechanismus nur eine sehr einfache Authentisierung Gelangt der Benutzer mit einem Brow ser in ein gesch tztes Verzeichnis wird der Fehler 401 zur ckgegeben Der Brow ser ffnet daraufhin ein Fenster mit User Pa wortabfrage und probiert es damit nochmals Bei jedem Zugriff auf die Webseiten sendet er nun die Userdaten mit In den Unterlagen zu htDig steht da es gen gt in der Datei htdig conf die Zeile authorization username password einzutragen Bei unseren Versuchen hat das nicht immer geklappt Eine andere A
40. glich ma chen Netz Klasse Netzwerkadresse Host Adresse Bereich bin r A a b cd 1 126 O1xxxxxx B ab cd 128 191 10xxxxxx E abc d 192 224 11xxxxxx Grunds tzlich gilt m Alle Rechner mit der gleichen Netzwerkadresse geh ren zu einem Netz und sind untereinander erreichbar Zur Koppelung von Netzen unterschiedlicher Adresse wird ein Router ben tigt 28 1 Einf hrung m Je nach Zahl der zu koppelnden Rechner wird die Netzwerkklasse gew hlt In einem Netz der Klasse C k nnen z B 254 verschiedene Rechner gekoppelt wer den die Werte 0 und 255 f r d sind verboten die 0 bezeichnet das lokale Netz und die 255 wird f r Broadcast Meldungen verwendet Die Netzwerkadresse 127 0 0 1 bezeichnet immer den jeweils lokalen Rechner loopback address Sie dient der Konsistenz der Netzwerksoftware jeder Rechner ist ber seine Adresse ansprechbar und dem Test Ein IP Datagramm besteht aus einem Header und einem nachfolgenden Daten block der dann seinerseits z B in einem Ethernet Frame verpackt wird Die maximale Datenl nge wird auf die maximale Rahmenl nge des physikalischen Netzes abgestimmt Da nicht ausgeschlossen werden kann da ein Datagramm auf seinem Weg ein Teilnetz passieren mu dessen Rahmenl nge niedriger ist m ssen zum Weitertransport mehrere Teil Datagramme erzeugt werden Dazu wird der Header im wesentlichen repliziert und die Daten werden in kleinere Bl cke unterteilt Jedes
41. lt Untergrenze gt wird der Bereich von IP Nummern festgelegt die der DHCP Dienst dynamisch an Klienten vergeben darf Im Beispiel sind das alle IP Nummern zwischen 192 168 1 10 und 192 168 1 99 also 90 Adressen Wird keine weitere Option angegeben arbeitet der Server automatisch mit Dynamic Allocation und vergibt an jeden anfragenden Rechner eine IP Nummer Neben der IP Nummer kann der DHCP Server an den Klienten noch eine ganze Reihe anderer Netzwerkinformationen wie zum Beispiel den Domainnamen und die Named Server Adresse ausliefern Damit l t sich das obige Beispiel erwei tern zu Beispiel fuer zusaetzliche Netzwerkparameter subnet 192 168 1 0 netmask 255 255 255 0 range 192 168 1 10 192 168 1 99 option subnet mask 255 255 255 0 option broadcast adress 192 168 1 255 option routers 192 168 1 254 option domain name servers 192 168 1 252 option domain name netzmafia de Mit Hilfe des Kommandos opt ion k nnen die zus tzlichen Parameter eingestellt werden Im vorliegenden Fall wird den Klienten zus tzlich die Subnetzmaske und damit die Klasse des Netzwerkes hier Klasse C mit 254 m glichen Rechnern mitgeteilt Die Adresse des Routers ber den auf andere Netzwerke zugegrif fen werden kann wird auf 192 168 1 254 eingestellt Weitere wichtige Optionen sind die Adresse des Rechners der f r den Domain Named Service also die Um wandlung von IP Nummern in Namen zust ndig ist und der Name der eigenen Domain Die
42. r Klientenrechner Wie bereits in der Einleitung zu die sem Kapitel erw hnt ist daf r eine eigene Sektion der smb conf zust ndig Sie k mmert sich allein um die sogenannten Datei Shares Eine Share ben tigt mindestens einen Namen der in eckigen Klammern ange geben wird und die Angabe welches Verzeichnis den Klientenrechnern nun zur Verf gung gestellt wird Es reicht also folgendes Beispiel um das Unix Verzeichnis export software f r eine Gruppe von Anwender PCs bereitzu stellen progs path export software Von den Klientenrechnern l t sich diese Share unter dem angegebenen Namen erreichen Hei t der Samba Server zum Beispiel menetekel k nnen die An wender aus dem Windows Explorer heraus mit dem Men Extras Netzlauf 9 5 Dateifreigabe und Rechte 293 Netzlaufwerk verbinden 2 lx Laufwerk a P L sl Pfad menetekel progs Abbrechen I Verbindung beim Start wiederherstellen Abbildung 9 8 Verbinden eines Laufwerkes mit einer Share werk verbinden zum Fenster aus Bild 9 8 gelangen und dort unter dem Namen menetekel progs einen Laufwerksbuchstaben mit der Freigabe verbinden Sind im Verzeichnis export software auf dem Server bereits Dateien vor handen kann der Anwender nach erfolgreichem Verbinden mit der Share darauf zugreifen Diese Zugriffe k nnen allerdings nur lesend erfolgen weil Samba aus Sicherheitsgr nden File Shares nicht zum Schreiben freigibt Wollen
43. ten und schl gt gegebenenfalls Alarm Watcher l uft auf den mei sten Unix Systemen und erfordert einen C Compiler Isof List Open Files von Vic Abell ftp coast cs purdue edu pub tools unix 1lsof Dies Programm verfolgt nicht einfach nur offene Dateien einschlie lich Netzwerkverbindungen Pipes Datenstr men usw sondern auch deren Eigent mer Prozesse 232 6 Webserver Statistik Bei den umfangreichen M glichkeiten der berwachung der User ber die Aus wertung der Squid Logs sei an die Beachtung der geltenden Vorschriften erinnert Dazu geh ren das Bundesdatenschutzgesetz die Datenschutzgesetze der einzel nen Bundesl nder und das Telekommunikationsgesetz Kapitel 7 Proxy Cache 7 1 Proxy Grundlagen Eines der gr ten Probleme im Internet ist die begrenzte Kapazit t der Daten leitungen Je beliebter das Netz der Netze wird desto fter herrscht Stau auf der Daten Autobahn Der Ausbau der nationalen und internationalen Leitungs strecken bleibt weit hinter den Anforderungen durch immer neue Internetnutzer und Dienste zur ck Die Folgen f r den einzelnen Benutzer sind lange Wartezei ten und somit h here Kosten f r ein einzelnes Dokument oder eine Information ce Anforderung von _____ entfernter Server index html www veryfar com Abbildung 7 1 Direkte Verbindung Der Einsatz von Zwischenspeichern Caches kann die Zeit zwischen der Anfor derung und
44. und Textdateien standardm ig indizie ren Andere Dateiformate werden noch nicht unterst tzt Will man Postscript PDF oder Microsoft Word Dokumente indizieren mu man entsprechende ex terne Parser installieren Im folgenden soll kurz erl utert werden wie man vor geht um Dokumente mit fremden Dateiformaten zu indizieren F r die htDig Version 3 1 5 stehen zwei verschiedene Basis Parser zur Verf gung Diese Parser dienen eigentlich nur dem Aufruf externer Parser oder Konverter und der Anpassung von deren Ausgabe an die Gegebenheiten von htDig Der Par ser parse_doc pl ist ein Perlprogramm das im cont ib Verzeichnis der Quel le von htDig zu finden ist Mit diesem Parser k nnen Postscript und MS Word Dateien geparst werden Der Parser conv_doc pl ist ab der Version 3 1 4 dabei und einfacher in der In stallation und Konfiguration da seine Aufgabe lediglich darin besteht Dokumen te in text plain oder text html zu konvertieren und diese zum Parsen an htdig zur ckzugeben Ben tigt werden daneben mindestens folgende Programme m catdoc aktuelle Version m xpdf aktuelle Version m perl ab Version 4 Eines der Skripten parse_doc pl oder conv_doc p1 je nachdem was Sie ver wenden wollen wird in das Verzeichnis usr local bin kopiert Nun sind einige Anpassungen vorzunehmen Wichtig ist vor allem die Einstellung des Zei chensatzes f r das Konvertieren von Word Dokumenten PDF Dokumente lassen sich mit Hilfe des Programms
45. usr sbin in talkd in talkd ntalk dgram udp wait root usr sbin in talkd in talkd Pop et al pop2 stream tcp nowait root usr sbin in pop2d in pop2d pop3 stream tcp nowait root usr sbin popper popper s netbios ssn stream tcp nowait root usr bin smbd smbd netbios ns dgram udp wait root usr bin nmbd nmbd End 1 5 6 Protokolle Als letzte der Konfigurations Dateien soll die etc protocols behandelt wer den Hier werden die ber IP arbeitenden Protokolle aufgelistet Die allgemeine Form eines Eintrags hat die Form lt Protokoll Name gt lt Protokoll Nummer gt lt Protokoll Aliase gt Zum Beispiel ip 0 IP internet protocol pseudo protocol number icmp 1 ICMP internet control message protocol igmp 2 IGMP internet group multicast protocol ggp 3 GGP gateway gateway protocol tcp 6 TCP transmission control protocol egp 8 EGP Exterior Gateway Protocol PUP 12 PUP PARC universal packet protocol udp 17 UDP user datagram protocol idp 22 IDP WhatsThis hello 63 HELLO HELLO Routing Protocol raw 255 RAW RAW IP interface 1 6 Kommandos f r den Netzwerkadministrator 49 Die Protokoll Nummer wird im Header des Internet Protokolls angegeben 1 6 Kommandos f r den Netzwerkadministrator 1 6 1 Das Ping Kommando Falls man mit dem Kommando ping zuerst einmal Ping Pong assoziiert liegt man gar nicht so falsch Allerdings werden hier keine Zelluloidb lle sondern Da tenpakete hin u
46. 2002 04 15 14 04 44 aclCheck match found returning 0 2002 04 15 14 04 44 aclCheckCallback answer 0 Wie Sie sehen wird zun chst gepr ft ob der Klient mit seiner IP Nummer in den Bereich von all f llt Das trifft nat rlich zu Anschlie end wird der Ausdruck sex mit der eingegebenen Adresse www essex com verglichen Nachdem auch das zutrifft und ber http_access deny boese der Zugriff auf solche Seiten gesperrt ist liefert Squid mit answer 0 das Ergebnis Der Klient darf die Seite nicht holen Und der Benutzer erh lt die Fehlermeldung while trying to retrieve the URL http www essex com The following error was encountered Access Denied Access control configuration prevents your request from being allowed at this time Please contact your service provider if you feel this is incorrect 7 5 Proxy Verb nde Die n chsth here Stufe nach dem Einsatz eines einzelnen Proxy Servers besteht darin mehrere Caches zu einem Verbund zusammenzufassen Die Theorie die 252 7 Proxy Cache dahintersteckt ist dieselbe wie bei einzelnen Servern Kann ein Proxy in seinem Cache eine angeforderte Datei nicht finden mu er sie vom Ursprungsserver ho len Befindet sich in der N he noch ein weiterer Proxy lohnt es sich ihn nach der Datei zu fragen Liegt sie in dessen Cache ergibt sich ein erheblicher Geschwin digkeitsvorteil beim Holen des Dokuments Die Beziehung die die Caches miteinander in einer Hierarchie haben
47. 226 Zum Schlu noch einige Hinweise auf weitere Quellen rund um den wu ftpd m Einsatz virtueller ftp Server http www westnet com providers multi wu ftpd txt Guestgroup Howto ftp ftp fni com pub wu ftpd guest howto m Auswertung der Logfiles ftp ftp cetis hvu nl pub loos ftplogcheck m wu ftpd FAQ http www hvu nl koos wu ftpd faq html 3 5 Der oftp Daemon Der wu ftpd ist die Universall sung f r alle Zwecke Will man dagegen nur einen einfachen Dateisauger bereitstellen ist es besser einen FTP Daemon zu ver wenden der eben nur diese Funktionalit t besitzt Er braucht weniger Speicher hat eine bessere Performance und ist vor allem sicherer Der oftpd bietet genau das Gew nschte Er ist ein sicherer Server f r anonymen FTP l uft die meiste Zeit als non root verwendet chroot und hat die Kommandos cd sowie 1s fest eingebaut er mu somit nicht auf die entsprechenden Systemkommandos zugrei fen Upload Funktionen Anlegen von Verzeichnissen etc gibt es nicht es handelt sich um einen reinen Download FTP Server oftpd wurde von Shane Kerr geschrieben und kann unter http www time travellers org oftpd heruntergeladen werden Der Name entstand brigens iterativ denn aftpd bis nftpd war schon belegt also wurde es oftpd Eine Verwechslung mit dem ODETTE File Transfer Protocol ist relativ unwahrscheinlich Unter ftp emu res cmu edu pub new packages gibt es ein vorl ufiges Debian Packag
48. 241 B ROOT SERVERS NET 419849 IN A 128 9 0 107 J ROOT SERVERS NET 333980 IN A 198 41 0 10 K ROOT SERVERS NET 333980 IN A 193 0 14 129 L ROOT SERVERS NET 330784 IN A 198 32 64 12 M ROOT SERVERS NET 330784 IN A 202 12 27 33 I ROOT SERVERS NET 419849 IN A 192 36 148 17 E ROOT SERVERS NET 419849 IN A 192 203 230 10 D ROOT SERVERS NET 419849 IN A 128 8 10 90 A ROOT SERVERS NET 419849 IN A 198 41 0 4 H ROOT SERVERS NET 419849 IN A 128 63 2 53 C ROOT SERVERS NET 419849 IN A 192 33 4 12 77 Query time 1 msec 77 SERVER 10 23 64 1 53 10 23 64 1 p WHEN Thu Mar 6 15 33 08 2002 MSG SIZE rcvd 436 Diese Datei sollte von Zeit zu Zeit aktualisiert werden Am besten geschieht dies mit einem Skript das beispielsweise jeden Monat mit Hilfe des Programms Cron automatisch eine neue Kopie holt und das Named Programm anweist die aktua lisierte Version zu laden Eine weitere von allen Name Servertypen ben tigte Datei ist das Reversed Loopback File des Subnetzes 127 0 0 0 Es dient dem Server dazu ber die spezi elle Loopback Adresse 127 0 0 1 mit sich selbst zu kommunizieren Diese Adresse muf immer lokal zugeordnet werden F r alle folgenden Beispiele wollen wir davon ausgehen da Sie versuchen einen Server namens orakel netzmafia de aufzusetzen Ob Sie einen Cache Only einen secondary oder primary Server realisieren wollen das Reversed Loopback File sieht immer gleich aus und kann mit einem beliebigen ASCII E
49. 37 38 39 40 41 42 43 Helmut Herold UNIX Shells Addison Wesley R Krienke UNIX Shell Programmierung Hanser B Kernighan R Pike UNIX Werkzeugkasten Hanser R Ables Die Schl ssel zur erfolgreichen UNIX Systemverwaltung Hanser Nemeth Snyder Seebass Systemadministration unter UNIX Prentice Hall Aeleen Frisch Essential System Administration O Reilly amp Associates David N Blank Edelman Perl f r System Administration O Reilly amp Associates Kai Fuhrberg Internet Sicherheit Hanser Garfinkel Spafford Practical UNIX Security O Reilly Anonymous Der neue Linux Hackers Guide Markt amp Technik Wolfgang Soltendick Samba Der Netzwerkserver f r Linux SuSE Press Olaf Borkner Delcarlo Das Samba Buch SuSE Press Computernetzwerke Prentice Hall Harald Selzer Thomas K mmerer Moderne Computernetzwerke Hanser Anatol Badach Sebastian Rieger Matthias Schmauch Web Technologien Hanser Stefan Fischer Ulrich Walther Linux Netzwerke SUSE PRESS Stefan Fischer Walter M ller Netzwerkprogrammierung unter LINUX und UNIX Hanser W Richard Stevens Programmierung von UNIX Netzen Hanser James Martin Joe Leben TCP IP Netzwerke Prentice Hall Craig Hunt Networking Personal Computers with TCP IP O Reilly amp Associates Craig Hunt TCP IP Network Administration O Reilly amp Associates Ryan Russell Stace Cunningham Hack Proofing Your Network Synergress Paul Albitz Cricket Liu
50. 4 2 Verschliisselte Pa w rter An den Klientenrechnern ist keine nderung n tig Vielmehr mu der Server um konfiguriert werden Da die Rechenvorschriften zum Pa w rter Erzeugen unter UNIX und Windows v llig verschieden sind mu nun eine zweite Pa wort Datei smbpasswd f r die Windows Pa w rter erzeugt werden Sie liegt blicherweise im Verzeichnis usr local samba private und sollte nur f r den Benut zer root lesbar sein Die Unix Rechte der Datei sind also rw In der smb conf mu die Verwendung der verschl sselten Pa w rter mit der Zeile encrypt passwords yes eingeschaltet werden M chten Sie weiterhin mit dem Verwaltungsprogramm yast Ihre Benutzer anlegen m ssen Sie anschlie end von der Kommandozeile aus den Befehl smbpasswd a Benutzername eingeben um einen Eintrag in die Datei smbpasswd zu erzeugen Dabei werden Sie zweimal nach dem neuen Pa wort gefragt Als neues Pa wort tragen Sie das gleiche ein das Sie im Yast vergeben haben Sie k nnen auch das Skript genaccount von oben verwenden allerdings m ssen Sie auch hier hinterher das Programm smbpasswd starten und das Windows Pa wort getrennt eintragen Der Dialog sieht so aus genaccount huber Erwin Huber Lege Benutzer huber an Fertig passwd huber New password New password again Password changed smbpasswd a huber New SMB password Retype new SMB password Added user huber Password changed for user huber
51. 9 4 Verschl sselt oder unverschl sselt 291 W hrend Sie als Systemadministrator mit den beiden Pa w rtern f r beide Rech nerwelten noch gut zurecht kommen ist die Teilung in Unix und Windows Zugang f r einen normalen Benutzer ziemlich verwirrend F r ihn w re es g nsti ger nur ein einziges Programm zum ndern beider Kennw rter aufrufen zu m ssen Samba besitzt zu diesem Zweck einen Synchronisationsmechanismus mit dem das Unix Pa wort automatisch ge ndert werden kann sobald der Be nutzer sein Windows Kennwort ndert Dazu sind in der smb conf unter der Sektion global folgende Eintr ge notwendig global encrypt passwords true unix password sync true passwd program usr bin passwd Su passwd chat New xpasswords n n New passwordx again n n changedx Die einzelnen Eintr ge bedeuten m encrypt passwords Mit der Zuweisung des Wertes yes an diese Variable wird die Verwendung von verschl sselten Pa w rtern eingeschaltet m unix password sync Hier wird der Synchronisationsmechanismus eingeschal tet Sobald das Windows Pa wort mit dem Kommando smbpasswd ge ndert wurde versucht Samba das gleiche Kennwort auch f r die Unix Seite zu set zen m passwd program Hier wird festgelegt welches Unix Programm zum ndern des Pa wortes aufgerufen werden soll Standardm ig ist dies das Programm passwd Der Platzhalter u wird beim Aufruf durch den Benutzernamen er setzt Der angegebene
52. Abschlie end stellen wir die Erweiterungen und die wichtigsten Unterschiede zwischen Apache 1 3 und Apache 2 0 noch einmal tabellarisch dar Core Erweiterungen Unix Threading Auf Unix Systemen mit Unterst tzung f r POSIX Threads kann Apache jetzt in einem Multi Process Multi Threaded Hybrid Mode gestartet wer den Neues Build System Das Build System wurde komplett auf der Basis von autoconf und libtool neu geschrieben Multi Protokoll Unterstiitzung Apache stellt jetzt die notwendigen Grundfunktionalit ten bereit um mehrere Protokolle unterst tzen und verarbeiten zu k nnen Bessere Unterst tzung von Nicht Unix Plattformen Apache 2 0 ist schneller und stabiler auf Nicht Unix Plattformen Mit der Einf hrung von Plattform spezifischen MPMs und der APR sind die se Plattformen jetzt in ihrem nativen API implementiert Die Verwen dung der h ufig fehlerbehafteten und schlecht funktionierenden POSIX Emulation Layer wird vermieden 182 4 WWW Server Apache Apache API Die API f r Module hat sich in 2 0 stark ver ndert Die Sortierungs Priorit tsprobleme von Modulen bei 1 3 sollten nun verschwunden sein denn in 2 0 wird davon vieles automatisch durchgef hrt Die Modulsor tierung wird jetzt ber einen pre hook vorgenommen um mehr Flexibi lit t zu bieten Neue API Calls wurden hinzugef gt die zus tzliche Mo dulf higkeiten zur Verf gung stellen ohne den Apache Kern anpassen zu m ssen IPv6
53. Angaben im Beispiel reichen aus um einen Klienten unter Windows oder Linux komplett f r den Netzwerkbetrieb zu konfigurieren ohne da ein Eingriff am Rechner selbst n tig w re Wie stark DHCP die Administration der Klienten vereinfacht wird klar wenn man sich vorstellt da der Named Server des Beispiel Netzwerkes von der Adresse 192 168 1 252 auf 192 168 1 253 verlegt werden m te Ohne DHCP mu der Administrator von Rechner zu Rechner gehen und jeweils die neue Adresse eintragen Mit dem DHCP Dienst mu er lediglich die Datei etc dhcpd conf ndern und mit den Kommandos etc init d dhcpd stop etc init d dhcpd start den DHCP Dienst neu starten Alle Klienten erhalten nun beim n chsten Anfor dern einer IP Nummer automatisch die neue Named Server Adresse Neben den zus tzlichen Netzwerkparametern sollte in der Konfigurationsda tei auch die G ltigkeitsdauer der vergebenen IP Nummern Lease Time einge tragen werden Dabei k nnen zwei unterschiedliche Zeiten vergeben werden 320 10 DHCP Die default lease time bestimmt die standardm ige G ltigkeit einer IP Adresse wenn der Klient bei der Anforderung keine besondere Zeitspanne ver langt hat Die max lease time legt die Obergrenze fest Auch wenn ein Kli ent eine gr ere Zeit verlangt bekommt er maximal f r diese Spanne eine IP Nummer Beide Intervalle werden in Sekunden angegeben Welche Werte f r die Zeiten einzustellen sind h ngt ganz von der Art des
54. Angaben in der Datei Con figuration das Makefile und die Datei modules c erzeugt m Aufruf von make Danach ist im Verzeichnis src die ausf hrbare Datei httpd nicht etwa apache erzeugt worden im usr lib apache src Directory Apache ist ein konfigurierbares Package Einzelne Module lassen sich bei Be darf hinzuf gen was aber mit einer Neukompilation abgeschlossen werden mu Falls das Programm htpasswd ben tigt wird siehe sp ter ist noch der Aufrufmake htpasswd notwendig m Anlegen der Verzeichnisstruktur f r den Server und Kopieren der ben tig ten Dateien Das Default Verzeichnis ist usr local etc httpd Verwen det man eine Distribution kann sich das Verzeichnis von der Vorgabe unter scheiden Wir haben opt www als Basisverzeichnis und darunter folgende Verzeichnisstruktur angelegt bin f r ausf hrbare Programme administrative Skripts von cron gestar tete Statistiktools etc cgi bin fiir ausf hrbare Programme CGI htdocs f r Dokumente icons f r Icons logs f r Logfiles Das Binary kommt nach usr sbin oder home local sbin Die aktuel len Versionen des Apache arbeiten nach dem folgenden Prinzip Es wird ein httpd Hauptproze als root gestartet der sich an alle ihm durch Port oder Li sten zugewiesene Ports normalerweise 80 oder 443 bei SSL bindet Anschlie end erzeugt dieser Hauptproze Kindprozesse unter der eingestellten UID und GID die die Client Anfragen beh
55. Anschlu werden diverse Werte definiert die bisher noch nicht erkl rt wurden p serial Die aktuellen Daten innerhalb einer Zone m ssen im prim ren Server mit einer Seriennummer versehen werden die hier festgelegt wird Bei jeder Anderung der Zonendatei mu diese Nummer erh ht werden Auch wenn 274 8 Name Service DNS man dieses Problem prinzipiell damit l sen k nnte mit 1 anzufangen und den Wert bei jedem neuen Eintrag um 1 zu erh hen hat sich bei den meisten Admi nistratoren ein anderer Algorithmus durchgesetzt Auch wir empfehlen Ihnen f r die Seriennummer folgende Regel Bilden Sie eine Zahl aus den vier Stellen der Jahreszahl zwei Stellen des Monats den zwei Stellen des Tages und einer zweistelligen laufenden Nummer die die nderungen am heutigen Tag angibt Die 5 nderung am 4 Mai des Jahres 2003 ergibt damit die Seriennummer 2003050405 Mit diesem System sind maximal 100 nderungen pro Tag m glich was auch in extremen F llen ausreichen d rfte m refresh Gibt das Intervall in Sekunden an nach dem ein sekund rer Server dieser Zone seinen prim ren DNS Server fragt ob die Tabellen ge ndert wur den und neu geladen werden m ssen 10800 ist ein vielfach eingesetzter Wert und bedeutet Test alle 3 Stunden Das ist der blich Kompromi zwischen Aktualit t der DNS Daten und Netzlast m retry Wenn ein sekund rer Server seinen prim ren DNS Server nach der unter Refresh angegebenen Periode nicht errei
56. Art zu verwenden mu zun chst einmal die smb conf edi tiert werden Das nachfolgende Beispiel zeigt eine einfache Konfiguration die Dom nen Logins zul t global workgroup NETZBUCH server string Samba Server security user encrypt passwords Yes log file usr local samba var log m domain logons yes domain master yes preferred master yes local master yes logon script logon bat logon path N profiles u logon drive H profiles path export winprofiles writeable yes create mask 0600 directory mask 0700 netlogon path home netlogon browseable no read only yes homes comment Home Directories read only No browseable No printers comment All Printers path usr spool samba printable Yes browseable No software comment Windows Software path export software read only No create mask 0765 306 9 Samba Wichtig sind dabei die Zeilen domain logons yes Dieser Schalter aktiviert das Server Login Damit hat man die M glichkeit sich an der Dom ne anzumelden dabei Skripten zu star ten und Profile auf dem Server abzulegen domain master yes Der Samba Server ist der Domain Master Browser im obigen Fall f r die Dom ne Netzbuch preferred master yes Mit diesem Schalter teilt man Samba mit da es versu chen soll sich bei mehreren konkurrierenden NT Servern als Master Browser durchzusetzen Ob das klappt h ngt davon ab ob noch e
57. DNS kann jedoch E Mail irrt mlich 2 5 Spamfilter 97 zur ckgewiesen werden Au erdem startet Sendmail f r jede Mail eine zus tz liche DNS Anfrage Des weiteren ist es m glich mit FEATURE relay_local_from alle Mails wei terzuleiten die eine lokale Absenderadresse tragen Da diese Angabe jedoch leicht gef lscht werden kann ist davon dringend abzuraten Generell als Relay freischal ten l t sich der Mail Server mit FEATURE promiscous_relay und allen sich daraus ergebenden Konsequenzen ber die Datenbank access_db sind auch schwarze Listen f r Sendmail konfigurierbar Dazu kann nach einer Adresse neben OK und RELAY auch REJECT DISCARD oder 552 lt Sorry we do not relay gt stehen Die letzten drei Optionen filtern Mail von der nebenstehenden Adresse aus Bei DISCARD geschieht dies ohne sichtbare Fehlermeldung Der Adre teil kann au er IP Adressen und Domain Namen mit lt user gt 0 auch Benutzernamen beziehungsweise eine vollst ndige Mail Adresse enthalten Dar ber hinaus l t sich mit FEATURE rbl Sendmail so einstellen da er die IP Adresse jedes Quellrechners in Paul Vixie s Real Time Blacklist RBL http maps vix com rbl berpr ft Diese wird ber den Domain Name Ser vice in Echtzeit zur Verf gung gestellt und enth lt die Rechner notorischer Werbe Mailversender ebenso wie offene Relays die zu Werbezwecken mi braucht wur den Zus tzlich sollte der Netzwerkverwalter auf dem zentral
58. Diese Befehle sind dem normalen Listenteilnehmer verwehrt Der Administrator mu bei jedem Befehl das Pa wort angeben approve Pa wort subscribe unsubscribe Listenname tr gt jemanden in die Liste ein bzw aus m passwd Listenname altes Pa wort neues Pa wort ndert das subscription approval Pa wort f r die Liste vom alten Pa wort zum neuen Pa wort config Listenname Pa wort schickt eine Kopie der Konfigurations Datei an den Listenverwalter Der Verwalter kann diese Datei editieren und mit dem Befehl m newconfig Listenname Pa wort an Majordomo zur ckschicken Die Kopie der Konfigurations Datei mu vollst ndig zur ckgeschickt werden nicht nur die vorgenommenen nderungen Bitte beachten Keine Reply H kchen o keine automatische Formatierung der Zeilen s ol und am Ende mu lt end gt oder lt EOF gt stehen writeconfig Listenname Pa wort erzeugt eine mit Kommentaren versehene neue Konfigurationsdatei newinfo Listenname Pa wort ndert die Informationsnachricht einer Liste Der Text wird der Kommandozeile bis zum Auftreten von EOF direkt an gef gt newintro Listenname Pa wort ndert die Standardnachricht die optional au tomatisch an alle neuen Listenteilnehmer geht m mkdigest Digestname Adresse Pa wort erzeugt einen Digest f r eine Liste 344 11 Mailing Listen mit Majordomo verwalten 11 6 Majordomo per WWW Interface ansprechen 11 6
59. Gesicht bekommt DHCP ist da bei v llig unabh ngig von der eingesetzten Plattform Das hei t es kann sowohl Windows Maschinen wie auch zum Beispiel Unix Rechner mit den Netzwerkein stellungen versorgen Das in RFC 2131 definierte Protokoll DHCP arbeitet nach dem Client Server Modell Als Server wird ein Programm bezeichnet das den Pool der zu vergeben den Nummern verwaltet und sich darum k mmert da eine Nummer nicht zwei mal vergeben wird Client oder Klient ist ein Programm auf dem lokalen Rechner das zun chst den Server selbstt tig im Netz suchen mu und ihn anschlie end darum bittet eine IP Nummer zuzuteilen Die Grundfunktion des Servers ist recht einfach aufgebaut ber eine Konfigurati onsdatei teilt der Administrator ihm mit welche Adre bereiche er f r die Weiter gabe an Klienten zur Verf gung hat Fragt ein Klient nach einer IP Adresse dann mu der Server zun chst nachsehen ob noch eine Adresse frei ist Diese freie IP Nummer liefert er an den Klienten aus Gleichzeitig mu er eine Datei Leases File f hren in der er protokolliert welche Adresse bereits an wen vergeben ist Bei der Adre vergabe sind drei verschiedene Modi einstellbar 316 10 DHCP m Automatic Allocation Fordert ein Klient eine IP Nummer an wird sie ihm auf unbegrenzte Zeit zugeteilt solange noch Adressen zur Verf gung stehen Sind alle Adressen verbraucht kann kein neuer Klient mehr konfiguriert werden auch wenn ein Teil der z
60. Gew nschter Majordomo Befehl u file Dateiname beim get Kommando Der HTML Code des Formulars lautet folgenderma en 11 6 Majordomo per WWW Interface ansprechen 345 lt form method POST action cgi bin major cgi gt lt Welche Liste ist gemeint gt lt input type hidden name list value evilguys gt lt Wohin soll s nach der Bestaetigung gehen gt lt input type hidden name origin value index html gt lt H3 gt Listenbenutzer Kommando absetzen lt H3 gt lt table border 1 cellpadding 4 gt lt tr gt lt td gt lt table border 0 cellpadding 4 gt lt tr gt lt td align right gt Ihre E Mail Adresse lt td gt lt td gt lt input type text name email gt lt td gt lt tr gt lt tr gt lt td align right gt Was m amp ouml chten Sie tun lt td gt lt td gt lt SELECT name action gt lt OPTION value subscribe SELECTED gt Eintrag in die Liste Subscribe lt OPTION value unsubscribe gt L amp ouml schen von der Liste Unsubscribe lt OPTION value get gt Datei download Get lt OPTION value index gt Dateiliste Index lt OPTION value which gt Info auf welchen Listen Sie sind which lt OPTION value who gt Liste der Subscriber who lt OPTION value info gt Listeninformation info lt OPTION value intro gt Begr amp uuml amp szlig ungsinfo Intro lt OPTION value lists gt Alle Mailinglisten anzeigen lists lt OPTION value help gt Hilfe help lt select gt
61. Je mehr A Sie verwenden desto geschw tziger wird das Programm Maximum vvv Danach sollten Sie durch Aufruf des Suchformulars im Webbrowser etwas suchen k nnen und auch Ergebnisse bekommen 5 5 Das Programm htdig Dieses Programm holt die HTML Dokumente per HTTP von den angegebenen Servern und parst die Dokumente nach Schlagworten f r den Aufbau der Da tenbank htdig ist also der Suchroboter des Indizierungssystems Die Arbeit des Programms kann neben den Attributen aus htdig conf auch ber einige Kom mandozeilenparameter gesteuert werden von denen wir hier nur die wichtigsten auflisten m a Verwende alternative Arbeitsdateien Die neue Datenbank wird neben der existierenden Datenbank aufgebaut So sind Suchanfragen auch w hrend der 196 5 Die lokale Suchmaschine Indizierung m glich Nachteil Doppelter Plattenplatzbedarf f r die Dauer der Indizierung m c configfile Alternative Angabe der Konfigurationsdatei m h maxhhops Begrenzung der Suche auf eine Tiefe von maxhops Links m i Verwerfen der alten Datenbank kompletter Neuaufbau m s Nach Programmende Statistik ausgeben m t ASCII Version der Datenbank erzeugen Damit k nnen auch andere Pro gramme auf den Datenbestand zugreifen m u user pass Weist htdig an bei jedem HTTP Request den Usernamen und das Pa wort mitzuschicken Authentication Method Basic Bitte den Doppel punkt zwischen user und pass nicht vergessen m v Verbo
62. Jedes bertragungsprotokoll bei dem weitere Da tenbl cke schon bertragen werden k nnen w hrend f r den aktuellen Da tenblock das ACK noch aussteht Wesentlich schneller als wenn das Proto koll jedesmal das Senden unterbricht um auf die Best tigung des Blockes zu warten Die Anzahl der ACKs die noch ausstehen d rfen bezeichnen die Window Size des Protokolls SHTTP Secure HTTP Standard zur sicheren Daten bertragung Site Sammelangebot im Internet z B WWW Auf einem Server k nnen sich mehrere Sites befinden SLIP Das Serial Line Internet Protocol dient der bertragung von IP Paketen ber serielle Leitungen zum Beispiel Modemverbindungen Obwohl kein of fizieller Standard ist SLIP sehr verbreitet Neben seiner Beschr nkung auf 418 A Glossar ein einziges Netzwerkprotokoll IP hat SLIP den Nachteil da es weder ei ne Fehlererkennung korrektur noch standardisierte Mechanismen zum Aus tausch von verbindungsrelevanten Daten IP Adressen der beiden Teilnehmer etc bereitstellt Smarthost Der Smarthost ist jener Host der f r die Zustellung von Nachrichten an dem lokalen System nicht bekannte Rechner oder Domains benutzt wird Prinzip Was ich nicht kenne kriegt der n chste Die Einstellung des Smar thost ist wichtig f r Transportprogramme wie sendmail Smiley Ur Form des Emoticons siehe dort SMTP Simple Mail Transfer Protocol Standard Protokoll zum Versand von E Mails SSI
63. Klient fordert selbstt tig eine IP Nummer vom Server an 10 4 2 Windows NT4 Zur Aktivierung des DHCP Klienten m ssen Sie folgende Installationsschritte ausf hren m Starten Sie Windows NT und ffnen Sie die Systemsteuerung mit den Men punkten Start Einstellungen Systemsteuerung 324 10 DHCP Y NetBEUI Protokoll Y NWLink IPX SPX kompatibler Transport Y NwLink NetBIOS Dienst TCP IP Protokoll Abbildung 10 4 Aktivierung von DHCP bei Windows NT 4 m Mit dem Anklicken des Icons Netzwerk gelangen Sie zum in Bild 10 4 gezeigten Fenster m Aktivieren Sie unter Netzwerkprotokolle den Eintrag TCP IP Protokoll und klicken Sie auf den Schalter Eigenschaften um zum Men von Bild 10 5 zu gelangen Nun mu nur noch die Schaltfl che IP Adresse von einem DHCP Server beziehen aktiviert werden Mit einem Klick auf den Schalter OK wird die nderung best tigt und der Rechner mu neu gebootet werden Ab dem n chsten Systemstart ist der DHCP Klientendienst aktiv und fordert automatisch seine IP Nummer vom Server an 10 4 3 Windows 2000 Bei Windows 2000 ist die Einstellung des Klienten ebenso schnell erledigt wie unter Windows 95 98 oder NT Allerdings hat sich das Aussehen der einzelnen 10 4 Installation der Klienten 325 Eigenschaften von Microsoft TCP IP 1 Novell NE2000 Adapter fe 2 el SUUMELIN ester Sanda aaa
64. Konfiguration von htDig 209 lt body gt lt html gt COMMON _DIR nomatch html Beispiel HTML Dokument das ausgegeben wird wenn keine Treffer gefunden wurden Beispiel lt html gt lt head gt lt title gt Resultate der Suche nach WORDS lt title gt lt head gt lt BODY TEXT 000000 BGCOLOR FFFFFF LINK 0000FF VLINK FFOOFF ALINK FF0000 gt lt h2 gt lt img src devil gif gt Suchresultate f amp uuml r S LOGICAL WORDS lt h2 gt lt h3 gt Keine Treffer lt h3 gt lt p gt Bitte amp uuml berpr amp uuml fen Sie die Schreibweise der des gesuchten Worte s lt p gt Wenn die Schreibweise korrekt ist und Sie mit der Option lt b gt Eines der Suchw ouml rter muss im Dokument vorkommen ODER Funktion lt b gt mehrere W amp ouml rter eingegeben haben geben Sie zus amp auml tzliche amp auml hnliche W amp ouml rter an lt p gt Wenn die Schreibweise korrekt ist und Sie mehr als ein Wort mit der Option lt b gt Alle Suchws amp ouml rter m amp uuml ssen im Dokument vorkommen UND Funkion lt b gt benutzt haben dann wiederholen Sie die Suche mit der Option lt b gt Eines der Suchw amp ouml rter muss im Dokument vorkommen lt b gt lt p gt lt p gt Sie k amp ouml nnen auch mehrere Suchbegriffe mit logischen Operatoren AND Und Verkn uuml pfung OR Oder Verknsuuml pfung NOT Negation und Klammern miteinander logisch verkn uuml pfen lt p gt lt hr noshade size 1 gt lt
65. Nach einer einf hrenden bersicht zeigen wir Ih nen wie mit einfachen Skripten statistische Daten gewonnen werden k nnen und behandeln dann eines der erw hnten Programme den Webalizer dessen Ausgabe Sie auch auf www netzmafia de bewundern k nnen 6 1 Plattformunabh ngige Tools m Bazaar Analyzer Ein Logfile Analysator der mit jedem Java f higen Browser funktioniert Viele Features und Grafikausgabe Die Standardversion ist kostenlos a 3D UWwebmon ist ein Java Applet das mit jedem Java f higen Browser funktioniert Grafik ausgabe konfigurierbar m WatchWise erlaubt Echtzeit Analyse und statistik verwendet eine eigene Datenbank m Webtrax ist ein freies Perl 5 Programm f r das NCSA Combined log format 6 2 Unix Tools m http analyze Das Programm von Stefan Stapelberg vereint viele Funktionen anderer Statistikprogramme und ist freie Software http www netstore de Supply http analyze 220 6 Webserver Statistik m Sawmill fr her Chartreuse Cartouche kann beliebige Logdate Formate lesen und detaillierte grafische Statistiken liefern Es kann als CGI Programm die Statistik auch on the fly liefern Konfiguration ber ein WWW Interface http www flowerfire com sawmill m The Webalizer schnelles freies Analyseprogramm das die Statistiken im HTML Format ablegt F r verschiedene Logformate Detaillierte Statistiken http www mrunix net webalizer m Checklog ist ein einfaches Perl
66. Name schon ahnen l ft werden drei Schritte ausgef hrt 1 Der Client sendet eine Synchronisationsnachricht SYN an den Server 2 der Server antwortet mit einem entsprechenden Acknowledgement ACK SYN 3 darauf sendet der Client sein Acknowledgement ACK an den Server 13 7 Angriffe ber das Netz 379 Werfen Sie gegebenenfalls noch einmal einen Blick auf Bild 1 9 Mit die sen drei Schritten ist das Handshaking abgeschlossen Nach Schritt 2 be findet sich auf dem Server ein Eintrag f r die Verbindung der bestehen bleiben mu bis der Client seine Antwort gesendet hat und es ist ein bertragungspuffer im Speicher reserviert Eine Verbindung in diesem Stadium nennt man halboffen Eine SYN Attacke nutzt die Tatsache da der Server die halboffenen Verbindungen speichern mu bis er eine Ant wort darauf erh lt Wird diese Antwort allerdings nie gesendet mu der Server die halboffene Verbindung trotzdem im Speicher behalten bis ei ne vorgegebene Zeit Timeout abgelaufen ist Erzeugt ein Angreifer eine gr ere Menge dieser halboffenen Verbindungen innerhalb kurzer Zeit so ist abzusehen da der Speicher der Queue irgendwann voll ist Nun ist es dem Server nicht mehr m glich eine weitere TCP Verbindung aufzubau en Hacker Angriffe ber Ports Der erste Schritt eines Hackers Portscans verraten welche Dienste auf einem Rechner aktiv sind und geben auf diese Weise Hinweise auf Angriffspunkte Alle TCP
67. Person durchgegeben hat erh lt er als Ant wort die gew nschte Nummer aus einem Verzeichnis Genauso l uft eine DNS Abfrage ab Gibt ein Benutzer in seinem Webbrowser zum Beispiel die Adresse http www VereinGegenZuLangeDomainnamenEV de ein dann sorgt ein Teil der Netzwerk Software auf seinem lokalen Rech ner daf r da ein Name Server nach der IP Adresse des Rechners www vereingegenzulangedomainnamenev de gefragt wird Dieser Soft wareteil wird als Resolver bezeichnet und entspricht in obigem Beispiel dem Kunden der die Auskunft anruft Welche IP Adresse dieser Server hat mu dem Klientenrechner nat rlich bekannt sein genauso wie der Kunde eine einzige Te lefonnummer wissen mu n mlich die der Auskunft selbst Auf der Serverseite arbeitet eine Software die als Domain Name Server oder kurz Name Server bezeichnet wird und anhand einer Datenbank Zone File die passende IP Nummer zum Rechnernamen liefert oder einen anderen Name Server fragt wenn die Adresse unbekannt ist Da nat rlich nicht jeder Server alle Adressen kennen kann ist das Namenssystem des DNS hierarchisch aufgebaut Es besitzt eine Baumstruktur An der Wurzel des Baumes sitzen die sogenannten Root Server die die IP Adresse der Haupt ste des Baumes kennen Ein Hauptast ist ein Server der f r die Verwaltung einer soge nannten Iop Level Domain wie zum Beispiel de zust ndig ist Dieser Server kennt wiederum die Adressen aller DNS Server
68. Platten den IDE Platten vorziehen Die Performance Werte von IDE und SCSI sind inzwischen zwar weitestgehend gleich durch die intelligentere Controller Architektur entlasten SCSI Platten den Prozessor jedoch erheblich Zudem ist eine Erweiterung mit mehr als vier Fest platten beim SCSI Bus kein Problem 4 8 2 Server Konfiguration Dateien in kurzen Pfaden und in Verzeichnissen mit wenig Dateien werden schneller geschrieben und gelesen als lange Pfadangaben halten Sie also das Webverzeichnis und auch den Zugang zu den Logfiles m glichst flach Vermei den Sie weiterhin generell symbolische Links im HTML Baum Der Grund Unter Unix sind auch symbolische Links Dateien Bei einem Zugriff sind demnach zwei Dateizugriffe notwendig einer f r den Link und ein weiterer f r die tats chliche Datei Bis zur Version 1 3 des Apache Webservers war ein Reverse DNS Lookup vor eingestellt Bei jedem Zugriff wird dabei zu jeder IP Adresse des anfragenden Clients der Domain Name abgefragt und mitprotokolliert Eine unsinnige und zeitaufwendige Angelegenheit die genausogut beim Auswerten der Logdateien und auf einem anderen Rechner ausgef hrt werden kann Schalten Sie daher den Reverse DNS Lookup auf jeden Fall aus HostNameLookups off Bei jedem CGI Aufruf startet der Rechner einen eigenen Proze f hrt das Skript aus und beendet den Proze wieder Sie sollten sich also genau berlegen wann Sie CGI Programme wirklich ben tigen Oft lass
69. Rechte Offnen Schreiben und Schlie en auf die Drucker Warteschlange m create mode 0700 Wie bei einer Dateishare kann eine Rechtemaske f r die Spooldateien angegeben werden Mit dem Wert 700 wird garantiert da we der Gruppe noch andere Benutzer irgendwelche Rechte auf die erzeugten Files haben m directory Hier wird angegeben in welches Verzeichnis die Spooldateien ab gelegt werden Wenn Sie f r das Spool Directory nicht das globale tmp verwenden wollen son dern ein anderes Verzeichnis dann beachten Sie bitte folgendes Damit alle Anwender auf das Verzeichnis schreiben d rfen mu es nat rlich die Unixrechte rwxrwxrwx Maske 777 besitzen Damit k nnte aber Benutzer A die Daten von Benutzer B l schen Das ist nat rlich kein besonders sicherer Zustand Abhilfe schafft das Setzen des sogenannten Sticky Bits Mit ihm darf jeder Benutzer nur seine Dateien l schen und nicht die der anderen Anwender Die Vorgehensweise zum Anlegen eines gemeinsam genutzten Verzeichnisses samba spool f r Warteschlangendateien ist also nat rlich als root mkdir samba spool chmod 777 samba spool chmod t samba spool Wenn Sie anschlie end mit 1s al die Rechte des Verzeichnisses berpr fen sehen Sie folgendes das t in den Rechten steht f r das gesetzte Sticky Bit drwxrwxrwt 7 root root 21504 M r 8 15 00 drwxr xr x 22 root root 1024 Feb 8 16 03 Nun kann jeder in das Verzeichnis schreiben aber nur d
70. Schnittstelle ooooooomo 49 SUID Bit u AH ais 52 Secondary DNS 2222 261 sulker script ooooococoocoo m o 385 Secondary Nameserver 267 SWAT naar 308 Secured Socket Layer 157 SYN Attacks ooooooocooommo 376 sendmail 67 81 143 348 System Administrator 363 392 sendmail cf ici cris 143 Systemstart 53 Server Message Block 276 Systemverwalter 363 Server sichern 381 Server Level Security 29 T Server Tuning en DT Deere ers 33 Serverstandort 360 TCP IP desd ase 17 23 25 Service Overloading 376 Telnet Loca nn en 24 SGID Bit 1 2 2 0 sees eee eee eee 52 traceroute uses 50 Share Level Security 297 Sharenamen 291 U In ee U EE 33 SIDING comicos Ri 250 Usor tee 148 sichere Kommunikation 157 EE Sicherheit ee NEEN 4 357 ee nn U serkemnung mera Sieg e Sg 130 Sicherheits Empfehlungen 391 Sicherheits Infos 395 Sicherheits L cken 368 V Sicherheits Tools 393 virtualhost 0 008 144 Sicherheitsmodi bei Samba 297 virtuelle Server 140 SMB A a a 276 Virtuelle Server rc config 141 Smb cont vemo idea 277 virtuelle Server sendmail 143 5mbp asswd scirrerseisrarssseioami 288 virtuelle WWW Server 144 SMTP Senn 25 virtusertable
71. Seite einbezogen allerdings werden die Meta Tags mit einer h heren Gewichtung einbezogen Bei Bedarf kann ein Auszug des Bereichs in dem der Suchbegriff gefunden wurde ausgegeben werden p Per Voreinstellung unterst tzt htDig die Meta Tags htdig keywords htdig noindex htdig email htdignotifiation date und htdig email subject Die letzten drei dienen dazu ein Verfallsda tum in eine Seite einzubauen Wenn das Datum berschritten ist schickt htDig eine E Mail an die angegebene Adresse Zus tzlich kann man beliebige weitere Meta Tags definieren die bei einer Suche beachtet werden sollen z B keywords oder description Die Optik des Suchergebnisses kann leicht an die eigenen W nsche angepa t werden m Umlaute im Suchbegriff werden unterst tzt m Bisher wird bez glich Datenformat nur zwischen HTML Dokumenten und Textdateien unterschieden Durch den Aufruf externer Programme lassen sich auch PDF oder Word Dokumente aber auch andere Dateien indizieren F r die Installation des Pakets holt man sich die Quellen von http www htdig org Sie befinden sich im Verzeichnis files F r ver schiedene Systeme werden auch Bin rdistributionen unter files binaries angeboten htDig ben tigt viel Speicherplatz f r die erstellten Datenbanken Es gibt keine exakte Formel f r den Plattenplatzbedarf der von der Anzahl der indizierten Do kumente abh ngt Die Entwickler geben jedoch einen ungef hren Anhaltspunkt Um ein Update der
72. Sie Schreib rechte so m ssen Sie dies in der smb conf mit dem Befehl writeable yes explizit gestatten Noch eine weitere Eigenschaft erh lt die obige Share automa tisch sofern es in der Konfigurationsdatei nicht angegeben wurde Sie ist browse bar browseable das hei t ihr Name wird angezeigt wenn man unter Windows in dem Fenster Netzwerkumgebung auf den Servernamen klickt Bild 9 9 zeigt die Ausgabe f r das obige Beispiel Menetekel Al x Datei Bearbeiten Ansicht Wechselnzu gt gt SS Smile Vionvarts Aufwarts Abbildung 9 9 Browsebare Ressourcen Manchmal ist das Anzeigen der Sharenamen weniger erwtinscht insbesondere bei Heimatverzeichnissen oder speziellen Installations Shares Sie sollen nur dem 294 9 Samba Besitzer selbst oder bestimmten Gruppen sichtbar sein F r jede einzelne Freigabe l t sich das mit dem Kommando browseable no einstellen Nun folgt ein etwas komplizierteres Beispiel progs comment Softwarearchiv path export software readonly yes browseable yes install comment Installations Verzeichnis path export readonly no write list admins browseable no force create mode 665 force directory mode 775 Hier wird wie im ersten Beispiel ein Unterverzeichnis export software freigegeben Unter dem Freigabenamen progs k nnen Benutzer auf die darin installierten Dateien zugreifen Dabei wurde explizit angegeben da es sich u
73. Sitzungsdaten vorliegen l t sich die Verbindung ohne neue Aushandlung wieder aufnnehmen Zur Erh hung der Sicherheit werden aus dem gespeicherten Master Key neue Sitzungsschl ssel f r die einzelnen Verschl sselungsverfahren generiert So wird sichergestellt da bei wiederaufgenommenen Verbindungen jedesmal neue Schl ssel f r die Daten bertragung benutzt werden 4 14 2 Zertifikate Will man eine sichere Verbindung mit einem Kommunikationspartner aufbauen so stellt sich das Problem der Identifizierung Wie kann ich sicherstellen da mein Partner auch tats chlich derjenige ist der er vorgibt zu sein Und wie kann ich eine solche Identit tspr fung automatisieren Man kann diese Probleme auf mathematische Weise l sen indem man asymme trische Verschl sselungsverfahren verwendet Jeder Kommunikationspartner be sitzt ein Zertifikat Es enth lt neben allgemeinen Informationen zur Person bzw Organisation auch den ffentlichen Schl ssel public key des Zertifikatinhabers Diese Daten sind mit einer Pr fsumme versehen und von einer vertrauensw rdi gen Instanz trusted third party unterschrieben Diese Instanz auch certificate authority oder kurz CA genannt bildet das Bindeglied zwischen den Kom munikationspartnern denn beide Partner vertrauen dieser Instanz und besitzen dessen Zertifikat Das bedeutet auch da die CA ihren eigenen Schl ssel sorgsam 162 4 WWW Server Apache sch tzt die Identit t der z
74. Sowohl die Informationen im Kopf der E Mail Nachricht als auch der eigentli che Text werden im Klartext vom Sender zum Empf nger transportiert Jeder der ber ausreichende Zugriffsrechte auf einem Durchgangssystem verf gt k nnte die Post mitlesen oder verf lschen Die einzige befriedigende L sung besteht darin zumindest den Text zu chiffrieren Ein anderes Problem der Sicherheit von E Mail besteht in der M glichkeit einen Brief zu f lschen Da in der Regel das From Feld Aufschlu ber den Absender gibt kann nur die Absch tzung der Wahrscheinlichkeit helfen zu beurteilen ob ein Brief von president whitehouse gov tats chlich vom ame rikanischen Pr sidenten stammt Auch in diesem Fall verschafft Verschl sse lung ansatzweise Abhilfe indem die Briefe mit einer digitalen Signatur verse hen werden Ohne weitere Ma nahmen findet bei Mailsystemen keine berpr fung der Absenderadressen statt Somit kann diese Angabe beliebig gef lscht werden Beispiel die Meldungen des fernen Mailservers werden durch einen dreistel ligen numerischen Code eingeleitet 13 5 Pa wort raten social engineering 369 telnet victim smtp Trying 192 168 253 250 4 Connected to 192 168 253 250 Escape character is 220 victim goodguys de ESMTP Sendmail 8 8 8 8 8 8 Thu 14 Oct 1999 15 06 52 0200 mail from god heaven org 250 god heaven org Sender ok rept to deneme 250 deneme Recipient ok data
75. System weiterzugeben Aber auch bei einzelnen Verbindungen kann das F lschen von IP Adressen Anwendung finden wie dies im n chsten Abschnitt beim Hijacking der Fall ist Es sollen nun einige M glichkeiten besprochen werden die sich durch das IP Spoofing ergeben Eine komplette Auff hrung ist an dieser Stelle nicht m glich da diese Gruppe von Security Attacks sehr umfangreich ist Route Spoofing Dabei werden falsche Routing Informationen an Router wei tergegeben um eine Umleitung von Verbindungen auf den Angriffsrechner zu erreichen Es existieren mehrere Ansatzm glichkeiten um eine solche Attacke durchzuf hren hier nur zwei dieser M glichkeiten RIP Route Spoofing Das Routing Information Protocol RIP wird verwen det um dynamische Routing Informationen in lokalen Netzwerken zu verbreiten Es bietet damit aber einem Angreifer die M glichkeit falsche Routing Informationen an einen Rechner und alle Gateways auf der Rou te dorthin zu versenden Diese Informationen werden in der Regel unge pr ft bernommen Damit ist es dem Angreifer m glich einem Rechner falsche Routing Informationen zu bergeben und so die Verbindungen auf den Rechner des Angreifers umzuleiten ICMP Route Spoofing Bei dieser Art des Angriffs wird ausgenutzt ber die Meldung ICMP redirect Routing Informationen an den Absender eines IP Pakets zu bermitteln Ein Angreifer kann dies nutzen das Routing auf seinen eigenen Rechner umzuleiten
76. Voreinstellungen vorausgesetzt werden d rfen und gewisse Sicherheitsma nahmen zu beachten sind Ein recht bekanntes Programm das eingehende Mail vorsortieren oder unerw nschte Mail gleich l schen kann ist beispielsweise procmail 2 2 5 Mailrelay und filter sendmail in der Version ab 8 9 3 erlaubt per Default nicht mehr den Mailserver als Mailrelay zu mi brauchen Ein offenes Mailrelay erlaubt es Spammern ber Ihren Rechner Mails an andere zu schicken Damit jetzt Rechner aus Ihren eigenen Domains den Mailserver als Relay benutzen d rfen tragen Sie diese in die Datei etc mail access ein Zum Beispiel netzmafia de RELAY sonstwer de RELAY musteruser provider de OK Dann wieder die Datenbank anlegen mit usr sbin makemap hash etc mail access db lt etc mail access Sie k nnen alternativ in die Datei etc mail relay domains Ihre internen Netze eintragen beispielsweise f r die beiden Class C Netze 192 168 0 0 und 192 168 1 0 80 2 E Mail Server 192 168 0 192 168 1 Mehr hierzu steht in der Dokumentation zu sendmail speziell in usr share sendmail README Aber die access db dient noch weiteren Zwecken Betrachten wir den allge meinen Aufbau Jede Zeile hat links eine Rechneradresse Mailadresse f r From oder nur einen Usernamen und rechts getrennt durch Tabulator eine Regel Der Regel Teil sieht neben RELAY noch folgende weitere M glichkeiten vor Tabelle 2 1 Tabelle 2 1 access R
77. Wird in Fehlermeldungen zur Beschreibung des Pro gramms benutzt Cannot s the file Wenn z B die Konvertierung fehlschl gt und description aus dem Text ununzip besteht lautet die Fehlermel dung Cannot unzip the file Werfen wir einen Blick auf einen Mustereintrag in der ftpconversions Datei 108 3 FTP Server Z bin compress c s T REG 0 COMPRESS compress Es wird eine normale Datei immer dann komprimiert wenn der Benutzer einem Dateinamen die Erweiterung Z hinzuf gt Das doc examples Verzeichnis in der Softwareversion bietet das folgende Beispiel f r ftpconversions Z 3 usr bin compress d c s T_REG T_ASCIT 0_UNCOMPRESS UNCOMPRESS Z usr bin compress c 3 T_REG O_COMPRESS COMPRESS ECK usr bin gzip cd s T_REG T_ASCII O_UNCOMPRESS GUNZIP gz usr bin gzip 9 c s T_REG O_COMPRESS GZIP tar bin tar c f s T_REG T_DIR O_TAR TAR tar Z bin tar c Z f s T_REG T_DIR O_COMPRESS O_TAR TAR COMPRESS tar gz bin tar c z f s T_REG T_DIR O_COMPRESS O_TAR TAR GZIP 3 4 6 Die Datei ftpaccess ftpaccess enth lt Optionen Sicherheit die den Umfang der Dienstleistungen des Servers festlegen Diese Datei erm glicht sehr subtile und umfangreiche Ein stellungen Man kommt hier um das Studium der 22seitigen Manualpage nicht herum Wir greifen an dieser Stelle nur einige grundlegende und wichtige Punkte heraus wu ftpd kennt drei Benutzertypen m anonymous Ben
78. Zugriffs die sogenannte Access Time abzuspeichern Diese Operation kostet nat rlich Zeit und kann die Gesamt geschwindigkeit von ausgelasteten Proxies erheblich verringern Daher empfiehlt es sich dieses Verhalten beim Mounten der Cache Platten abzuschalten Dies ge schieht mit der Option noatime F r das obige Beispiel mit drei Cacheplatten lautet der Auszug aus der etc fstab dev hdb1 squid cachel ext2 noatime 1 2 dev hdcl squid cache2 ext2 noatime 1 2 dev hddl squid cache3 ext2 noatime 1 2 Ein weiterer Ansatzpunkt f r Optimierungen sind die zahlreichen Parameter in der squid conf Bevor man sie jedoch ver ndert sollte man den Zustand des Caches im laufenden Betrieb ber einen gewissen Zeitraum beobachten Zu die sem Zweck stellt Squid eine Schnittstelle zur Verf gung den Cache Manager Er liefert eine ganze Reihe interner Daten ber den Cache Proze Dazu geh ren m Belegter Speicher m Anzahl der belegten Datei Deskriptoren m Auslastung des Caches Kapitel 8 Name Service DNS 8 1 DNS Grundlagen Wie bereits im ersten Kapitel beschrieben handelt es sich beim Domain Name System oder kurz DNS um einen Dienst der zu einem Rechnernamen die zu geh rige IP Nummer liefert und umgekehrt Das ist in etwa mit der Funktions weise einer Telefonauskunft vergleichbar Der Kunde ruft bei einer bestimmten Telefonnummer an und fragt nach der Rufnummer eines Teilnehmers Nachdem er Name und Wohnort der gesuchten
79. aliases Mailsysteme die auf sendmail basieren bieten ber die Forward Datei hinaus einige weitere Features Die Datei etc aliases ist hier von besonderem Inter esse da sich damit einige Mail Dienste realisieren lassen m Durch Eintrag eines Mail Alias kann entweder eine Mailadresse dauerhaft um geleitet werden ohne forward im Home Verzeichnis des Users Man tr gt einfach den Usernamen und die Zieladresse ein z B plate plate netzmafia de m Es lassen sich aber auch lokale Aliase eintragen beispielsweise f r die Adres sen die jedes System haben sollte postmaster holzmann webmaster plate admin root 78 2 E Mail Server Oder f r Standard Mailadressen wenn die Mailadressen nach au en bei spielsweise einheitlich aus Vorname und Name bestehen sollen Joerg Holzmann holzmann Juergen Plate plate m Mit Hilfe der Alias Datei ist es z B auch m glich Mails von ehemaligen Usern sinnvoll weiterzubearbeiten Wenn der User ehemalig nicht mehr in der Fir ma ist so bekommt die Datei etc aliases eine Zeile mit dem Eintrag ehemalig aktuelle adresse ehemalig Der Benutzer existiert also nur noch als Alias seine Mails werden an die ange gebene aktuelle Adresse automatisch weitergeleitet Nach einigen Monaten ist es dann sinnvoll an die aktuelle Adresse ein redirect anzuh ngen der Eintrag in etc aliases sieht dann folgen derma en aus ehemalig aktuelle adresse ehemalig redirect Zusamme
80. alle weiteren Fragen an diesen Server richten soll Mit Hilfe des Kommandos ls provider de fordern wir ein Listing der gesamten Zone provider de an und erhalten eine Liste aller Hostnamen und IP Nummern die der Betreiber der Domain provider de ver ffentlicht Besser konfigurierte Nameserver erlauben ab BIND 8 Zonetransfers auf die Secondary Server einer Domain einzuschr nken Je Kommandos von ande ren Hosts funktionieren dann nicht Hat eine Domain mehrere Nameserver ist es unter Umst nden lohnend diese nacheinander durchzuprobieren Viel fach ist der Primary Nameserver restriktiv konfiguriert die Secondaries liefern dennoch ein Listing der Zone Sicherheitsbewu te Netzbetreiber setzen Nameserver f r Internet und Intra net getrennt auf Schlie lich braucht es niemanden zu interessieren welche Rechner in den B ros einer Firma laufen und wie diese heien Statt dessen ist vollkommen ausreichend die Namen und Nummern der Rechner zu pu blizieren die Dienste f r die ffentlichkeit bringen also etwa der Web der Name und der Mailserver einer Domain 13 7 Angriffe ber das Netz 377 DNS Spoofing Die im Internet bliche Umsetzung von Hostnamen in IP Adressen ber das Domain Name System DNS bietet eine weitere M glich keit falsche IP Adressen an einen Rechner weiterzugeben Damit ist beispiels weise folgende Attacke m glich Bild 13 2 Hacker DNS Opfer DNS Client A mS Client fragt nach
81. ausgel st werden Durch den Abbruch der Verbindung durch eine der beiden Seiten wird der gesamte Vorgang beendet HTTP ist auch ein zustandsloses Protokoll was bedeutet da der Server jede Anfrage eines Clients ohne jede Vorgeschichte behandelt Nach Beendigung der Verbindung bleibt nichts weiter zur ck h chstens ein Eintrag im Logfile Diese Tatsache birgt Probleme in sich wenn die Anwendung eine Historie ben tigt z B das F llen eines Warenkorbs Man behilft sich m mit Formularen welche die Vorgeschichte in Form unsichtbarer Felder mit sich tragen m mit Cookies die es erlauben den Client zu identifizieren m oder mit Java Applets welche die Vorgeschichte auf den Clientrechner verla gern 4 1 1 Struktur der HTTP Botschaften Jede Kommunikation zwischen zwei WWW Programmen besteht aus HTTP Botschaften die in Form von Anfragen und Antworten zwischen Client und Ser ver ausgetauscht werden Eine HTTP Botschaft HTTP Message kann entweder ein Simple Request eine Simple Response ein Full Request oder eine Full Response sein Die beiden zuerst genannten Botschaftstypen geh ren zum HTTP 0 9 Standard Die beiden letzten Typen geh ren schon zum HTTP 1 0 4 1 2 Allgemeinfelder des Botschaftskopfes Jedes der Felder eines HTTP Botschaftenkopfes weist die gleiche Struktur auf Im RFC 822 wurde definiert da jedes Feld mit einem Feldnamen und dem Feldin halt erscheint Auf den Feldnamen mu unbedingt ein Doppelpunkt fo
82. bedeutet da eine Klienten zugriffslizenz belegt ist Jede dieser Lizenzen kostet Geld Daher ist es in gr eren Netzen ein erheblicher Kostenvorteil im Dom nenmodus zu fahren der nach Be enden der Authentifizierung sofort wieder die Lizenz f r andere Rechner freige ben kann Um den Samba Server zur Dom ne hinzuzuf gen m ssen Sie folgende Schritte ausf hren m Zun chst mu der Samba Server dem NT PDC bekanntgemacht werden Da zu m ssen Sie mit NTs Servermanager f r Dom nen seinen Namen als Win dows NT Workstation oder Server eintragen m Den Samba Server stoppen wenn er schon l uft zum Beispiel mit etc init d smb stop m Am Sambaserver mit dem Kommando smbpasswd j Dom nenname r Na me des PDC den Rechner zum Mitglied der Dom ne machen p Die smb conf ndern und zum Beispiel f r die Dom ne NETZBUCH mit dem PDC NTPDC und dem BDC NTBDC eintragen global security domain workgroup NETZBUCH encrypt passwords yes password server NTPDC NTBDC m Danach kann der Server zum Beispiel ber etc init d smb start wie der gestartet werden 9 8 Login Server In den bisherigen Abschnitten dieses Kapitels haben Sie erfahren wie man den Samba Server konfiguriert damit er Plattenplatz und Drucker zu Verf gung stellt Mit dieser allgemeinen Konfiguration ist es in der Praxis jedoch nicht ge tan Der Server sollte noch eine Reihe von Diensten zur Verf gung stellen die Benutzern das Leben leicht
83. bin procmail f exit 75 LOGIN LOGIN ist der Loginname des jeweiligen Users Neuere Versionen von sendmail verwenden eine restricted shell der obige Aufruf liefert dann eine Fehlermeldung In diesem Fall sollte man den Teil IF S weglassen oder einen Shellscript Aufruf zwischenschalten Die Konfiguration erfolgt ber die Datei procmailrc Zu diesem Zweck mu man als User eine Datei procmailrc im eigenen HOME Verzeichnis anlegen welche die Konfiguration von procmail bernimmt Diese Datei enth lt dabei ei ne Liste von Regeln Receipe genannt ber die man Mails aufgrund bestimm ter Mustern im Header und oder Body bzw eine Kombination mehrerer sol cher Muster ausfiltern kann Ein Receipe definiert eine Bedingung Text im Feld Empf nger oder Absender und eine Aktion Weiterleiten L schen etc welche ausgef hrt wird wenn die Bedingung Wahr erf llt ist Wenn die Bedingung eines Receipes Wahr ergibt werden die nachfolgenden Receipes ignoriert Die Receipes m ssen genau wie angegeben geschrieben werden Wenn auch nur ein Receipe syntaktisch fehlerhaft ist kann die E Mail Sortierung zu unerwarteten Er gebnissen f hren Die Aktionszeilen in einem Receipe d rfen empfangene Mails auf keinen Fall wieder an die eigene Domain weiterleiten ein endloser Mail Loop kann entstehen An jede dieser Regeln ist eine Aktion gekoppelt die das weitere Schicksal einer auf diese Wei
84. chte die Seite index html vom Server www veryfar com laden Dazu baut Station A zun chst eine Verbindung zum loka len Proxy Rechner auf Der sucht die geforderte Datei in seinem Cache Speicher Ist sie dort noch nicht vorhanden fordert der Proxy die Seite von www veryfar com an speichert sie im Cache und liefert sie anschlie end an Station A aus Die Warte zeit f r Benutzer A ist nahezu die gleiche als h tte er ohne Proxy auf den entfern ten WWW Rechner zugegriffen Interessant wird es aber wenn zu einem sp teren Zeitpunkt der Benutzer an Station B die selbe Seite anfordert dann ist sie bereits im Cache des Proxies Da der Proxy Rechner im Intranet steht f llt der Zugriff f r Benutzer B wesentlich rascher aus als vorher f r A Neben der Verk rzung der Anforderungzeit von Dokumenten sorgt der Proxy Rechner auch f r eine Trennung zwischen dem lokalen Rechner und einem Ser ver im Internet Die lokale Station fragt immer nur den Proxy nach Dokumenten nur der Proxy baut Verbindungen zu externen Rechnern auf Wegen dieses Kon zeptes werden Proxies auch in Firewalls integriert Stellvertretend f r die loka len Arbeitsstationen stellt die Firewall Anfragen nach HTML Seiten an Server im Internet Bild 7 3 Die lokalen Stationen k nnen keine direkte Verbindung nach au en aufbauen Beim Einsatz von Cache Speichern egal ob im Browser oder auf einem Proxy Rechner ergibt sich immer ein Problem Die Information der lokalen Kopie kann ver
85. dae dee ng 203 5 10 2 Bild Dateien sacs pore ee 207 5 1033 Wortlisten odiados 2 ea eR a E a 207 5 10 4 Texte der Ergebnisanzeige o e so cosmo p o 208 5 10 5 Das Suchformular 2 2 2 aoa Comer 210 5 10 6 rundig Erzeugen der Datenbank 212 5 11 PDF und MS Word Dokumente 213 5 12 Dokumente mit nationalen Zeichens tzen 215 5 13 Meta Tags f rhtDig o ooo e 216 5 14 htDig mit gesch tzten Verzeichnissen o o ooo o 217 5 15 htDigmalzWw l lt s socs mssi ee sn ea o ee eS 217 6 Webserver Statistik 219 6 1 Plattformunabh ngige Tools 219 6 2 Unx Tools 62 acc ae hho aw Bb Re REA Ee oR Oe eS 219 6 3 Einfache Statistik Iools ooo ee 221 6 4 Zugriffe auswerten mit Webalizer 226 64 1 Installation ips 2er 822228 2 San en dr 227 64 2 Konfiguration ENEE nennen 227 643 Ausf hren lt s se csee saoe na i kaak e i oe a aa 230 6 4 4 FTP und Proxy Statistik mit Webalizer 230 6 5 Weitere Protokollierungs Tools o o ooo ooo o 231 Inhaltsverzeichnis 9 7 Proxy Cache 233 71 Proxy Grundlagen sis aea d aei a ee 233 7 2 Installation und Konfiguration aaaea a 236 72 1 Kleine Installation 240 7 2 2 Gro e Installation ss sa 4 2 ee es 220 2 EN a 241 72 3 Squid als transparenter Proxy 2 22222 242 73 Konfiguration der Webbrowser 243 7 3 1 Netscape
86. den Client Anfragen an den Nameserver stellen Resolver sind einem Nameserver zugeordnet ist er nicht in der Lage Anfragen zu beantworten anderer Teilbereich des Domain Name Space kann er aufgrund von Referenzen andere Nameserver kontakten um die Informati on zu erhalten Referenzen Zus tze User Antwort Anfrage Antwort Datenbank Anfrage Anfrage Name Resolver Antwort Datenbank Zus tze Referenzen Abbildung 1 11 Schema des DNS Zugriffs Die Baumstruktur des DNS soll nun im weiteren untersucht werden Ausgehend von der Wurzel Root folgen die Top Level Domains Diese Top Level Domains spalten sich in weitere Unterdomains auf Der Nameserver des DNS verwaltet also einzelne Zonen die einen Knoten im DNS Baum und alle darunterliegenden Zweige beinhalten Auf jeder Ebe ne des DNS Baums kann es Nameserver geben wobei jeder Nameserver seinen n chsth heren und n chstniedrigeren Nachbarn kennt Aus Sicherheitsgr nden gibt es f r jede Zone in der Regel mindestens zwei Nameserver primary und se condary wobei beide die gleiche Information halten Nameservereintr ge k nnen nicht nur die Zuordnung Rechnername IP Adresse enthalten sondern neben anderem auch weitere Namenseintr ge f r einen einzigen Rechner und Angaben f r Postverwaltungsrechner einer Domain MX mail exchange Auf diese Weise 1 5 TCP IP unter UNIX und Linux 43 l t sich die Adresse noch verk rzen indem der Re
87. der ICMP Message haben folgende Bedeutung Type Identifiziert die ICMP Nachricht 0 Echo reply 3 Destination unreachable 4 Source quench 5 Redirect Change a Route 8 Echo request 11 12 13 14 15 16 17 18 Time exceeded for a datagram Parameter Problem on a datagram Timestamp request Timestamp reply Information request Information reply Address mask request Address mask reply 32 1 Einf hrung m Code Detailinformation zum Nachrichten Typ m Checksum Pr fsumme der ICMP Nachricht Datenteil des IP Datagramms Identifier und Sequence Nummer dienen der Zuordnung eintreffender Ant worten zu den jeweiligen Anfragen da eine Station mehrere Anfragen aussen den kann oder auf eine Anfrage mehrere Antworten eintreffen k nnen Wenden wir uns nun den einzelnen Nachrichtentypen zu m Echo request reply berpr fen der Erreichbarkeit eines Zielknotens Es k nnen Testdaten mitgeschickt werden die dann unver ndert zur ckge schickt werden siehe Ping Kommando unter UNIX Destination unreachable Im Codefeld wird die Ursache n her beschrieben 0 Network unreachable 1 Host unreachable 2 Protocol unreachable 3 Port unreachable 4 Fragmentation needed 5 Source route failed m Source quench Wenn mehr Datagramme kommen als eine Station verarbei ten kann sendet sie diese Nachricht an die sendende Station m Redirect wird vom ersten Gateway an Hosts im g
88. der die Daten der Dom ne kopiert Alle anderen DNS Abfragen sollen aus Performance Gr nden ausschlie lich an den Provider DNS gehen und nicht an bergeordnete Server Die etc named conf des sekund ren Servers lautet damit options Arbeitsverzeichnis fuer die DNS Daten directory var named forward only nur weiterleiten keinen Server selbst fragen forwarders Anfragen nur ueber diesen Server 270 8 Name Service DNS 192 168 132 252 y allow transfer 192 168 132 252 Zonen Transfer nur vom Provider aus y l zone in type hint file root servers Tabelle mit den Root Servern y zone 0 0 127 in addr arpa in fuer Reversed Loopback type master file 127 0 0 rev zone netzmafia de in Domaene netzmafia de vorwaerts aufgeloest type slave sekundaerer Server file netzmafia zone Name der Tabelle masters 192 168 132 252 IP Adr primaerer Server y zone 131 168 192 in addr arpa in Domaene netzmafia de rueckwaerts type slave sekundaerer Server file 192 168 131 rev Name der Tabelle masters 192 168 132 252 IP Adr primaerer Server y y In der options Sektion der Datei ergeben sich kaum nderungen zwischen der Installation eines Cache Only und eines sekund ren Servers Lediglich eine Zeile ist erg nzt worden Der Befehl allow transfer sorgt daf r da aus Sicherheitsgr nden ein Transfer der Zonendaten nur
89. deren Arbeit der Apache 2 0 automatisch durchf hrt Auch Port und BindAddress fehlen ganz zum Setzen von IP Adressen und Ports dient nur noch Listen das allerdings nur noch IP Adressen als Parameter haben sollte Derzeit werden zwar Hostnamen noch ausgewertet was sich aber bei einem sp teren Release ndern kann Servernamen f r virtu elle Server und Weiterleitung werden mit ServerName konfiguriert Wichtig ist auch alle LoadModule Eintr ge nach alten Modulen zu durchforsten und gege benenfalls einzelne Zeilen zu l schen Unter anderem werden mod_log_referer und mod Log agent durch mod_log_config nachgebildet was man eigentlich schon bei Version 1 3 h tte machen sollen Es gibt also einige gute Gr nde f r einen Umstieg auf 2 0 jedoch auch etliche Argumente f r ein Verharren auf Version 1 3 F r einen Wechsel sprechen Per formance und Stabilit t letzteres haupts chlich bei der Windows Version Wer also nicht auf spezielle Module oder Bibliotheken von Fremdanbietern angewie sen ist kann jetzt schon den Umstieg wagen Schlimmstenfalls erreicht man mit dem MPM prefork eine recht gute 1 3 Kompatibilit t Sp testens bei der Version 2 2 sollten nahezu alle Umstiegsschwierigkeiten beseitigt sein Aber auch wenn Sie jetzt noch bei der Version 1 3 bleiben ist das kein Problem Auch wenn diese Version nicht weiterentwickelt wird so werden doch alle auftretenden Bugs und Sicherheitsl cken weiterhin beseitigt
90. des unter passwd program aufgef hrten Programms auf eine Zeichenkette New password gewartet wird Das Zeichen steht dabei f r eine beliebige Zeichenkette Sobald diese Text zeile ausgegeben wurde liefert Samba das neue Pa wort das in der Variablen sn enthalten ist gefolgt von einem Zeilenvorschub n Die n chste Zeichen kette fragt erneut nach dem Pa wort Auch in diesem Dialog wird mit dem neuen Pa wort und einem Zeilenvorschub geantwortet Anschlie end wartet Samba auf die Ausgabe einer Zeichenkette die changed enth lt und damit best tigt da das Pa wort ge ndert wurde Ist der oben beschriebene Machanismus installiert wird das Pa wort ndern f r den Benutzer einfach Er mu von seinem Windows Rechner aus lediglich ber Start Ausf hren und die Eingabe telnet Name des Samba Servers eine Termi nalverbindung zum Server aufbauen Anschlie end kann er sich beim System mit seinem alten Pa wort anmelden Ist der Loginvorgang abgeschlossen wird mit smbpasswd ohne Parameter das Pa wort ge ndert Dazu mu der Benutzer zun chst das alte und dann zweimal das neue Kennwort eingeben Das Unix Pa wort wird automatisch ge ndert ohne da der Benutzer etwas davon merkt Sind die Eingaben abgeschlossen kann die Telnet Session mit den Men punkten Verbinden und Beenden geschlossen werden 9 5 Dateifreigabe und Rechte Die wohl wesentlichste Aufgabe eines Samba Servers ist das Bereitstellen von Festplattenkapazit t f
91. die Fehler Logdatei zusammenfa t http www netzmafia de skripten buecher iis2003 ErrorChk m Summary erlaubt in der Profi Version Sub Reports f r virtuelle Domains lie fert umfangreiche Reports auch f r Referrer und erlaubt den Export der Da ten http www summary net summary html 6 3 Einfache Statistik Tools 221 6 3 Einfache Statistik Tools Wenn es nur um eine bersicht geht oder wenn nur ganz bestimmte Dateien sta tistisch untersucht werden sollen dann geht es sogar mit Bordmittteln Um nur die Anzahl von Abrufen zu ermitteln gen gt ein Shellskript Das folgende Mini Script soll Ihnen zeigen wie einfach das ist Voraussetzung f r das Gelingen ist die Verwendung der GNU Versionen der Programme Das Script mu zudem am ersten Tag des Monats aufgerufen werden Es liefert dann die Statistik f r den ver gangenen Monat Die Ergebnisse werden in eine Datei geschrieben deren Name durch die Variable DATEI vorgegeben ist Die Variable SUCH gibt ein Suchmuster f r die Dokumentennamen vor Dies kann ein Namensteil einer Datei oder ein Pfadname sein z B index definiert als regul rer Ausdruck Der sed Aufruf entfernt Dateipfade und andere unn tige Dinge aus der Eingabe bin sh Zugriffsstatistik DATEI home httpd db bstat date date 1 days ago y m AKT date date 1 days ago b Y SUCH vertrieb cd home httpd stat echo wee echo Abgerufene Dokum
92. die den Hostnamen statt der IP Adresse verwenden auf einen falschen Server gef hrt werden m Hijacking Hijacking stellt eine Kombination der Sniffing und Spoofing Angriffe dar Dabei werden bestehende Verbindungen zwischen zwei Rech 378 13 Server Sicherheit nern entf hrt d h der Angreifer bernimmt die Stelle eines Kommunika tionspartners innerhalb einer Verbindung Da bei einer solchen bernahme einer Verbindung keine Authentifizierung des Benutzers mehr durchgef hrt wird kann ein Angreifer gro en Schaden anrichten Denial of Service Attacks Diese Gruppe von Angriffsstrategien dient da zu einen Rechner oder einzelne Funktionen dieses Rechners lahmzule gen Dabei wird in der Regel ausgenutzt da die Ressourcen Speicher Rechenzeit interne Tabellen etc auf einem Rechner nur in begrenztem Ma e vorhanden sind Ein Denial of Service Angriff versucht auf dem angegriffenen Rechner eine der Ressourcen zu berlasten so da dieser seinen regul ren Aufgaben nicht mehr nachkommen und seine Clients nicht mehr bedienen kann Denial of Service Attacks stellen eine wichti ge Gruppe von Angriffen dar da sie oft als Vorstufe zu einem wesentlich weiterreichenden Angriff dienen Message Flooding Die primitivste Art des Angriffs auf einen Rechner Dabei wird nur ein Brute Force Angriff durchgef hrt bei dem sinnlose Nachrichten in einer so gro en Zahl an einen Rechner gesendet werden da er aufgrund der Fl
93. die es in diesem Bereich gibt Von ISS gint es allerdings eine Demo Version die die vollst ndige Funktionalit t besitzt wie die Vollversion aller dings mit der Einschr nkung da es nur den Rechner localhosttesten kann ISS besitzt eine eigene grafische Oberfl che mit der das Programm komplett bedient werden kann Dazu z hlt das Konfigurieren der Angriffe genauso wie das Durchf hren und Auswerten Dieses Programm ist f r diverse Betriebssy steme erh ltlich Windows 95 NT AIX und Linux ftp www iss net Crack sucht nach zu einfachen Pa w rtern in etc passwd oder NIS DESLib die DES Library aus Australien ftp ftp psy uq oz au pub Crypto DES Deslogin Benutzt DES Verschl sselung zur Authentification und Daten ber tragung ftp ftp uu net pub security des PGP Erh ltlich in zwei Versionen einer nordamerikanischen die nicht expor tiert werden darf und einer internationalen 2 6ui die nicht in die USA im portiert werden darf S Key Einmal Pa wort Programm ftp ftp cert dfn de pub tools password SKey SRA Telnet Modifiziertes Telnet von der TU Chemnitz Die komplette Sitzung wird mit DES verschl sselt ftp ftp tu chemnitz de pub Local informatik sec_tel_ftp ssh Die Secure Shell ersetzt rlogin rsh und rcp durch sichere Versionen ftp ftp cert dfn de pub tools net ssh SSLeay Frei Implementation von Netscapes SSL Protocol Das gegenw rtige SSL ist allerdings ktirzlich geknackt worden Be
94. die f r Subdom nen innerhalb der Top Level Domain verantwortlich sind So gibt es zum Beispiel einen Eintrag f r den DNS Server der Dom ne netzmafia de auf dem Top Level Server von 262 8 Name Service DNS de An den Bl ttern des Baumes sitzen schlie lich Server die die Namen und IP Nummern einzelner Rechner innerhalb ihrer eigenen Dom ne kennen Wie das ganze System einer Abfrage funktioniert l t sich am besten anhand ei nes Beispiels verst ndlich machen Am Klientenrechner pc0815 subdomain irgendnedomain de sitzt ein Be nutzer der in seinem Webbrowser die Adresse http www VereinGegenZuLangeDomainnamenEV de eingibt Die Resolversoftware auf seinem Rechner startet sofort nach Dr cken der Eingabetaste mit der Abfrage an den DNS Server Die IP Adresse dieses Rechners mu bekannt sein und wird einmal bei der Klientenkonfiguration ein getragen Angenommen die Adresse des Servers sei 192 168 1 252 Ist das Paket mit der Frage nach der IP Nummer bei diesem Name Server eingetrof fen berpr ft er ob es daf r einen Eintrag in seiner Namenstabelle gibt Kann er keinen solchen Eintrag finden leitet er die Abfrage an den n chsth her gelegenen DNS Rechner weiter In unserem Beispiel ist die Maschine unter der Adresse 192 168 1 252 nur f r die Verwaltung der Rechnernamen in nerhalb der Dom ne subdomain irgendnedomain de zust ndig In seinen DNS Konfigurationseinstellungen ist festgelegt da er alle Abfra
95. durch shutdown oder durch Einschalten des Rechners ausgel st wurde sind die Systemaktivit ten im Prinzip immer gleich 1 8 Start und Stop von Diensten 55 m Testen der Dateisysteme Platten m Montieren mount der Platten Info aus etc stab m S uberungsaktionen z B L schen von tempor ren Dateien Aufheben von eventuell beim Shutdown gesetzten Sperren etc m Starten der Systemprozesse Scheduler init getty cron Printer Daemon Mail Accounting etc m Start der Netzwerk Programme Montieren von Remote Platten NFS m User Login freigeben Diese doch relativ komplexen Aktionen werden wieder ber spezielle Shell Scripts gesteuert Bei BSD Unix war der Aufbau dieser Scripts relativ einfach Die Datei etc rc enth lt alle beim Systemstart auszuf hrenden Komman dos Innerhalb von rc werden eventuell weitere rc Dateien aufgerufen z B etc rc local zum Start lokaler Software etc rc net zum Start der Netzwerksoftware oder etc rc single zum Start im Single User Modus Sp ter wurde das System dahingehend erweitert da es f r jeden Runlevel ei ne eigene rc Datei gab rc0 rcli rc2 usw Ab System V ist das System der rc Dateien vereinheitlicht worden F r jeden Runlevel existiert ein Verzeich nis unter etc wobei der Name der Verzeichnisse einheitlich etc rcx dist x steht f r den Runlevel es gibt also rc0 d rcs d rc2 d usw Im Verzeich nis etc init dsind alle Programme oder Shell Scripts gespeichert
96. ein Lokalisierungs Attribut der Form locale en_US oder locale de_DE Die Dateien dazu liegen meist im Verzeichnis usr share locale oder das Verzeichnis wird ber die LANGUAGE Umgebungsvariable referiert m Nun m ssen Sie htDig so konfigurieren da es die passenden W rterbuch und Affix Dateien verwendet Hierf r k nnen die W rterb cher und Affix Dateien von ispell verwendet werden aber auch das Einbinden beliebig eigener W rterb cher ist m glich Nehmen wir an Sie m chten das deutschsprachige W rterbuch im Verzeich nis common german verwenden Eine entsprechende Konfiguration der Datei htdig conf k nnte dann so aussehen locale de_DE lang_dir common_dir german bad_word_list S lang_dir bad_words endings_affix_file S lang_dir german aff endings_dictionary S lang_dir german 0 endings_root2word_db lang_dir root2word db endings_word2root_db lang_dir word2root db Die endings Datenbank k nnen Sie mit dem Programm ht fuzzy erstellen ht Dig unterst tzt in der Version 3 1 5 nur 8 Bit Zeichens tze Sprachen wie Chine sisch oder Japanisch die 16 Bit Zeichens tze erfordern werden deshalb nicht un terst tzt 5 13 Meta Tags f r htDig htDig erkennt spezielle Meta Tags mit denen man die Indizierung einzelner Do kumente durch das Programm steuern kann Nat rlich erkennt htDig auch die Standard Tags keywords und description Es sind vier spezielle Tags mit fol genden Namen
97. einem an onymen Eigent mer und einer anonymen Gruppe zugeordnet m no root squash Das Gegenteil zu obiger Option Im folgenden Beispiel sollen folgende Zugriffe m glich sein Auf die erste CD ROM bekommen die Clients nur Lesezugriff Der Rechner boss netzmafia de ben tigt root Zugriff auf install knecht netzmafia de darf ebenfalls auf install zugreifen allerdings ohne da Dateien des Benutzers root als solche erscheinen Die Home Verzeichnisse aller Benutzer auf dem Server exportiert der Server an alle Rechner im Subnetz damit die Benutzer auf allen Clients das glei che Home Verzeichnis bekommen etc exports cdrom netzmafia de ro install boss netzmafia de rw no root squash knecht netzmafia de ro root squash home 192 168 253 255 2595 255 255 255 Beim Client werden die Verzeichnisse unter Angabe des Servernamens durch Doppelpunkt getrennt eingebunden Das kann entweder per mount Kommando geschehen z B durch mount nfs netzmafia de cdrom t nfs opt cdrom oder in der Datei etc fstab z B nfs netzmafia de cdrom opt cdrom nfs ro 00 nfs netzmafia de home home nfs defaults 00 Mit den folgenden Kommandos Shell Skripte haben Sie die M glichkeit der Feh lersuche m etc rc d rpc status m etc rc d nfsserver status und m rpcinfo p Kapitel 2 E Mail Server 2 1 E Mail Grundlagen E Mail mu man sich als eine Daten bertragung zwischen Relaisstationen vor stellen bei den
98. eines speziellen Name Server Paketes be schrieben BIND von Berkeley Internet Name Daemon Dieser Server ist frei verf gbar und auf zahlreiche Plattformen portiert eine davon ist Linux Von BIND existieren derzeit drei verschiedene Typen Die Versionen 4 x 8 x und 9 x Wegen der Vorteile im Sicherheitsbereich und der weiten Verbreitung werden 264 8 Name Service DNS wir hier nur die Installation und Benutzung von BIND 9 x beschreiben Zwar sind noch einige der laufenden Name Server BIND 4 x Versionen f r neue Installa tionen k nnen wir dieses Release jedoch nicht mehr empfehlen Au erdem wird ein Administrator der einmal eine 9 x Konfigurationsdatei und passende Zonen dateien geschrieben hat kaum gro e Verst ndnisprobleme mit der alten Version haben auch wenn die Syntax sich deutlich ver ndert hat Dasselbe gilt f r die Version 8 x Alle Beispiele in diesem Kapitel verzichten auf neue Features von Named 9 und sind ohne nderung auch unter 8 x lauff hig ber die Installation der Programmpaketes gibt es nicht viel zu sagen Entwe der man installiert das Bind 9 Paket einer Linux Distribution oder man holt ein fertiges Bin rpaket von der Adresse ftp ftp vix com pub bind Nach dem Entpacken des named Programms mu es bersetzt und installiert werden Das geschieht mit den Kommandos tar xzv bind 9 2 0 tar gz cd bind 9 2 0 configure make make install Danach legt man noch ein Verzeichnis zur Ablage alle
99. f r das mod_rewrite Modul auch im Kontext eines virtuellen Servers definieren indem sie in die ent sprechende Sektion geschrieben werden Die Regeln sind das eigentlich Interes sante beim mod_rewrite Modul und sollen nun genauer betrachtet werden Sehen Sie sich die erste Transformations Regel noch einmal an Sie besteht aus drei Teilen m dem Wort RewriteRule m einem Suchmuster das durch einen regul ren Ausdruck definiert wird und 172 4 WWW Server Apache m einem Ersetzungsmuster das ggf durch Optionen erg nzt wird Ersetzungen funktionieren nach einem einfachen Schema es wird versucht das Muster auf die angeforderte URL anzuwenden Wenn das klappt wird die URL zur ckgeliefert die sich durch Ersetzung ergibt Bei mehr als einer Transformations Regel ist die Reihenfolge wichtig es kann durchaus vorkommen da eine URL auf mehr als ein Muster passt In diesem Fall wird die am weitesten oben stehende Regel zuerst verwendet dann die weiter unten stehenden Das Muster ist ein regul rer Ausdruck wie er von den UNIX Kommandos sed grep awk oder von der Perl Programmierung her bekannt ist Der regul re Ausdruck im Beispiel erfa t also genau die Zeichenkette computer html Jede andere Zeichenkette w rde als nicht passend zur ckgewiesen und die Transformations Regel nicht angewandt Im Ersetzungs Abschnitt k nnen Sie sogar auf das Muster zur ckgreifen siehe sp ter Im Beispiel enth lt der Ersetzungs Absc
100. f r die Suchresultate dient Hier lassen sich Werbebanner oder Links unterbringen Beispiel lt html gt lt head gt lt title gt Resultate der Suche nach WORDS lt title gt lt head gt lt BODY TEXT 000000 BGCOLOR FFFFFF LINK 0000FF VLINK FFOOFF ALINK FF0000 gt lt h2 gt lt img src devil gif gt Suchresultate f amp uuml r S LOGICAL WORDS lt h2 gt lt p gt lt form method get action CGI gt lt input type hidden name config value CONFIG gt lt input type hidden name restrict value RESTRICT gt lt input type hidden name exclude value EXCLUDE gt Suchmethode METHOD Anzeige Format FORMAT Sortiert nach SORT lt br gt Suche lt input type text size 30 name words value WORDS gt lt input type submit value Suche gt lt select gt lt form gt lt hr noshade size 1 gt lt b gt Dokumente FIRSTDISPLAYED S LASTDISPLAYED von MATCHES Treffern Mehr Sternchen bedeuten mehr Treffer im Dokument lt b gt lt hr noshade size 1 gt COMMON _DIR footer html Bespiel HTML Dokument das als Fu zeilen Block f r die Suchresultate dient Auch hier lassen sich Werbebanner oder Links unterbringen Beispiel PAGEHEADER S PREVPAGE PAGELIST NEXTPAGE lt hr noshade size 4 gt lt a href http www htdig org gt lt img src htdig htdig gif border 0 gt ht Dig VERSION lt a gt 5 10 Die
101. folgenderma en aus poll mail provider de protocol POP3 aka domainl domain2 user schulze password t49076 is Die Mailzustellung via Sendmail funktioniert ganz normal insbesondere k nnen Aliasnamen in der etc aliases definiert werden Wenn Sie damit rech nen m ssen E Mails zu erhalten in denen Ihre Mailadresse nicht enthalten ist z B von Mailinglisten oder ber den BCC Header sollten Sie noch aufpassen 2 5 Spamfilter 95 da diese nicht wieder mit einer Fehlermeldung user unknown zur ckge sandt werden Das erreichen Sie mit der Einstellung set no bounce Mailin fetchmailrc Wird die Zieladresse umgesetzt hat fetchmail keine M glichkeit den Adres saten zu bestimmen Hier kann nur der Header der Mail untersucht werden In diesem Fall empfiehlt es sich einen eigenen Mail User einzurichten der ber eine Datei procmailrc die Mails weiterleitet Manchmal funktioniert ein Aufruf von fetchmail v scheinbar zun chst doch die E Mails k nnen dann nicht abgeholt werden wie folgendes Protokoll zeigt POP3 lt 0K QPOP version 2 2 at mail provider de starting fetchmail POP3 gt USER lagon fetchmail POP3 lt OK Password required for USER fetchmail POP3 gt PASS x fetchmail POP3 lt 0K lagon has 7 messages 21216 octets fetchmail POP3 gt STAT fetchmail POP3 lt OK 7 21216 fetchmail 7 messages at USER mail provider de fetchmail POP3 gt RETR 1 fetchmail POP3 lt 0K 690 octets reading message
102. geforderte Zuverl ssigkeit eines nicht hierarchischen Netzes zu erreichen sollte das Netz als ein paketvermitteltes Netz packet switched network gestaltet werden Bei der Paketvermittlung werden zwei Partner w hrend der Kommuni kation nur virtuell miteinander verbunden Die zu bertragenden Daten werden vom Absender in St cke variabler oder fester L nge zerlegt und ber die virtuelle Verbindung bertragen vom Empf nger werden diese St cke nach dem Eintref fen wieder zusammengesetzt Im Gegensatz dazu werden bei der Leitungsver mittlung circuit switching f r die Dauer der Daten bertragung die Kommuni kationspartner fest miteinander verbunden Begonnen hatte alles m glicherweise am 2 September 1969 An diesem Tag wur de im Labor von Leonard Kleinrock an der Universit t von Kalifornien in Los Angeles UCLA der erste Computer an einen Interface Message Processor IMP angeschlossen Wir hielten das nicht gerade f r einen historischen Moment er innerte sich Kleinrock gegen ber einem AP Reporter Wir hatten nicht einmal eine Kamera dabei Aber es war die Geburtsstunde des Internet Der IMP war ein m chtiger Klotz von einem Spezialrechner der nach milit rischen Normen von der Firma Bolt Beranek amp Newman BBN gebaut worden war Seine ein zige Aufgabe bestand darin Daten zu senden und zu empfangen den Empfang zu berpr fen und das Senden zu wiederholen wenn etwas nicht geklappt hatte Ein IMP sollte einem Co
103. gerade bei einem Rechner der sich nach au en exponiert das korrekte Setzen der Zugriffsrechte extrem wichtig ist hier eine kurze Wiederho lung m Jeder UNIX Benutzer hat eine Benutzerkennung user id kurz uid mit der er sich gegen ber dem BS identifizieren kann m Jeder UNIX Benutzer geh rt einer Gruppe an und besitzt damit eine Gruppen ID kurz gid m Jede Datei hat einen Eigent mer und eine Gruppe die bei der Erzeugung der Datei eingetragen werden m Jeder Benutzer kann seine Dateien explizit einem anderen Benutzer bzw einer anderen Gruppe schenken m Jede Datei besitzt 12 voneinander unabh ngige Schutzbits Special User Group Others SUID SGIG SIT R W x TR IW IX TR Iw IX I Die Bedeutung der drei Schutzbits SUID SGID und STI ist m Wenn das SUID Bit Set User ID gesetzt ist beh lt das Programm f r die Dau er der Ausf hrung die Rechte des Programmeigent mers und nicht die des jenigen der die Programme aufruft Das Setzen der Rechte erfolgt durch das Kommando chmod u s datei Anzeige s statt x beiden User Rechten Dazu ein Beispiel Alle Benutzer sind in einer speziellen Datei gespeichert die nur der Superuser ndern darf sonst k nnte ja jeder einen neuen Benutzer eintragen Jeder Benutzer kann aber sein Pa wort ndern das auch in dieser Datei steht Dazu mu er schreibend auf die Datei zugreifen obwohl er dazu keine Be rechtigung besitzt Das Programm pass
104. gesch tzt werden Dazu wird zun chst ein Bereich von Elementen unter einem symbolischen Namen 7 4 Zugriffsrechte 247 Proxy Einstellungen 2x1 m Server JE Typ Adresse des Proxyservers Anschluss HTTP proxy netzmafia de Ja Secure Ir f FTP I gt Gopher Ir y Socks ee F r alle Protokolle denselben Server verwenden Ausnahmen SA F r Adressen die wie folgt beginnen keinen Proxyserver verwenden G netzmafia de v Verwenden Sie das Semikolon als Trennzeichen EN Abbrechen Abbildung 7 10 Eintragen der Proxy Daten in einer eigenen Zeile zusammengefa t die mit dem Schl sselwort acl beginnt Ein solcher Bereich kann zum Beispiel eine Gruppe von IP Nummern eine Zeit spanne oder sogar ein bestimmter Browsertyp sein Die generelle Schreibweise lautet acl lt symbolischer Name gt lt Typ gt lt Definition gt Soll der Zugriff auf den Cache nur im lokalen Netzwerk m glich sein m ssen das eigene Netz und alle anderen Netze in je einer ACL Zeile aufgef hrt werden acl intranet sre 192 168 1 0 255 255 255 0 acl all src 0 0 0 0 0 0 0 0 Die erste Zeile definiert unter dem Namen intranet das komplette lokale Sub netz Der Typ src legt fest da es sich bei der Definition um eine Zugriffsbe schr nkung f r Klienten handelt Es folgt die Angabe des IP Nummern Bereichs mit Netzmaske f r den die Definition gilt Mit Hilfe einer Null an der j
105. href Spage gt Spage lt a gt amp nbsp lt TD gt print lt TD gt lt B gt amp nbsp Spages Spage amp nbsp lt B gt lt TD gt lt TR gt n print lt TABLE gt n lt P gt n Durch Variieren der Hintergrundfarbe Balkenfarbe kann man noch mehr In formation ins Diagramm packen Schlie lich ben tigt das Programm noch einige allgemeine Unterprogramme zum Formatieren der Webseite und zum Bestimmen des Datums sub kopf Seitenkopf kann erweitert angepasst werden print lt HTML gt n print lt head gt lt title gt Zugriffs Statistik lt title gt lt head gt n print lt body bgcolor ffffff text 000000 n print link 0000ff vlink cc00cc gt n if Sinclude eq ALL print lt H2 ALIGN CENTER gt Zugriffstatistik lt H2 gt n else print lt H2 ALIGN CENTER gt Zugriffstatistik f ur Sinclude lt H2 gt n print lt H4 ALIGN CENTER gt Sdate_2 lt H4 gt n sub fuss Seitenende kann erweitert angepasst werden print lt body gt n print lt html gt n sub datum Datum in brauchbaren Formaten erzeugen 226 6 Webserver Statistik sec min Shour mday mon year wday yday Sisdst localtime time if sec lt 10 sec O sec if min lt 10 min 0 min if Shour lt 10 Shour 0 hour if mon lt 10 mon 0 mon if Smday lt 10 Smday OSmday Smonth mon 1 Syear Sye
106. htdig conf eingebunden werden Das sieht dann so aus external_parsers application msword usr local bin parse_doc pl application postscript usr local bin parse_doc pl application pdf usr local bin parse_doc pl Sie k nnen auch genau angeben welches Format in welches andere konvertiert werden soll externe Programme zum Auslesen von WORD PDF etc external_parsers application pdf gt text html usr local bin conv_doc pl application msword gt text html usr local bin conv_doc pl application postscript gt text html usr local bin conv_doc pl Word Dokumente k nnen sehr gro sein Deshalb mu die maximale Dokumen tengr e erheblich hinaufgesetzt werden max doc size 2000000 Wichtig f r das Erkennen der deutschen Umlaute ist die folgende Anweisung locale de_DE Darauf gehen wir im n chsten Abschnitt noch n her ein Im Notfall hilft auch hier und bei einderen Dokumentenformaten das gute alte UNIX Kommando strings das ASCII Strings aus jeder beliebigen Datei herausfiltert 5 12 Dokumente mit nationalen Zeichens tzen Standardm ig unterst tzt htDig das Indizieren von Dokumenten die den eng lischsprachigen Zeichensatz verwenden Das k nnen Sie jedoch ndern um Dokumente mit landesspezifischen Zeichens tzen zu indizieren z B Deutsch Franz sisch Spanisch Griechisch etc Dazu sind zwei Schritte n tig 216 5 Die lokale Suchmaschine Konfigurieren des locale Attributs Viele Systeme erwarten
107. in Feh lermeldungen als proxy netzmafia de melden um die Benutzer nicht zu ver wirren Die passende Zeile in der squid conf lautet visible_hostname squid netzmafia de m logfile_rotate Bei stark ausgelasteten Servern wachsen die einzelnen Logda teien schnell an und erreichen bald mehrere MByte Da sie aber meist nur der unmittelbaren Fehlersuche dienen lohnt es sich kaum sehr alte Eintr ge aufzuheben Interessant ist nur die unmittelbare Vergangenheit von einigen Jagen oder Wochen Squid bietet zur Beschr nkung der Gr e und des In halts der access log und cache log einen Rotationsmechanismus Immer wenn der Squid Proze das Signal USR1 empf ngt wird von den aktuellen Logdateien eine Sicherheitskopie angelegt und mit einer neuen leeren Datei weitergearbeitet Die Zahl hinter logfile_rotate bestimmt wie viele Gene rationen von Sicherheitskopien aufgehoben werden Die jeweils lteste wird bei jeder Rotation gel scht Ist zum Beispiel der Wert 5 eingestellt werden die f nf letzten Logdateien aufgehoben Squid h ngt zur Kennzeichnung der Ge nerationen Zahlen Erweiterungen an die Dateinamen an cache 1og 0 ist die j ngste Kopie cache Log 1 die n chst ltere und so weiter Wie viele Kopien Sie anlegen und wie oft Sie die Dateien rotieren h ngt nat rlich von Ihrer Installation und insbesondere von der Anzahl der Zugriffe ab Unsere Empfehlung Die Logdateien sollten auch einen langen Urlaub oder Krank heit des
108. in Gegenrichtung gesendet werden Die Best tigung wird also den Daten aufgesattelt Piggyback Die Nummer bezieht sich auf eine Sequence Nummer der empfangenen Daten alle Daten bis zu dieser Nummer ausschlie lich sind damit best tigt Die G ltigkeit der Nummer wird durch das ACK Feld siehe Code best tigt Data Offset Da der Segment Header hnlich dem IP Header Optionen ent halten kann wird hier die L nge des Headers in 32 Bit Worten angegeben Res Reserviert f r sp tere Nutzung m Code Angabe der Funktion des Segments URG Urgent Pointer siehe unten ACK Quittungs Segment Acknowledgement Nummer g ltig PSH Auf Senderseite sofortiges Senden der Daten bevor Sendepuffer gef llt ist und auf Empfangsseite sofortige Weitergabe an die Applikation bevor Empfangspuffer gef llt ist z B f r interaktive Programme RST Reset Verbindung abbauen SYN Das Sequence Number Peld enth lt die initiale Byte Nummer ISN siehe Segence Number beginnend mit ISN 1 In der Best tigung bergibt die Zielstation ihre ISN Verbindungsaufbau FIN Verbindung abbauen Sender hat alle Daten gesendet sobald der Empf nger alles korrekt empfangen hat und selbst keine Daten mehr los werden will m Window Spezifiziert die Fenstergr e die der Empf nger bereit ist anzuneh men kann dynamisch ge ndert werden m Checksum 16 Bit L ngsparit t ber Header und Daten 36 1 Einf hrung
109. ist das File Transfer Protokoll Die Besonderheit des Protokolls liegt in den getrennten Kan len f r die Daten und die Steuerung sowie in der Daten bertragung ohne Verwendung eines Spoolers Dateisystem Dateisystem Benutzer Schnittstelle Abbildung 3 1 FTP Zugriff ber zwei Ports 100 3 FTP Server Im RFC 959 ist f r FTP TCP Port 20 als Steuerungskanal und TCP Port 21 als Da tenkanal festgelegt FTP verwendet als Transportprotokoll immer TCP da dieses bereits einen sicheren Datentransfer garantiert und die FIP Software sich nicht darum zu k mmern braucht Die Vorteile von FTP liegen in den effizienten Verfahren zur bertragung von Dateien beliebigen Formats und der Tatsache da der Zugriff seitens beliebiger Internet Teilnehmer m glich ist Andererseits kann bei gr eren Archiven schnell die bersicht verlorengehen wenn die Datenbest nde nicht vern nftig sortiert sind Bei umfangreichen Dateib umen ist hingegen die Navigation durch die Ver zeichnisse eine zeitraubende Angelegenheit Es werden weiterhin zwei Betriebsmodi unterschieden benutzerspezifisches FTP und Anonymous FTP In beiden F llen ist es m glich Verzeichnisse einzusehen und zu wechseln sowie Dateien zu empfangen und zu senden Der Unterschied liegt in den Privilegien die ein Benutzer besitzt W hrend im ersten Fall der User eine Zugangsberechtigung zum System ben tigt verf gt ein Gastzugang nur ber eine eingeschr nkte Sicht auf den Daten
110. ist der Code schwerer zu pflegen e Vorangiges Ziel Apache leichter portierbar machen Erreicht wird das durch die saubere Trennung des platt formspezifischen Codes vom restli chen Programmcode e Der Code wurde in die Apache Por table Runtime APR und die Multi Processing Modules MPM gekapselt e APR Bibliothek die eine Schicht zwischen jeweiligen Betriebssystem und Apache legt Sie bietet grundle gende Funktionen eines BS an z B File 1 O Netzwerk I O Speicherver waltung Thread und Prozessverwal tung e MPMs in diesen Modulen befindet sich der Code der in der 1 3 Version die Prozesse und oder Threads ver waltete Er hat die Aufgabe einge hende HTTP Anfragen auf einfache Ausf hrungseinheiten abzubilden die diese verarbeiten Ob es sich dabei um Prozesse oder Threads handelt ist von dem jeweiligen MPM abh ngig e Vorteile der Modularisierung sind klar strukturierter Quellcode und die M glichkeit in den MPMs betriebssy stemspezifischen Code zu verwenden 4 16 Apache 2 0 181 Zur Laufzeit Konfiguration dient wie schon bisher die Datei httpd conf de ren Anweisungen teilweise stark vereinfacht wurden Wer mit Apache 1 3 f hrt und auf 2 0 umstellt mu auf jeden Fall an der Konfigurationsdatei Ande rungen vornehmen Es gen gen aber oft einige Korrekturen an der bisherigen httpd conf Datei Ersatzlos gestrichen sind die bisherigen Anweisungen Cle arModuleList und AddModule
111. k nnen wird in zwei Kategorien eingeteilt Siblings Neighbours Nachbarn oder Parents Eltern Unterhalten zwei Proxies eine Sibling Beziehung befinden sie sich hierarchisch auf einer Ebene Bild 7 11 zeigt ein Beispiel www veryfar com A 4 abc html wird direkt geholt 2 abc html vorhanden OO gt Cache A N 3 Antwort nein Klient fragt nach abc html Cache B Sibling Caches Abbildung 7 11 Sibling Beziehung Der Cache A erh lt eine Anfrage nach der Seite abc html auf dem Server www veryfar com Da sich die Datei nicht auf seiner Festplatte befindet fragt er seinen Nachbarn oder Sibling Cache B nach dem Dokument Ist sie dort vor handen wird sie zun chst an Cache A und dann an den anfragenden Benutzer weitergegeben Ist sie aber auch im Cache B nicht vorr tig dann fordert A und nicht etwa B sie vom Ursprungsserver an Auf eine einfache Formel gebracht bedeutet das Ein Nachbar Proxy kann nur Dokumente liefern die bereits in seinem Cache vorhanden sind Eltern oder Parent Caches stehen in der Hierarchie h her In Bild 7 12 ist der Weg der einzelnen Abfragen dargestellt Cache C ist ein Parent des Proxies A Der Klient fragt nun wiederum Cache A nach abc html Wenn die Datei nicht auf der Festplatte von A liegt wird die Frage an den Parent weitergegeben Der Unterschied zur Sibling Beziehung ergibt sich wenn C die Datei auch nicht vorr t
112. kann entweder f r eine IP Adresse oder einen IP Namen stehen Enth lt die IP Adresse nur einen Teil der vollen Sequenz aus vier Byte gestat tet Sendmail allen Hosts aus dem Sub Netz das Relaying 129 187 206 steht zum Beispiel f r alle Adressen von 129 187 206 1 bis 129 187 206 255 Auch lassen sich ganze Domains freischalten netzmafia de bezieht sich also auf alle Rechner deren IP Namen entsprechend endet einschlie lich der Sub Domains FEATURE relay_hosts_only in der sendmail mc Datei schaltet die Freigabe von ganzen Domains ab Dann mu jeder Rechnername einzeln angegeben sein Der RELAY Eintrag bedeutet au tomatisch auch da Sendmail elektronische Post an beliebige Empf nger der Do main netzmafia de entgegennimmt und bei Bedarf auch weiterleitet Alternativ zur access_db k nnen Rechner oder Domains auch direkt in der Kon figurationsdatei sendmail mc angeben RELAY_HOST lt Adresse gt Man kann auch eine separate Datei definieren in der diese Informationen gespei chert sind Sie wird beim Start von Sendmail eingelesen In sendmail mc steht dann RELAY_DOMAIN_FILE lt Dateiname gt Wer sich Arbeit sparen will erlaubt das Weiterleiten von Mails generell f r alle Zieladressen bei denen der Domain Name Service DNS das eigene Mailsystem als Mail Exchanger angibt FEATURE relay_based_on_MX Andere Netzbetreiber k nnen das eigene System als Fallback System in ihren DNS Server eintragen Bei St rungen des
113. liegt auch Mainboard Prozessor und Speicher Software Standardisierung Verwenden Sie ein einheitliches Partitionierungs schema und installieren Sie ein System immer mit denselben Basispaketen Je nach Aufgabe des Servers kommen dann individuell die entsprechenden Komponenten hinzu Dokumentieren Sie welche Software Pakete installiert wurden Die meisten Linux Distributionen erlauben das Speichern der aktuel len Konfiguration Vergessen Sie nicht eine Boot Diskette herzustellen und zwar jedesmal wenn Sie den Kernel ndern Installations Backup Fertigen Sie nach der Installation einen Komplett Backup auf einem Wechsel Medium an CDR CD RW DVD ZIP MO Platte DAT Band Dazu geh rt eine Diskette mit einem Minimal System die ein Booten und anschlie endes Backup erm glicht Sie k nnen die Installations Daten auch in eine Datei zusammenpacken per tar und gzip tar cvf alles tar und gzip alles tar und per FTP auf eine andere Ma schine schieben Dort kann dann eine CD oder DVD gebrannt werden Der GNU tar kann sogar gleich zippen 13 10 Sicherheits Empfehlungen 393 Der Hersteller Powerquest bietet ein Tool namens drive image an Mit die sem Programm kann eine ganze Plattenpartition auf einer anderen Partiti on als Datei gespeichert werden Aus dieser Datei ist dann ein 1 1 Restore m glich Das Programmpaket ist zwar f r DOS Windows es kann aber auch Linux Partitionen bearbeiten Beim Installieren werden zwei Dis
114. m ein Unix System Linux Solaris etc m einen lauff hig konfigurierten MTA Sendmail m einen C Compiler f r das Hilfsprogramm wrapper c 11 2 Majordomo 331 m ein korrekt installiertes Perl System m das Majordomo Paket selbst Nach Entpacken des Pakets kann es gleich an die Konfiguration gehen Hierbei mu man prinzipiell zwei voneinander getrennte Konfigurationswege beschrei ten Zuerst sollte man den Betrieb des Pakets selbst durch die zentrale Konfigu rationsdatei majordomo cf definieren Hier bestimmt der Systemadministrator die wichtigsten Parameter wie etwa den Hostnamen wichtige E Mail Adressen zur Verwaltung alle ben tigten Verzeichnisse oder den Namen und bergabe parameter des verwendeten Mailers Das mitgelieferte Beispiel ist einfach an die eigenen Gegebenheiten anzupassen Zu beachten ist hierbei da diese Datei als normaler Perl Code eingelesen wird also der blichen Syntax von Perl unterliegt Wir haben Majordomo in usr lib majordomo Programme und var lib majordomo Daten installiert Majordomo l uft bei uns als User mdom ID 28 und Gruppe mdom ID 28 diesen geh ren folglich auch alle Dateien In der Datei usr local majordomo majordomo c sind u U die folgenden Zeilen Ausschnitt zu editieren Swhereami mail netzmafia de Swhoami majordomo netzmafia de Swhoamiowner postmaster netzmafia de Shomedir usr lib majordomo Slistdir var lib majordomo lists Slog v
115. mei 9 9 Samba als PDC 309 nderungen der Benutzerinformationen Benutzername und Kennwort der Dom ne Abbildung 9 14 Anmelden als root er der auf dem Samba Server registriert ist kann sich nun einfach am Windows 2000 Rechner anmelden Seine Profileinstellungen und sein Heimatverzeichnis werden vom Samba Server geliefert so als seien sie lokal vorhanden Insbesonde re in Umgebungen wo die User h ufig den Rechner wechseln oder sich mehrere 310 9 Samba Netzwerkidentifikation xj A willkommen in der Dom ne netzbuch gt Abbildung 9 15 Dom nenbeitritt erfolgreich Maschinen teilen ist das ein gewaltiger Vorteil 9 10 Samba und SWAT Viele Administratoren empfinden die Arbeit mit der Konfigurationsdatei smb conf als m hsam Insbesondere Gelegenheits Administratoren w nschen sich meist eine grafische Oberfl che zur Einstellarbeit Auch f r diese Fraktion bietet Samba inzwischen mit dem Tool SWAT eine L sung SWAT ist ein kleines Programm das auf dem Samba Server l uft und die Verwaltung der smb conf sowie das ndern der Pa w rter per Webbrowser erlaubt Die Installation ist denkbar ein fach denn SWAT wird in den aktuellen Samba Distributionen mitgeliefert und mu nur noch aktiviert werden Dazu sind drei Schritte n tig Zun chst einmal mu der TCP Port f r SWAT reserviert werden Das ge schieht indem man die Datei etc services bearbeitet und dor
116. mit vielen In formationen Berichten und Software m http www heise de securoty Der Newsdienst von Heise berichtet von Sicherheitsliicken wie auch Viren f hrt Gegenma nahmen und neue Produkte auf Dazu gibt es l ngere Hinter grundartikel mw http www ntsecurity net Der Newsdienst berichtet von Sicherheitsl cken wie auch Viren prim r zu Windows NT aber auch 95 98 f hrt Gegenma nahmen und neue Produkte auf Mit Newsletter Option m http www insecure org Fyodor Web Master der Seite besch ftigt sich mit den Themen Computer netzwerke Kryptographie und Sicherheit und dokumentiert L cken in diver sen Betriebssystemen darunter auch Linux 398 13 Server Sicherheit m http xforce iss net Die Suchmaschine st bert gezielt Sicherheitsl cher in diversen Systemen auf Bietet auch eine Mailingliste m http neworder box sk Neben aktuellen Infos zur Sicherheitsproblematik diskutiert die Seite auch Software etwa zum Thema Verschl sselung m http www geog ubc ca snag maillist html Liefert Links zu Mailinglisten darunter Bugtraq mit umfangreichen Infos zu Sicherheitsprobtemen aller Art m http www epic org Amerikanische Nachrichten zu neuen politischen Bestrebungen rund um das Thema Sicherheit im Netz Dazu eine gute Linksammlung mit Tools und Seiten wie anonyme Remailer Cookie Busters und Verschl sselung m http www datenschutz berlin de Berichtet ber die rechtliche Lage zum Datenschutz in Deutschl
117. netzmafia West Germany entspricht der Top Level Domain de Damit das DNS funktioniert mu es Instanzen geben die Namen in IP Adressen und IP Adressen in Namen umwandeln aufl sen k nnen Diese Instanzen sind durch Programme realisiert die an gr eren Maschinen st ndig meist im Hintergrund im Betrieb sind und Nameserver hei en Jeder Rechner der an das Internet angeschlossen wird mu die Adresse eines oder mehrerer Name server wissen damit die Anwendungen auf diesem Rechner mit Namen benutzt werden k nnen Die Nameserver sind f r bestimmte Bereiche sogenannte do mains oder Zonen zust ndig Institute Organisationen Regionen und ha ben Kontakt zu anderen Nameservern so da jeder Name aufgel st werden kann Bild 1 11 1 4 1 Komponenten des DNS Insgesamt sind es drei Hauptkomponenten aus denen sich das DNS zusammen setzt m Der Domain Name Space ein baumartig hierarchisch strukturierter Namens raum und die Resource Records Das sind Datens tze die den Knoten zuge ordnet sind m Name Server sind Programme bzw Rechner die die Informationen ber die Struktur des Domain Name Space verwalten und aktualisieren Ein Nameser ver hat normalerweise nur eine Teilsicht des Domain Name Space zu verwal ten Oft wird auch der Rechner auf dem das Nameserverprogramm l uft als Nameserver oder DNS Server bezeichnet 42 1 Einf hrung Resolver sind die Programme die f r
118. out of sync your keyboard s space bar is generating spurious keycodes the real ttys became pseudo ttys and vice versa the printer thinks its a router the router thinks its a printer we just switched to FDDI user to computer ratio too high user to computer ration too low we just switched to internet provider it has Intel Inside Sticky bits on disk Power Company having EMP problems with their reactor new management telnet Unable to connect to remote host Connection refused because of network lag due to too many people playing deathmatch Daemons loose in system User was distributing pornography on server system seized by FBI BNC brain not connected UBNC user brain not connected LBNC luser brain not connected Too few computrons available Communications satellite used by the military for star wars Party bug in the Aloha protocol Dew on the telephone lines Some one needed the powerstrip so they pulled the switch plug Big to little endian conversion error Dumb terminal Zombie processes haunting the computer Incorrect time syncronization Defunct processes C Ausreden 427 Stubborn processes non redundant fan failure excessive collisions and not enough packet ambulances NOTICE alloc dev null filesystem full Recursive traversal of loopback mount points Backbone adjustment vapors from evaporating sticky note adhesives ether leak Did you pay the new Support Fee I m sorry a pentium won t d
119. r die HTTP Basic Authentication Ein Begleitmo dul mod Idap stellt einen Verbindungs Pool und die Pufferung von Ab frageergebnissen zur Verf gung mod_auth_digest bietet zus tzliche Unterst tzung f r prozess bergreifendes Session Caching mittels Shared Memory 4 16 Apache 2 0 183 mod_charset lite erlaubt Zeichensatz bersetzungen oder Umschl sselung mod Dle cache deckt die Funktionalit t von mod_mmap static aus Apache 1 3 ab plus einige weitere Caching Funktionen mod_headers ist nun flexibler es kann jetzt die von mod_proxy genutzten Request Header manipulieren Es ist nun m glich Response Header auf Basis von definierten Bedingungen zu ver ndern mod_proxy wurde komplett neu geschrieben um die M glichkeiten der neuen Filter Funktionen auszusch pfen und um einen zuverl ssigen Proxy zu ha ben Die neue Proxy Konfigurations Schnittstelle bietet eine besser les bare und intern schnellere Kontrolle der vermittelten Seiten Mehrere Module unterst tzen jeweils ein bestimmtes bertragungsprotokoll z B proxy_connect proxy ftp und proxy_http mod_autoindex Automatisch erzeugte Verzeichnisindizes k nnen zur besseren bersicht lichkeit durch HTML Tabellen dargestellt werden Die Sortierungen ist ge nauer Sortierung nach Versionsnummer und Wildcard Filterung des Ver zeichnisindex werden unterst tzt mod_nclude Neue Anweisungen erlauben die nderung von Standard Start und Endtags
120. root Pass su sft Ka ar o Kee s Pess ony la Abbildung 13 3 Ohne Worte Immer wieder trifft man auf Webserver die mit hei er Nadel gestrickt und nur unzul nglich getestet worden sind Eine Analyse der Fehler zeigt da sich der berwiegende Anteil der Probleme in nur drei Fehlerklassen einteilen l t m Der Server ist offen d h er bietet zu viele Dienste an oder hat offene Ac counts m Der Server lagert vertrauliche Daten in zug nglichen Verzeichnissen 384 13 Server Sicherheit m Der WWW Server vertraut bedenkenlos Eingabeparametern aus Webformula ren Das H rten eines Systems beginnt schon mit der Betriebssystem Neuinstallation Stellen Sie den Rechner in ein isoliertes Netzwerk Zu keiner Zeit sollte man das ungesch tzte System an ein aktives Netz oder gar das Internet anbinden und es so einer m glichen Kompromittierung aussetzen Unabh ngig von der Installations variante sollte man die man pages und die HOWTOs mitinstallieren Nachdem das System nach der Installation neu gestartet hat sollte man unbedingt die emp fohlenen Sicherheitspatches einspielen Diese Patches sind extrem wichtig und sollten immer auf dem aktuellen Stand gehalten werden 13 8 1 Ein Server bietet zu viele Dienste an H ufig hat sich ein Betreiber einer Maschine seinen Server noch nie mit einem der g ngigen Portscanner von au en angesehen und l t auf seinem Server Dien ste laufen die f r die Benutzung der Anw
121. standard mod_status o Das Status Modul erzeugt Informationen f r den Webmaster einer ausgelasteten Site Auf diese Weise k nnen Probleme bereits im Vorfeld behoben werden Um diese Informationen zu sch tzen beschr nken Sie den Zugriff auf eine vollst ndi ge oder partielle IP Adresse aus dem lokalen Netz oder Sie gestatten den Zugriff nur per User Pa wort Dazu werden wie oben erkl rt in der Dateihttpd conf f r den Status und Info Abruf folgende Locat ion Direktiven eingef gt lt Location status gt order deny allow deny from all allow from 192 168 253 1 SetHandler server status lt Location gt lt Location info gt order deny allow deny from all allow from 192 168 253 1 SetHandler server status SetHandler server info lt Location gt SetHandler legt einen Handler f r alle Requests auf ein Verzeichnis fest Sie k nnen nun auf http www netzmafia de status f die aktuelle Status Info und auf http www netzmafia de info f die Server Konfiguration plus Status Info zugreifen 4 12 Die Datei robots txt 149 Es gibt noch einige Varianten a http www netzmafia de status refresh xx aktualisiert den Status alle xx Se kunden Fehlt die Angabe xx wird die Info jede Sekunde geliefert a http www netzmafia de status notable liefert die Ausgabe ohne die Verwen dung von Tabellen TABLE Tag in HIML http www netzmafia de status auto liefert ein Ausgabeformat das die auto matische Verarbeitung
122. starkes Gegenargument Der Vorteil besteht allerdings darin da die Verwaltung der Pa w rter auf dem Samba Server leichter ist 2 Sie ndern die Konfiguration des Sambaservers mit dem Parameter encrypt password on in der Datei smb conf so ab da er verschl sselte Pa w rter empfangen kann Da das Microsoft Verschl sselungssystem aber nicht mit dem von Unix kompatibel ist handeln Sie sich damit einen Nachteil ein Die Verwaltung der Pa w rter auf der Samba Seite wird komplizierter Dem Server mu n mlich eine zweite Pa w rterdatei neben der etc passwd bzw etc shadow bereitgestellt werden die nach Mircosoft Konventionen kodierte Eintr ge enth lt Diese Datei will nat rlich verwaltet sein 9 4 1 Unverschl sselte Pa w rter Wenn Sie Ihre Rechner dazu bringen wollen Pa w rter wieder unkodiert zu bertragen gehen Sie wie folgt vor m Starten Sie mit Start Ausf hren und der Eingabe von regedit unter Windows 98 und 2000 beziehungsweise regedit32 unter Windows NT den Registrierungs Editor m Je nach Betriebssytem m ssen Sie sich nun im linken Fenster durch den Baum bis zu den folgenden sten durchklicken Bei Windows 95 und 98 HKEY_LOCAL_MACHINE System CurrentControlSet Services VxD VNETSUP 286 9 Samba Bei Windows NT 4 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Rdr Parameters Bei Windows 2000 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Service
123. stdlib h gt include lt syslog h gt 392 13 Server Sicherheit int main void Hier gegebenenfalls Parameter uebernehmen und ueberpruefen system usr local bin foobar syslog LOG_INFO Foobar aufgerufen return 0 Eine weitere M glichkeit w re es per CGI Skript nur eine Steuerdatei zu erstellen bzw zu erweitern die dann per cron Job regelm ig abgearbeitet wird Die mei sten Benutzeranliegen m ssen nicht in Echtzeit erledigt werden eine Verz ge rung um einige Minuten schadet nicht Das Skript kann auch selbst bei Beendi gung ein h her privilegiertes Bearbeitungsprogramm ansto en 13 9 Nichts geht mehr Nicht nur die Hacker k nnen einen Server zum Absturz bringen es gibt gen gend andere M glichkeiten Blitzschlag berschwemmung Hardwarede fekte aller Art Fehlbedienung Softwarefehler oder Sabotage Was tun wenn der Server nicht mehr l uft Wenn Sie erst dann reagieren wollen vergessen Sie es Vorher m ssen Sie sich Gedanken machen Deshalb hier einige Tips zum Desa ster Recovery m Hardware Standardisierung Sorgen Sie daf r da alle Server hardwa rem ig m glichst identisch sind Verzichten Sie auf Mainboards mit massenhaft On Board Komponenten Grafik Netzwerk SCSI Adapter Netz werkinterface etc denn dann ist der Austausch einer defekten Komponente problematischer Sorgen Sie daf r da von jeder Hardwarekomponente ein neues Ersatzteil im Schrank
124. tats chlich vom Sender nicht authentische Datenpakete werden erkannt 160 4 WWW Server Apache Idealerweise sollten diese Kriterien von der Netzwerkschicht erf llt werden dies wird im Falle des Internets erst mit dem IPV6 realisiert Bis dahin muf man auf andere L sungen ausweichen Eine L sung ist das SSL Protokoll Wenn Sie SSL auf einer kommerziellen Site in den USA verwenden wollen brau chen Sie eine Lizenz von RSA Inc http www rsa com welche die amerika nischen Patentrechte auf die von SSL verwendete asymetrische Verschl sselung besitzt Im Rest der Welt kann Ihnen das egal sein SSL ist ein Sicherheitsprotokoll das die Datensicherheit auf einer Schicht zwi schen seinem Dienstprotokoll z B HTTP SMTP Telnet und TCP IP gew hrlei stet Es erm glicht verschl sselte Verbindungen Echtheitsbest tigungen mit Zer tifikaten nach dem X 509 Standard von Server und Client sowie die Sicherstellung der Nachrichtenintegrit t SSL nimmt vor dem Aufbau einer Verbindung eine In itialisierung durch das Handshake Protokoll vor Dieses legt die Sicherheitsstu fe fest auf die sich der Client und der Server einigen Es bernimmt die notwen digen Echtheitsbest tigungen f r die Verbindung durch den Austausch von Zer tifikaten und handelt einen Session Key f r die Verschl sselung aus W hrend die Verbindung besteht bernimmt SSL lediglich die Ver und Entschl sselung des Datenstroms des verwendeten Anwendungspr
125. the cables Cosmic ray particles crashed through the hard disk platter Electricians made popcorn in the power supply high pressure system failure failed trials system needs redesigned CPU needs recalibration bit bucket overflow 426 C Ausreden knot in cables caused data stream to become twisted and kinked nesting roaches shorted out the ether cable Satan did it Daemons did it You re out of memory There isn t any problem Yes yes its called a desgin limitation Look buddy Windows 98 IS A General Protection Fault Yeah your mama dresses you funny and you need a mouse to delete files Support staff hung over send aspirin and come back LATER Someone is standing on the ethernet cable causing a kink in the cable Password is too complex to decrypt Boss kid fucked up the machine Electromagnetic energy loss Mouse chewed through power cable Stale file handle Internet outage Small animal kamikaze attack on power supplies SIMM crosstalk IRQ dropout Collapsed Backbone Power company testing new voltage spike creation equipment operators on strike due to broken coffee machine backup tape overwritten with copy of system manager s favourite CD UPS interrupted the server s power The electrician didn t know what the yellow cable was so he yanked the ethernet out The air conditioning water supply pipe ruptured over the machine room The electricity substation in the car park blew up Root nameservers are
126. tzung verschiedener Sprachen ist leider etwas archaisch denn es m ssen die passenden Headerdateien einkompiliert werden es ist also auch das komplette Quellpaket erforderlich F r eine Installation in Deutsch und in an deren Sprachen stellen z B die DLR oder die schwedische Firma Chalmers die 6 4 Zugriffe auswerten mit Webalizer 227 Quellen zum Download bereit http www go dlr de fresh unix src www warix webalizer 2 01 06 src tgz html http swamp chl chalmers se pub www tools webalizer Im Folgenden wird eine relativ einfache Konfiguration beschrieben Webalizer bietet dariiber hinaus weitere Features die in der beiliegenden Dokumentation beschrieben sind 6 4 1 Installation Wer die Installation mittels der Quell Dateien vornimmt mu diese auf norma lem Wege mit der Befehlsfolge unten kompilieren Die genaue Anleitung mit den Optionen die bei configure m glich sind kann man in der einfachen Installationsanleitung der Webalizer Homepage nachlesen configure make make install Wer die Binaries entpacken will sollte die gezippte Datei in ein eigenes Verzeichnis legen und sie dort entpacken Danach mu nur die Programmdatei webalizer in ein bin Verzeichnis kopiert werden Die Konfigurationsdatei kann im Webalizer Verzeichnis oder in etc liegen Eine gute manual page verbirgt sich in der Datei webalizer 1 6 4 2 Konfiguration Nach Installation des Webalizers enth lt das Verzeichnis eine Standard
127. und Verschwinden von Daten ver borgen und oder vergessen Ungeschickte Anwender zerst ren oder l schen Da teien mit denen sie selbst arbeiten und wenn beispielsweise der Fileserver keinen gen gend restriktiven Zugriffsschutz bietet kann der Betreffende durch ein Mi geschick gemeinsame Programme oder Daten l schen Weitere Beispiele menschlicher Fehler sind Fehlbedienung und verkehrte Instal lation von Programmen Fehlbedienungen k nnen unterschiedliche Folgen ha ben von kleineren Datenfehlern bis zum vollst ndigen Herunterfahren des lo kalen Netzes Kritisch ist es auch wenn nur wenige Mitarbeiter des Unterneh mens bestimmte Informationen besitzen Bei Abwesenheit eines solchen Infor mationstr gers Krankheit Unfall externe Arbeitsaufgaben K ndigung Verset zung u a m k nnen unter Umst nden ganze Bereiche der Firma lahmgelegt wer den Verbrechen die gegen Daten gerichtet sind sind h ufig unrechtm iges Kopie ren von Daten und Software oder der Diebstahl von Disketten und B ndern Eine weitere Gefahrenquelle stellt die Infektion mit sogenannten Computerviren dar Das Eindringen in den Rechner via Modem und Telefonverbindung stellt eben falls eine steigende Bedrohung offener Systeme dar Verbrechen die gegen Material gerichtet sind k nnen Diebstahl von Hardwa re Zerst rung von EDV Material und Sachbesch digung von R umen umfassen Eingriffe durch Fremde oder unzufriedene Mitarbeiter k nnen Konseque
128. und aktiven Server mittels der Option a anzeigen zu lassen Bei diesem Aufruf werden zun chst die zur Zeit benutzten Verbindungen ausgegeben Dies ist dadurch gekennzeichnet da in der Spalte state der Zustand ESTABLISHED angegeben wird Anschlie end werden alle aktiven Server Prozesse angegeben d h alle Server die zur Zeit er reichbar sind Ein Auszug aus der Ausgabe von netstat a k nnte beispiels weise so aussehen Active Internet connections including servers Proto Recv Q Send Q Local Address Foreign Address State User tcp 0 0 netbios ssn x LISTEN root Cp 0 D nntp SE LISTEN root tcp 0 0 x auth pie LISTEN root tcp 0 0 sunrpe ix LISTEN root 1 6 Kommandos f r den Netzwerkadministrator 51 tcp 0 0 pop3 KE LISTEN root tcp D D x www ik LISTEN root tcp 0 0 finger EE LISTEN root tep 0 D midinet ir LISTEN root tcp 0 0 http rman HER LISTEN root tcp 0 D btx FER LISTEN root tcp 0 0 smtp KEE LISTEN root tcp 0 D telnet EE LISTEN root tcp 0 O ftp ik LISTEN root tcp 0 0 netstat KE LISTEN root tcp 0 0 x systat KEE LISTEN root tep D 0 printer ir LISTEN root tcp D 0 shell LR LISTEN root tcp 0 0 login ir LISTEN root tcp 0 0 exec KEE LISTEN root udp 0 0 rplay EE udp 0 0 netbios ns udp 0 0 sunrpc KEE udp 0 D ntalk L t udp D O stalk FER udp 0 0 x syslog SE raw 0 0 1 ix Active UNIX domain sockets Proto RefCnt Flags Type State Ino
129. us serio a era na Ee Be A 148 4 12 Die Datei robots txt 2 resas na casana tennen 149 4 13 WWW User Administration 2 2 2 22mm 150 4 14 Sichere Kommunikation mit Apache SSL 159 4 14 1 Secured Socket Layer SSL 2 222 222 159 4 14 2 Zertifikate 2 2 4 4 04 8 sus inet kai 161 4 143 Apachemit SSL 2 a kac adane ee eG en 162 4 14 4 Erstellen eines SSL Zertifikats 164 4 14 5 Konfiguration des Servers o o 167 4 14 6 Client Zertifikate 170 4 19 Die Rewrite Engime pom 8 8 2 e EE aa ala e 170 4 16 Apache 20 EE a a ei ad 175 8 Inhaltsverzeichnis 5 Die lokale Suchmaschine 185 5 1 Suchmaschinen 02 AEN aa and 185 5 2 Lokal suchen u 2 8 4 e ener Ee wa ee a 186 5 3 ht Dig 22 asa ae eee be be eee RGA ee aa es 192 5 4 Installation von ht Dig s esc s ems d o ee 194 5 5 Das Programm Draio es 195 5 6 Das Programm htmerge o o 196 5 7 Das Program Et TUZZY cosas bena ten 197 58 Das Programm Atnotify sspe nur seen ep sen 197 5 9 Das Programm htsearch EE wen sans eh 197 5 9 1 Suchbegriife 2 4 254 behead sahne 198 5 92 Suchmethode 2 2 22 2222er een 199 5 93 Ausgabe Form t scesa cias aer yapdi ae baa as 199 5 9 4 Felderim Suchformular 200 5 9 5 Steuerung der Ausgabe von htDig 201 5 10 Die Konfiguration von htDig o ooo ooo 203 5 10 1 Die Datel htidtg cont 2 2 2 220 eee
130. verschiedenen Dokumenten erzeugt werden Es werden dabei keine Doku mente erstellt sondern nur schon bestehende miteinander verbunden UNLINK entfernt Verbindungen zwischen verschiedenen Ressourcen Da bei wird nur die Verbindung gel scht Die Dokumente existieren trotzdem weiter Mit diesen Methoden kann man alle m glichen Ressourcen erreichen welche die verschiedenen Server zur Verf gung stellen Die folgenden Fel der beschreiben die Anfragen etwas genauer Man kann zum Beispiel verhin dern da ungewollt umfangreiche Bilder bermittelt werden wenn dies un erw nscht ist 4 1 6 Return Codes eines WWW Servers Ein WWW Server reagiert auf jede Anfrage mit einer Status Antwort Sie zeigt die Version des Servers an und gibt einen Ergebniscode zur ck Manchmal wird noch eine Meldung angeh ngt Die erste Zeile sieht typischerweise so aus HTTP 1 0 200 OK wobei HTTP 1 0 die HTTP Version ist 200 ein Fehlercode und OK die zugeh ri ge Meldung Es gibt nat rlich viele andere Codes m R ckmeldungen im Bereich 2xx melden Erfolg Der Body sofern vorhanden ist das Objekt das die Anfrage zur ckgibt Der Body mu im MIME Format vorliegen Wichtige Codes sind 200 OK Die Anforderung war erfolgreich 201 Created Antwort auf den POST Befehl 202 Accepted Anforderung wird bearbeitet noch nicht abgeschlossen 203 Partial Information Antwort auf den GET Befehl 204 No Response Anforderung erhalten es gibt keine R ckin
131. versehen reicht das Einsetzen von available no in der smb conf um alles zu deaktivieren hide dot files Mit dem Wert yes l t sich die Anzeige jener Dateien unter dr cken deren Name mit einem Punkt beginnt zum Beispiel profile Unter Unix werden sie als versteckt behandelt Ist die Unterdr ckung f r Samba ein geschaltet werden die betroffenen Files f r DOS als versteckt markiert invalid users Mit Hilfe dieser Liste lassen sich die angegebenen Anwen der von der Nutzung einer Share ausschlie en Das ist besonders bei den Heimatverzeichnissen sinnvoll Standardm ig bekommt jeder auf der Unix Seite eingetragene Benutzer ein Heimatverzeichnis auch unter Windows zur Verf gung gestellt sobald eine homes Sektion existiert Sollen bestimmte Benutzer nicht unter diese Regelung fallen k nnen sie hier eingetragen wer den Wenn Sie zum Beispiel f r die Benutzermueller meier und die Grup pe gaeste keinen Heimatverzeichnisdienst anbieten wollen dann lautet der Befehl invalid users mueller meier gaeste 96 Druckdienste Mit der Druckersektion in der smb conf kann Samba neben dem Dateidienst auch einen Netzwerk Druckdienst zur Verf gung stellen Grunds tzlich kann der Server alle Drucker ansprechen die auf der Unix Seite vorhanden sind Das m ssen nicht unbedingt nur lokal angeschlossene Ger te sein auch die Weiterlei tung von Druckauftr gen an andere Print Server ist m glich 9 6 Druckdienste 297
132. werden m Neben seiner Aufgabe als Windows Server kann der Rechner zus tzlich f r andere Dienste genutzt werden wie zum Beispiel als Mailserver Die daf r ben tigte Software ist ebenfalls kostenlos erh ltlich oder wird bei einer Linux Distribution mitgeliefert m Linux Rechner sind ohne zus tzliche Software fernwartbar Damit l t sich sehr viel Geld sparen weil die Anfahrtkosten und auch die damit verbundene Zeit f r den Administrator entfallen Bei den Kosten f r ein Gesamtsystem sind das erhebliche Faktoren Windows Netze basieren auf SMB Server Message Block Dieses Protokoll wurde von IBM und Microsoft erfunden und regelt unter anderem die Datei und Druck dienste SMB ist ein Client Server System das seinerseits verschiedene bertra gungsprotokolle nutzen kann M glich sind NetBEUI IPX SPX und NetBIOS ber TCP IP Bild 9 1 zeigt die Hierarchie der einzelnen Protokollschichten SMB SMB SMB NetBIOS NetBIOS TCP UDP NetBEUI IPX SPX IP Abbildung 9 1 Schichtenmodell der Windows Netze Unter SMB sitzt das Protokoll NetBIOS das sich um die Verwaltung von Rech nernamen und den Browsingdienst k mmert Im Fall ganz rechts in Bild 9 1 ist es nicht sichtbar aber in NetBEUI integriert NetBEUI steht n mlich f r nichts an deres als NetBIOS Extended User Interface Im Gegensatz zu dem Namensraum in der TCP IP Welt kennt NetBIOS nur flache Strukturen Das hei t Ein Rechner 9
133. www xyz de P Opfer DNS fragt Hacker DNS Hacker DNS www xyz de hat 129 179 245 1 brigens www microsoft com hat 129 179 245 2 Abbildung 13 2 DNS Attacke durch Spoofing Die falsche Nachricht da www microsoft com die Adresse 129 187 244 3 hat wird vom Opfer DNS ohne jegliche Pr fung bernommen Es bieten sich weitere M glichkeiten an bernahme des DNS Servers Man kann die Position eines existierenden Nameservers komplett bernehmen Dabei finden in der Regel Denial Of Service Angriffe Anwendung um den Nameserver lahmzulegen Der Angreifer bernimmt dann die Funktion des Nameservers und liefert falsche Informationen Resolve Attacks In einigen Implementierungen kann der Angreifer in dem Moment in dem ein Benutzer eine Verbindung zu einem System aufbaut eine Domain Server Response an den entsprechenden Rechner senden Letz terer vermerkt den Eintrag in seiner eigenen Queue und benutzt so im folgenden die falsche IP Adresse f r seine Verbindung F r diese Art des Angriffs ist es allerdings notwendig Informationen ber den Port zu be sitzen den der Client f r seinen Resolver Service benutzt Au erdem mu dem Angreifer die DNS Sequenznummer ISN bekannt sein Diese Infos sind aber oft leicht zu erhalten z B ber netstat Diese Art des Angriffs wird zum Beispiel verwendet um Hompages zu entf hren Dabei wird meist nur ein Eintrag im DNS gef lscht wodurch alle Benutzer
134. zu benutzen sowie die Dateien zwischen den Systemen hin und her zu kopieren NFS RFC 1094 Das Network File System erm glicht den Zugriff auf Datei en an einem entfernten System so als w ren sie auf dem eigenen Man nennt dies auch einen transparenten Dateizugriff NFS basiert auf den zur TCP IP Familie geh renden UDP User Datagramm Protokollen ebenfalls Schicht 4 RFC 768 Im Unterschied zu TCP baut UDP keine gesicherten virtuellen Verbindungen zwischen kommunizierenden Hosts auf Aufgrund dieser Ei genschaft ist es f r den Einsatz in lokalen Netzen vorgesehen NNTP RFC 977 Das Network News Transfer Protocol spezifiziert Vertei lung Abfrage Wiederauffinden und das Absetzen von News Artikeln inner halb eines Teils oder der gesamten Internet Gemeinschaft Die Artikel werden in regional zentralen Datenbasen gehalten Einem Benutzer ist es m glich aus dem gesamten Angebot nur einzelne Themen zu abonnieren SMTP RFC 821 822 Das Simple Mail Transfer Protokoll RFC 821 ist ein auf der IP Adressierung sowie auf der durch den RFC 822 festgelegten Namens struktur basierendes Mail Protokoll DNS RFC 920 Der Domain Name Service unterst tzt die Zuordnung von 26 1 Einf hrung Netz und Host Adressen zu Rechnernamen Dieser Service ist z B erforder lich f r die Anwendung von SMTP sowie in zunehmendem Ma e auch f r Telnet und FTP Aus Sicherheitsgr nden wendet sich der fremde Host an den DNS um zu pr fen ob de
135. 00 Zeitlimit f r Client Anfragen in Sekunden StartServers 5 Es werden automatisch 5 Kindprozesse des Apache gestartet 128 4 WWW Server Apache MaxClients 150 Maximum von gleichzeitig laufenden Server Prozessen Faustregel 2 4 MByte Speicherbedarf je Proze Der Rechner hat 256 MByte Arbeitsspeicher gt 150 Prozesse m MaxRequestsPerChild 30 Nach 30 Anfragen wird der Kindproze beendet und gegebenenfalls ein neuer gestartet m MinSpareServers 5 MaxSpareServers 10 Es existieren immer mindestens 5 und h chstens 10 leerlaufende Prozesse KeepAlive On Unterst tzung der HTTP 1 1 Persistent Connections Da durch k nnen ber eine TCP Verbindung mehrere Anfragen an den Server geschickt werden m MaxKeepAliveRequests 10 Es werden 10 aufeinanderfolgende Anfragen in nerhalb einer Keep Alive Verbindung erlaubt m KeepAliveTimeout 15 Der Server wartet maximal 15 Sekunden auf weitere Anfragen des Clients bei einer Keep Alive Verbindung m IdentityCheck Off Apache soll keinen IDENT Lookup ausf hren m HostnameLookups Off Es sollen keine DNS Lookups ausgef hrt werden ContentDigest On Es wird ein Content MD5 Header erzeugt und an den Cli ent zur ckgeschickt BrowserMatch Mozilla 2 nokeepalive BrowserMatch Java 1 0 force response 1 0 BrowserMatch JDK 1 0 force response 1 0 BrowserMatch RealPlayer 4 0 force response 1 0 Hiermit wird Apache angewiesen auf bestimmte Browser unterschiedlich zu reagi
136. 000 gt lt Hl gt Durchsuchen von Webseiten lt Hl gt Derzeit sind folgende Server in das Suchsystem eingebunden lt UL gt lt LI gt www netzmafia de lt LI gt www fh muenchen de lt LI gt www e technik fh muenchen de lt LI gt www lbs e technik fh muenchen de lt UL gt lt P gt Geben Sie im folgenden Formular die Suchbegriffe an nach denen gesucht werden soll Mehrere Suchbegriffe k amp ouml nnen mit einem Leerzeichen oder einem Pluszeichen voneinander getrennt werden Die Grosszlig Kleinschreibung ist f amp uuml r die Suche ohne Bedeutung Durch Auswahl von verschiedenen Such Parametern k amp ouml nnen Sie Ihre Suche verfeinern lt br gt Ausf amp uuml hrliche Informationen zur Suche mit ht dig erhalten Sie im lt a href help html gt Hilfstext lt a gt lt P gt lt form method post action cgi bin htsearch gt lt table width 90 border 0 gt lt tr gt lt td gt Suche nach lt td gt lt td colspan 2 gt lt input type text size 30 name words value gt lt td gt lt td gt lt input type submit value Start name submit gt lt td gt lt tr gt lt br gt lt td gt Suche beschr amp auml nken auf lt td gt lt td gt lt select name restrict gt lt option value selected gt alle lt option value www netzmafia de gt Netzmafia lt option value www fhm edu gt FH M amp uuml unchen lt option value www ee fhm edu gt FB Elektrotechnik lt select gt lt td gt l
137. 06 icmp_seg 3 ttl 242 time 3 64 bytes from 129 187 206 icmp_seg 4 tt1 242 time 4 64 bytes from 129 187 206 icmp_seg 5 ttl 242 time 4 64 bytes from 129 187 206 icmp_seg 6 ttl 242 time 4 64 bytes from 129 187 206 icmp_seg 7 ttl 242 time 4 64 bytes from 129 187 206 icmp_seg 8 ttl 242 time 4 64 bytes from 129 187 206 icmp_seg 9 tt1 242 time 4 A A ASAS 00000090 NPOUN BORE whUBOWOWWO 3 a www e technik fh muenchen de ping statistics 10 packets transmitted 10 packets received 0 packet loss round trip min avg max 39 9 42 9 48 9 ms 1 6 2 Das Arp Kommando Das Address Resolution Protocol dient der Zuordnung von Internet Adressen zu Ethernet Adressen Zu diesem Zwecke existiert eine Adre umwandlungsta belle adress translation table die normalerweise vom ARD selbst ndig aktuali siert wird Mit der Option a wird der aktuelle Inhalt der Tabelle ausgegeben arp a Net to Media Table 50 1 Einf hrung Device IP Address Mask Flags Phys Addr led brokrz lrz muenchen de 255 255 255 255 00 00 a2 0f 76 97 led infoserv rz fh muenchen de 255 255 255 255 00 e0 29 06 18 d3 led flynt rz fh muenchen de PA e RA SE 00 e0 29 08 49 1 led kobra rz fh muenchen de 2533 2358 255 255 00 08 07 89 6c ce led netmon rz fh muenchen de 255 255 255 255 00 e0 29 0e 83 92 led linux4 rz fh muenchen de 255 255 255 255 O02 00 ses 93319203 led linux5 rz fh muenchen de 255 255 255 255 00 00 c0 37 19 03
138. 1 690 bytes fetchmail SMTP connect to null failed fetchmail POP3 gt QUIT fetchmail POP3 lt fetchmail SMTP transaction error while fetching from mail provider de fetchmail normal termination status 9 Die Ursachen k nnen vielf ltig sein fetchmai1 will meist die Mails an den lokal laufenden sendmai1 Proze weiterleiten doch gibt es keinen solchen Starten Sie in diesem Fall den sendmail Wenn zwar ein sendmail Proze l uft dieser aber nicht angesprochen werden kann versuchen Sie den Fehlerort einzugrenzen m Rechnernamen bestimmen hostname im folgenden myhost genannt m sendmail aufmyhost ansprechen Versuchen Sie es mit telnet myhost 25 2 5 Spamfilter In der Anfangszeit des Internet nahmen Mail Systeme von jedem Rechner E Mails entgegen und leiteten sie entweder direkt an den jeweiligen Empf nger oder an einen anderen Mail Server weiter egal ob die Beteiligten zum eigenen Netzbe reich geh rten oder nicht Leider mi brauchen heute sogenannte Spammer diese Offenheit um massenweise E Mails mit Werbung zu verschicken Da die eigene Internet Anbindung via Modem zu langsam ist und zudem Kosten daf r anfal len suchen sich die Spammer leistungsf hige Mailsysteme im Internet denen sie eine einzige Mail mit einer langen Empf ngerliste bermitteln Der Server ber nimmt die weitere Verteilung und verschleiert noch dazu die wahre Herkunft des Werbem lls Den Schaden hat der Betreiber des Servers Er tr gt
139. 1 Majordomo Webinterfaces Inzwischen gibt es etliche Webinterfaces f r Majordomo sowohl f r den Benutzer als auch f r den Verwalter Manche Systeme erlauben sogar die Suche in Listen Archiven Einige davon sind ber die folgenden Links zu erreichen m LWGate http www netspace org users dwb lwgate html m Regan s http www peak org peak_info mlists Majordomo html m MajorCool http www ncr com pub software MajorCool m MailServ http www csicop org fitz www mailserv m Pandora http www ed umuc edu pandora m Maitre d http www landw com wps content2 htm ch12 Marcos http www inf utfsm cl marcos majordomo www html m ListTool http www listtool com m Wilma archive interface ftp sol ccsf cc ca us majordomo contrib m ListQuest archive search interface http lq corenetworks com 11 6 2 Majordomo Webinterface selbstgemacht Ein einfaches Webinterface f r die Benutzer der Mailinglisten wollen wir Ihnen hier vorstellen Das WWW Formular erm glicht alle Benutzerfunktionen Der Li stenname wird im Formular verankert damit man f r jede Liste ein Eingabefor mular erzeugen kann Au erdem l t sich festlegen wohin man per Link sprin gen kann wenn die Best tigung auf dem Bildschirm erscheint Das Formular lie fert insgesamt f nf Variablen m list Name der Mailingliste m origin Link zum Verzweigen von der Antwortseite aus m email E Mail Adresse des Subskribenten m action
140. 113 Die angegebene Datei enth lt die shutdown Informationen zum Herunterfahren wu ftpd pr ft in regelm ligen Abst nden ob diese Datei vorhanden ist Ist sie da liest wu ftpd die shutdown Informationen im Format year month day hour minute denyTime disconnectTime message In den ersten f nf Feldern wird die genaue Zeit f r das Herunterfahren fest gelegt month ist eine Festkommazahl im Bereich von 0 bis 11 hour eine Festkommazahl im Bereich von 0 bis 23 denyTime ist die Anzahl der Stunden und Minuten vor dem Herunterfahren in denen den Benutzern der Zugriff auf den FTP Dienst verweigert wird disconnect Time ist die Anzahl der Minuten vor dem Herunterfahren in der die Verbindung zwischen dem aktiven Benut zer und dem FTP Dienst unterbrochen wird Sowohl f r denyTime als auch f r disconnectTime wird das Format HHMM verwendet Die Datei kann mit dem Kommando ftpshut siehe unten erzeugt werden 3 4 8 Die Verwaltungswerkzeuge ftpshut Der Befehl weist den Benutzer darauf hin da der Dienst bald heruntergefahren wird verweigert den Benutzern den Zugriff wenn der ftp Server heruntergefah ren wird und f hrt das Herunterfahren des Dienstes aus Neuen Benutzern wird der Zugriff auf den FTP Dienst standardm ig 10 Minuten vor dem Herunterfah ren verweigert bei aktiven Benutzern wird die Verbindung standardm ig f nf Minuten vor dem Herunterfahren unterbrochen Sie k nnen diese Standardpara meter beim Aufruf nder
141. 192 168 1 99 default lease time 1200 max lease time 86400 In diesem Beispiel wurde die Standard Lease Zeit auf 20 Minuten und die maxi male auf einen Tag festgelegt Die Konfiguration ber cksichtigt viele nderungen und w re auch f r den Einsatz von Laptops brauchbar Soll der DHCP Server f r bestimmte Rechner feste IP Nummern vergeben Manual Alloction mu in der Konfigurationsdatei die Ethernet Adresse der Klientennetzwerkkarte eingetragen werden Diese Adresse l ft sich bei PCs meist mit den zur Netzwerkkarte mitgelieferten Diagnoseprogrammen ermitteln Der entsprechende Eintrag in die dhcpd conf lautet dann host pc5 hardware ethernet 08 07 06 05 04 03 fixed address 192 168 1 15 Dabei ist pc5 der Name des Rechners mit der Ethernetadresse 08 07 06 05 04 03 Die zugewiesene IP Adresse ist 192 168 1 15 Optional l t sich in der Konfiguration angeben daf ein Klient ohne eigene Fest platte von einem Server via BOOTP und TFTP booten kann Dazu mu der DHCP Server ein Verzeichnis mit den Boot Images bereithalten blicherweise werden auf diese Weise X Terminals gestartet Dazu ein Beispiel host xterml hardware ethernet 04 03 02 01 02 03 fixed address 192 168 1 110 filename tftpboot xterml boot 322 10 DHCP Netzwerk Client f r Microsoft Netzwerke Realtek RTL8029 45 PCI Ethernet NIC Lee Capus _ Eigenschaten Client f r Microsoft Netzwerke Abbildung 10 2 Aktivierung
142. 192 168 131 rev Name der Tabelle y Bis hierhin sieht alles noch recht einfach aus W hrend Sie beim Aufsetzen der anderen Server nach dem Erstellen der Konfigurationsdatei schon mit der Arbeit fertig waren geht es beim prim ren Server jetzt erst richtig los Sie m ssen die DNS Tabellen Ihrer Dom ne selbst erstellen und sp ter auf dem aktuellen Stand halten Beginnen wir mit einem Beispiel f r die Datei var named net zmafia zone die die Adre daten f r die Vorw rtsaufl sung enth lt Eine Beispieldatei w re Zonendatei fuer die Domaene netzmafia de H STTL 1D in SOA orakel netzmafia de dnsadmin orakel netzmafia de 2002021801 Seriennummer 10800 Refresh 3 Stunden 3600 Retry 1 Stunde 604800 Expire 1 Woche 86400 Min TTL 1 Tag NS orakel netzmafia de MX 10 orakel netzmafia de MX 50 mail irgendeinprovider de orakel A 192 168 131 252 menetekel A 192 168 132 251 pandora A 192 168 131 248 HINFO Pentium DOSe WWW CNAME menetekel ftp CNAME menetekel Beginnen wir bei der Erkl rung des Datei Inhaltes zun chst mit dem SOA Eintrag Die erste Zeile war bereits im Reversed File f r den Loopback aufge taucht und bestimmt den Namen des Rechners auf dem die Zonendatei liegt und die E Mail Adresse des Verwalters Achten Sie hierbei wieder darauf da am Ende der Adressen jeweils noch ein geschrieben werden mu und in der Mailadresse auch das durch einen Punkt ersetzt wird Im
143. 2 Installation und Konfiguration 279 wird nur anhand seines maximal 15 Zeichen langen Namens erkannt der ein deutig sein mu Statt pc5 xyz com beim TCP IP Netz hei t ein Rechner im Windows Netz also nur pc5 Folglich lassen sich damit auch nur Strukturen be grenzter Gr e realisieren Samba verwendet von den drei Protokollvarianten nur die mittlere NetBIOS ber TCP IP F r die Klientenrechner bedeutet das Neben dem Client Dienst f r Microsoft Netzwerke mu auf ihnen das bertragungsprotokoll TCP IP instal liert sein und sie m ssen eine IP Nummer besitzen Der eigentliche Kern des Samba Paketes besteht aus zwei Programmen nmbd und smbd nmbd realisiert die NetBIOS Dienste ber TCP IP w hrend smbd die SMB Services zur Verf gung stellt 9 2 Installation und Konfiguration Die neueste Version von Samba kann man ber den Webserver des Projektes www samba org holen Dort liegen f r eine Vielzahl von Betriebssystemen be reits fertig bersetzte Bin rpakete bereit Sollten Sie das Paket trotzdem selbst bersetzen m ssen gehen Sie wie folgt vor m Nach dem Download entpacken Sie das Sambapaket mit tar xzv f samba xyz tgz xyz steht dabei f r die aktuelle Versionsnummer m Wechseln Sie in das gerade erzeugte Verzeichnis mit den Samba Quelltexten starten Sie die automatische Konfiguration und bersetzen Sie anschlie end die Quellen Das geschieht mit den Kommandos cd samba 2 2 source configure make
144. 26 ms 4 508 ms 5 53 ms 4 Cisco ECRC Hl 0 Space Net 193 149 44 2 5 977 ms 6 273 ms 20 832 ms 5 munich ebs2 s0 0 0 ebone net 192 121 158 189 14 415 ms 7 018 ms 8 575 ms newyork ebs1 s5 0 0 ebone net 195 158 224 21 137 35 ms 39 103 ms 138 14 ms 7 serial0 0 1 br1 nyc4 ALTER NET 137 39 23 81 137 132 ms 41 742 ms 141 207 ms 8 34 ATM2 0 XR1 NYC4 ALTER NET 146 188 177 178 135 375 ms 28 12 ms 165 913 ms 9 89 ATM3 0 TR1 EWR1 ALTER NET 146 188 179 54 141 83 ms 44 798 ms 362 469 ms 0 05 ATM4 0 TR1 DCA1 ALTER NET 146 188 136 185 145 321 ms 47 889 ms 52 43 ms 1 299 ATM6 0 XR1 TCO1 ALTER NET 146 188 161 169 354 577 ms 33 535 ms 348 647 ms 2 93 ATM8 0 0 GW2 TCO1 ALTER NET 146 188 160 49 152 444 ms 369 313 ms 50 106 ms 3 uu peer ocl2 core ai net 205 134 160 2 365 008 ms 509 81 ms 44 898 ms 4 border ai invlogic com 205 134 175 254 270 065 ms 341 586 ms 53 441 ms 5 router invlogic com 198 182 196 1 356 496 ms 506 371 ms 532 983 ms 6 www linux org 198 182 196 56 584 957 ms 300 612 ms 380 004 ms On Neben diesen einfachen Tools gibt es f r den Administrator spezielle Werkzeuge zur Fehlersuche im Netz z B etherreal oder ngrep 1 7 Schutzmechanismen des Dateisystems 53 1 7 Schutzmechanismen des Dateisystems Eigentlich sollte jeder Leser dieses Buchs ber die Dateizugriffsrechte Bescheid wissen Da diese Zugriffsrechte jedoch den essentiellen Teil aller Sicherheitsma nahmen bilden und
145. 350 12 Webforum einrichten mit Hypermail with httpdir opt www with cgi dir opt www cgi with html dir opt www htdocs hypermail make make install Danach sollte das Verzeichnis opt www hypermail mit zwei Unterverzeich nissen bin und man vorhanden sein die folgenden Inhalt haben bin rwxr xr x 1 root root 118076 Feb 27 2001 hypermail rwxr xr x 1 root root 30102 Feb 27 2001 msg2archive rwxr xr x 1 root root 29266 Feb 27 2001 rdmsg man tetal 2 drwxr xr x 2 root root 1024 Feb 27 2001 manl drwxr xr x 2 root root 1024 Feb 27 2001 man4 man manl total 19 rw r r 1 root root 17476 Feb 27 2001 hypermail 1 man man4 total 17 rw r r 1 root root 15626 Feb 27 2001 hmrc 4 Die Manualpages kann man bei Bedarf auch nach usr man manl bzw usr man man4 oder die entsprechenden Bereiche in usr local man kopieren Dann m ssen Sie nur noch das Verzeichnis f r die zu erzeu genden Webarchive neu anlegen in unserem Beispiel ist dies usr local httpd htdocs hypermail Damit sendmail in die Verzeichnisse schreiben kann m ssen die Verzeichnisse anschlie end dem User und der Gruppe von sendmail daemon bereignet werden mit dem chown Kommando Wenn Sie mehrere Foren einrichten ist es sinnvoll f r jedes Forum ein eigenes Verzeichnis vorzusehen Dann erstellen Sie eine Datei namens index html die dann Links auf die einzelnen Foren enth lt Ein Auszug der Ausgabe des 1s Kommandos sieht beispielswe
146. 354 Enter mail end with on a line by itself Betr Ihre Anfrage wg Einlass in den Himmel Es tut uns leid aber wir koennen Sie als Systemadministrator nicht bei uns aufnehmen und haben Ihre Anfrage an unser Tochterunternehmen www hell org weitergeleitet Mit freundlichen Gruessen i V Petrus 250 PAA00111 Message accepted for delivery quit 221 victim goodguys de closing connection Connection closed by foreign host m Gef lschte Newsbeitr ge Auf die gleiche Art und Weise kann sich jemand in den Newsgruppen den schwarzen Brettern des Internet genauer des USENET als Angeh riger Ihres Unternehmens ausgeben und durch entsprechende Ver ffentlichungen den Ruf der Firma empfindlich sch digen Beispiel Jemand postet Berichte ber h ufiges Auftreten von Salmonellen bei McDonalds m Abh ren von Daten Wie schon mehrfach erw hnt besteht im Internet auch generell die M glich keit Daten auf dem Weg durchs Netz abzuh ren oder sie abzufangen und ver ndert weiterzugeben Loginnamen und Pa w rter werden oft im Klartext bertragen Abh ren w rend der bertragung ist m glich Mehr dazu weiter unten m Gaunereien Kettenbriefe Schneeballsysteme Verkauf von Diebesgut Angebote nicht exi stierender Waren usw gibt es nat rlich auch im Internet 13 5 Pa wort raten social engineering Die gr te Sicherheitsl cke ist nach wie vor der Benutzer selbst Pa w rter wer den aufgeschrieben klassisches
147. 6 2 E Mail Server Mails grunds tzlich in die Queue stellen es handelt sich um die Voreinstel lung von Sendmail confUSERDB_SPEC Es wird eine Datenbank userdb f r die Zuordnung lokaler Loginnamen zu den jeweiligen E Mail Adressen des Providers benutzt always_add_domain masquerade_envelop Domainnamen stets hinzuf gen gesamten Mail Header umsetzen confSERVICE_SWITCH_FILE sendmail mit SMTP aber ohne DNS nur falls der Provider keinen DNS hat nocanonify nodns Nameserver Anfragen und somit einen Verbindungsaufbau bei einer Dial On Demand Konfiguration vermeiden nocanoni fy ist auch f r die Verwen dung einer sendmail cw n tig confTRUSTED_USERS Hier werden Benutzer angegeben die den Header der Mail selbst anpassen d rfen procmail und PROCMAIL_MAILER_PATH werden nur ben tigt wenn die lokale Auslieferung ber procmail erfolgen soll confCW_FILE und use_cw_file sind zu definieren wenn zum Header Rewriting die Datei sendmail cw im gleichen Verzeichnis wie sendmail c verwendet werden soll SMART_HOST gibt den Mailhost des Providers an Ohne diese Zeile liefert sendmail Mails direkt beim Mail Server des Empf ngers ab Mit dieser Zeile in der mail provider de durch den Namen des Mail Servers des Providers zu ersetzen ist werden alle Mails dort abgeliefert und dieser bernimmt die Weiterleitung Es kann sein dass dies auch nde
148. 68 253 2 IPADDR_2 192 168 253 3 IPADDR_3 192 168 253 4 IPADDR_4 192 168 253 5 network device names e g eth0 NETDEV_0O eth0 NETDEV_1 eth0 1 NETDEV_2 eth0 2 NETDEV_3 eth0 3 NETDEV_4 eth0 4 parameteres for ifconfig IFCONFIG_0 192 168 253 1 broadcast 192 168 253 255 netmask 255 255 255 0 up IFCONFIG_1 192 168 253 2 broadcast 192 168 253 255 netmask 255 255 255 0 up IFCONFIG_2 192 168 253 3 broadcast 192 168 253 255 netmask 255 255 255 0 up IFCONFIG_3 192 168 253 4 broadcast 192 168 253 255 netmask 255 255 255 0 up IFCONFIG_4 192 168 253 5 broadcast 192 168 253 255 netmask 255 255 255 0 up 144 4 WWW Server Apache Die Konfiguration kann nat rlich auch in irgendeinem Startskript erfolgen Es sind dann folgende Kommandos notwendig ein Routing zwischen den Pseudo Interfaces ist nicht n tig ifconfig eth0 192 168 253 1 broadcast 192 168 253 255 netmask 255 255 255 0 up ifconfig eth0 1 192 168 253 2 broadcast 192 168 253 255 netmask 255 255 255 0 up ifconfig eth0 2 192 168 253 3 broadcast 192 168 253 255 netmask 255 255 255 0 up ifconfig eth0 3 192 168 253 4 broadcast 192 168 253 255 netmask 255 255 255 0 up ifconfig eth0 4 192 168 253 5 broadcast 192 168 253 255 netmask 255 255 255 0 up Das ifconfig Kommando ohne Parameter sollte dann folgende Ausgabe lie fern etho Link encap Ethernet HWaddr 00 00 E8 7C C2 AB inet addr 192 168 253 1 Bcas
149. 8 TCP Transmission Control Protocol 33 1 4 Domain Name System DNS o o o ooo oo ooo o 40 1 4 1 Komponenten des DNS lt si soto maene nae puaa 41 15 TCP IP unter UNIX und Linux 43 1 5 1 Schnittstellenkonfiguration mit ifconfig 43 1 5 2 Netzdienste konfigurieren s o oo o s 44 1 5 3 Systemnamen und Internet Adressen 44 1 5 4 Services ese cad a a a 45 1 5 5 Netzdienste starten 47 15 6 Protokolle lt p ia rod ia a BS 48 1 6 Kommandos f r den Netzwerkadministrator 49 1 6 1 Das Ping Kommando oo 49 1 6 2 Das Arp Kommando o o 49 1 6 3 Das Netstat Kommando 2 2 22 222 2 50 1 6 4 Das Traceroute Kommando 22 22 222000 51 1 7 Schutzmechanismen des Dateisystems 2 2222 53 1 8 Start und Stop von Diensten 2 2 2222 nennen 54 1 9 Partitionierung der Platte coia aces dagad sag a aat aia 56 1 10 Disk O otas e At EI ne A Bare EE ar ea Ed 57 1 11 NFS Server oros ms NR a 0 000 win EE ee en 60 6 Inhaltsverzeichnis 2 E Mail Server 63 2 1 E MailGr ndlagen 2 a 00 a EEN E a ao 63 2 1 1 Ein Blick auf den Briefkopf spo sactan gaa siaaa 64 2 1 2 Mailing Listen 2 22 0 ser sem nenn 65 2 1 3 WasistMIME e 66 2 14 POP Post Office Protocol 68 2 1 5 IMAP Internet Message Access Protocol 69 2 1 6 Sendmail der Standard MTA 69 2 2 Se
150. Anzahl der gleichzeitig aktiven Verbindungen ab F r jede gleichzeitige Verbindung zu einem Client wird ein eigener Apache Proze 3 ben tigt Aus diesem Grund ist es sinnvoll die Anzahl der maximalen Client Verbindungen abzusch tzen und auf jeden Fall einzuschr nken Faustregel zwei bis vier MByte pro Serverpro zefs Der genaue Wert h ngt von der Gr e des Serverprozesses und von der 140 4 WWW Server Apache Gr e der gegebenenfalls gleichzeitig eingesetzten CGI Programme ab Die ma ximale Zahl der Prozesse ergibt sich dann aus der Formel Anzahl freier Arbeitsspeicher 4 MByte Beachten Sie auch da beim Apache die Gr e des Serverprozesses auch von der Anzahl der eingebundenen Module abh ngt Beim Apache erfolgt die Angabe der maximalen Client Anzahl in der Datei http conf mit MaxClients Anzahl Soll der h chstm gliche Wert von 256 Clients noch weiter hochgesetzt werden so mu in der Datei Configuration im Quellverzeichnis des Apache der Wert HARD_SERVER_LIMIT ver ndert werden Ber cksichtigen Sie da bei der Intel Architektur systembedingt nur ein Hauptspeicherausbau bis vier GByte m glich ist die meisten Motherboards erlauben sogar nur 768 MByte Die verwendeten Festplatten sollten eine m glichst niedrige Zugriffszeit be sitzen da im Webbereich haupts chlich viele kurze Dateien gelesen werden und die meiste Zeit mit der Positionierung des Schreib Lesekopfes verbraucht wird Grunds tzlich sollte man SCSI
151. BAK HEADER README RCS core Diese Dateien werden nicht durch FancyIndexing angezeigt ReadmeName README Die Datei README wird bei der Ausgabe des Ver zeichnisbaums angezeigt HeaderName HEADER Die Datei HEADER wird am Anfangs Tag in den Ver zeichnisindex eingef gt AccessFileName htaccess Jedes Verzeichnis kann eine Datei htaccess enthal ten in der Zugriffsbeschr nkungen eingetragen werden k nnen Hier wird nur der Name festgelegt Ob die Datei berhaupt Verwendung finden darf wird im Access Teil der Konfigurationsdatei bestimmt DefaultType text plain Dateien ohne Endung werden wie Text Files behan delt AddType text html shtml Dateien mit der Endung shtml wird der Mime Typ text html zugeordnet Der Teil der fr her in access conf stand legt die Zugriffsrechte auf einzelne Verzeichnisse und ab Apache Version 1 1 auf Dateien fest Man kann so Ver zeichnisse mit Benutzerkennung und Pa wort sch tzen Wie die Eintr ge genau aussehen erl utern wir sp ter bei der Behandlung der Datei htaccess Man kann den Zugriff entweder ber einzelne Dateien namens htacces in den Ver zeichnissen unterhalb von Document Root regeln oder effizienter in der Datei httpd conf Bei den einzelnen Verzeichnissen k nnen verschiedene Optionen angegeben werden All alle au er MultiViews Includes Server side Includes sind erlaubt IncludesNOEXEC Server side Includes sind bis auf exec und include CGI
152. Beispiel der Zettel der unter der Tastatur klebt oder sind dem pers nlichen Umfeld entnommen Vornamen von Frau Mann 370 13 Server Sicherheit Kindern Hund die eigene Telefonnummer die Automarke usw Selbst das Pa wort geheim wird immer noch angetroffen Auch Joshua aus dem Film War Games war eine Zeitlang sehr beliebt bertroffen wird das nur noch von 1234567 oder qwertz Wer sich ein kompliziertes Pa wort nicht merken kann sollte es mit den Anfangsbuchstaben eines Merksatzes versuchen So er gibt z B Fest gemauert in der Erden steht die Form aus Lehm gebrannt Schil ler Lied der Glocke das Pa wort FgidEsdFaLg Es gibt brigens Pa wort Knackprogramme die einfach und brutal das Rechtschreibw rterbuch Namens listen usw verwenden um Pafsw rter durch Probieren herauszufinden Es gibt immer noch Benutzer die ihr Pa wort freiwillig preisgeben Grunds tz lich gilt da weder der Systemadministrator noch irgend jemand sonst in der Fir ma oder beim Provider jemals Ihr Pa wort wissen mu Also cool bleiben selbst wenn der Anrufer den Untergang aller Daten prophezeit wenn er nicht sofort das Pa wort erf hrt Es geht aber auch in der Gegenrichtung Der Systemverwalter bekommt am Mon tag im Morgengrauen einen Anruf Hier ist Direktor R benk rzer Ich komme nicht mehr ins System Sie m ssen sofort mein Pa wort auf Whiskas setzen Der Sysadmin stottert Jawollll und t
153. Buffer Overflows und andere Probleme sind von ssh von vielen FTP Servern und auch von alten Sendmail Versionen bekannt Manchmal findet man einen offenen Port kann aber nicht sagen welches 380 13 Server Sicherheit Programm diesen Port benutzt Hier ist ein Tool wie lsof sehr n tzlich Alle lokal offenen Ports und die dazugeh rigen Programme kann man mit dem Kommando lso f P n i auflisten Durch die Angabe von Suchop tionen kann man gezielt nach Protokoll und Port suchen Es gibt sogar Methoden einen Portscan durchzuf hren ohne die eigene IP Adresse preisgeben zu m ssen TCP Connect Scanning Hierbei wird eine gew hnliche TCP Verbindung ge ffnet Dazu sind keine besonderen Vorkehrungen erforderlich Die Systemfunktion liefert eine direkte R ckmeldung ber Erfolg oder Fehlschlag des Versuchs Das geht sogar von Hand einfach eine Telnet Verbindung zum gew nschten Port ffnen Nachteil Die eigene IP Adresse kann vom Gegen ber mitprotokolliert werden TCP SYN Scanning Beim sogenannten half open scan wird nur das allererste Paket ein SYN Paket geschickt Anhand der Antwort SYN ACK oder RST l t sich bereits erkennen ob der Port aktiv ist Aktive Ports werden sofort wieder geschlossen so da die Gegenstelle kaum eine Gelegenheit hat die eigene IP Adresse festzustellen TCP FIN Scanning Funktioniert teilweise sogar durch Firewalls hin durch Bei den meisten R
154. Costales und Allman sendmail erschienen bei O Reilly weiter Auf einige wichtige Konfigurationsm glichkeiten gehen wir an dieser Stelle ein Wichtig insbesondere bei virtuellen Servern ist es da sich sendmail f r alle virtuellen Adressen zust ndig f hlt Dies erreicht man auf zwei Arten m Eintragen der Hostnamen beim Makro Cw in der sendmail cf m Oder Sie tragen in der sendmail mc die Zeile FEATURE use_cw_file ein Dann k nnen alle Host Aliase in die Datei etc sendmail cw eingetra gen werden was wesentlich flexibler ist Wenn der eigene Mailserver nicht st ndig mit dem Internet verbunden ist son dern beispielsweise ber eine Dial Up Verbindung nur gelegentlich mit dem Pro vider Verbindung aufnimmt ist die Standard Konfiguration fatal Denn hier ver sucht sendmail jede E Mail sofort abzusenden was nat rlich einen Verbin dungsaufbau zum Provider zur Folge hat Das zweite Problem dabei ist das Ab holen der E Mails Zwar speichert der Mailserver des Providers die E Mails aber es wird nur in besimmten Abst nden versucht die E Mails zuzustellen Und das klappt nat rlich nur wenn beim Zustellversuch Ihr System gerade online ist Die L sung dieses Problems bietet fetchmail Wir gehen darauf weiter unten ein Bleiben wir bei der sendmail Konfiguration f r eine Dial Up Verbindung Wir m ssen nur daf r sorgen da die E Mails in der lokalen Mail Queue bleiben bis die PPP Verbindung zum Provider aufgeb
155. F bin true set this to your PostScript to text converter get it from the ghostscript 3 33 or later package SCATPS usr bin ps2ascii set this to your PDF to text converter and pdfinfo tool get it from th xpdf 0 90 package at http www foolabs com xpdf SCATPDF usr local bin pdftotext SPDFINFO usr local bin pdfinfo Wer will kann auch den Acrobat als PFD Parser einsetzen Um deutsche Worddokumente richtig zu parsen ist beim Aufruf von catdoc noch eine Anpassung des Skriptes notwendig Suchen Sie die Zeile elsif magic 320 317 021 340 it s MS Word im Quelltext von parse_doc pl Dort steht dann der Kommandoaufruf von catdoc Erg nzen Sie die Kommadozeile um die Definition des Zeichensatzes s 8859 1 und d 8859 1 elsif magic 320 317 021 340 it s MS Word Sparser SCATDOC Sparsecmd Sparser a w s 8859 1 d 8859 1 SARGV O type Word Sdehyphenate 0 Word documents not likely hyphenated 5 12 Dokumente mit nationalen Zeichens tzen 215 Wenn Sie conv_doc pl verwenden lautet die Programmsequenz elsif Smagic 320 317 021 340 it s MS Word Scvtr SCATDOC Scvtcmd Scvtr a w s 8859 1 d 8859 1 SARGV 0 type Word Sdehyphenate 0 Word documents not likely hyphenated Die vorgestellten Parser m ssen ber das Attribut external_parsers in die Da tei
156. FIN Bits Final Verbindungsende und der unabh ngige Verbindungsabbau Bild 1 9 zeigt schematisch den zeitlichen Ablauf Server Prozesse lauschen auf bestimmten Portnummern listen Per berein kunft werden dazu Ports niedriger Nummern verwendet F r die Standarddien ste sind diese Portnummern in den RFCs festgeschrieben Ein Port im listen Modus ist gewisserma en eine halboffene Verbindung Nur Quell IP und Quell port sind bekannt Der Serverproze kann vom Betriebssystem dupliziert wer den so da weitere Anfragen auf diesem Port behandelt werden k nnen Die Client Prozesse verwenden normalerweise freie Portnummern die vom lokalen Betriebssystem zugewiesen werden Portnummer gt 1024 Den gesamten Lebenszyklus einer TCP Verbindung beschreibt die Grafik 1 10 in einer relativ groben Darstellung Erkl rung der Zust nde m LISTEN Warten auf ein Connection Request m SYN SENT Warten auf ein passendes Connection Request nachdem ein SYN gesendet wurde SYN RECEIVED Warten auf Best tigung des Connection Request Acknow ledgement nachdem beide Teilnehmer ein Connection Request empfangen und gesendet haben ESTABLISHED Offene Verbindung FIN WAIT 1 Warten auf ein Connection Termination Request des Kommu nikationspartners oder auf eine Best tigung des Connection Termination das vorher gesendet wurde m FIN WAIT 2 Warten auf ein Connection Termination Request des Kommuni kationspartners m CL
157. Geld oder Sachmittel unterst tzen kann und sollte N heres finden Sie auf der Apache Webseite www apache org Die Apache Autoren beschreiben den Server 1 3 folgenderma en 4 3 Installation des Apache 123 Highly configurable extendable robust fast standards compliant pre forking efficient constantly evolving user motivated user supported collabora tively developed well tested user satisfying hugely popular Apache kann via ftp von verschiedenen Server heruntergeladen werden seine Heimat ist www apache org Das Programm ist gratis Bevor es an die Installation geht m chte ich einige Features des Apache Servers kurz beschreiben Virtual Hosts auch Multi Homing genannt Der Server kann mehrere IP Adressen bedienen Der Webserver kann deshalb jeder Organisationseinheit einen eigenen deskriptiven URL zuweisen Logging Das Logdatei Format entspricht dem CERN NCSA Format so da diverse Freeware Tools zur Analyse dieser Logfiles verwendet werden k nnen User Directories Mit diesem Feature kann ein Request der Form nttp myserver username file html auf die realexistierende Datei HOME username Userdir file html gemappt werden falls das Doku ment file html verlangt wird Die Benutzer k nnen dann ihre Webseiten selbst betreuen Security Ab Version 1 2 k nnen Zugriffsrechte auf einzelne Dateien und nicht nur auf Verzeichnisse vergeben werden Die Zugriffskontrolle basiert auf Hostnam
158. HCP Anfrage Nach dem Einschalten fordert der Klient mit Hilfe einer Broadcastmeldung DHCPDISCOVER alle DHCP Server im Netz auf ihm eine IP Adresse zuzuweisen Der oder die angespro chenen Server antworten mit einem IP Nummern Angebot DHCPOFFER das neben der IP Nummer auch den Netzwerknamen die Adresse des Routers die 10 2 Installation 317 Broadcastmaske und die maximale G ltigkeit der Daten Lease Time enth lt Der Server f r den sich der Klient entschieden hat erh lt nun eine endg ltige Reser vierungsbest tigung DHCPREQUEST die der Server seinerseits noch einmal best tigt DHCPACK Nun sind die Verhandlungen abgeschlossen und der Kli ent kann seine Adresse nutzen Nach Ablauf der ausgehandelten Lease Time mu sich der Klient erneut beim Server erkundigen ob die IP Nummer weiter verwen det werden kann Wird der Klienten Rechner schlie lich ordnungsgem herun tergefahren gibt er seine IP Nummer wieder frei indem er dem Server die Nach richt DHCPRELEASE schickt 10 2 Installation Besitzt man eine der Standarddistributionen ist die DHCP Server Software fast immer bereits auf den mitgelieferten CDs enthalten und mu nur noch installiert werden Wer gerne die neueste Version verwenden m chte oder keine Standard Distribution besitzt kann sich das ICP DHCP Paket direkt von folgendem Webserver holen http www isc org products DHCP Das entprechende Archiv mu dann nur noch lokal ent
159. Holzmann Plate Linux Server f r Intranet und Internet J rg Holzmann J rgen Plate Linux Server f r Intranet und Internet Den Server einrichten und administrieren 3 aktualisierte und erweiterte Auflage HANSER Dipl Ing J rg Holzmann Prof J rgen Plate Fachhochschule M nchen Fachbereich Elektrotechnik und Informationstechnik Alle in diesem Buch enthaltenen Programme Verfahren und Darstellungen wurden nach bestem Wissen erstellt und mit Sorgfalt getestet Dennoch sind Fehler nicht ganz auszu schlie en Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen und das Programm Material mit keiner Verpflichtung oder Garantie irgendeiner Art ver bunden Autoren und Verlag bernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung bernehmen die auf irgendeine Art aus der Benutzung dieser Informationen und des Programm Materials oder Teilen davon entsteht Ebenso bernehmen Verlag und Autoren keine Gew hr daf r da beschriebene Verfahren usw frei von Schutzrechten Dritter sind Die Wiedergabe von Gebrauchsnamen Handels namen Warenbezeichnungen usw in diesem Buch berechtigt auch ohne besondere Kenn zeichnung nicht zu der Annahme da solche Namen im Sinne der Warenzeichen und Markenschutz Gesetzgebung als frei zu betrachten w ren und daher von jedermann ver wendet werden d rften Bibliographische Information Der Deutschen Bibliothek
160. IP Dienste benutzen Ports Verbindungen werden stets zwischen einem Port auf dem Quell rechner und einem Port auf dem Zielrechner hergestellt Der Ziel Port identifiziert gleichzeitig die Art des Dienstes Als wellknown Ports sind beispielsweise 80 f r WWW 21 f r FTP und 23 f r Telnet festgelegt Portscanner durchsuchen einen oder mehrere Rechner nach erreichbaren Diensten Je nach Zweck des Portscans werden sowohl bekannte als auch unbekannte Ports untersucht Eine M glichkeit ist z B der nmap Scan http www insecure org nmap nmap sS T Aggressive p 1 10000 www irgendwer de grep open Port State Protocol Service 24 open tcp ftp 22 open tcp ssh 25 open tcp smtp 80 open tcp http 3306 open cp mysql 4333 open tcp msql www irgendwer de eigentlich ein Web und FTP Server bietet aufer dem die Dienste ftp ssh smtp mysql und msql an Davon ist ssh ein mit starker Kryptographie verschl sselndes und authentisierendes Protokoll unbedenklich Die Protokolle httpd ftp und smtp sind die eigentlichen Dienste des Servers und m ssen angeboten werden Solange ftp nur als FTP Server f r Anon FTP eingesetzt wird werden keine abh rbaren Pa worte bertragen Die mysql und msql Ports von au en zug nglich zu machen ist nicht n tig Die Ports geh ren mit einem Firewall oder einem Paketfilter gesperrt Bei den Diensten die man nach au en anbietet sollte man unbedingt auf aktuelle Versionen der Server achten
161. ISOQ usa aaa ein 21 432 Index NSE oeiee nee 22 Lease Time pa vrcsscavscaresvecsess 314 TSlOOKUP caricia 373 Leases File oooooocccccco 313 NIEKlient tcs iii 321 Leitungsvermittlung A 18 NT Server 00 oo 275 L ogin Datei u cesan ii 301 Login Server usaras sia oa 30 O lokal suchen 184 Did een 112 Loopback Interface 42 P M Pa wort een 283 367 Mail AliaS 0c ceca 75 Pa wort unverschl sselt 283 Mail Client oooococoocconcco o 61 Pa wort verschl sselt 283 Mail Header 62 Pa wort Server 299 mailertable o oooo ooo 80 Paragraphen 358 Mailformular 22222 393 Parent ses 250 Mailingliste 327 347 Partitionierung 55 Mailinglisten 2 222 E E 130 Mailinglisten Administration 337 PDF Datei 211 Mailinglisten Datei 330 Performance 256 Mailinglisten Infodatei 330 Perl 148 219 353 Mailinglisten Kommandos o da tah tanta nuani ees 184 Mailinglisten Konfiguration 331 PING EE en see 48 Mailspool seerne ruonis iiias 61 82 POP emgeet ana 66 Mailverteiler ooooooo CEO 66 Majordomo eee tesos 328 POLE Eessen EE 33 Majordomo Webinterface 342 Portscan 2 user 379 majordomo cf 00 05 329 POUSCANS ere hf gegen 377 Makros u ls 68 Prim
162. L_MAILER_PATH usr bin procmail dnl define OUEUE_DIR var mqueue dnl define con fTRUSTED_USERS wwwrun dnl define confSERVICE_SWITCH_FILE etc service switch dnl define confHOSTS_FILE etc hosts dnl FEATURE local_procmail dnl FEATURE nodns dnl FEATURE nocanonify dnl FEATURE nouucp dnl FEATURE always_add_domain dnl MAILER local dnl MAILER procmail dnl MAILER smtp dnl Dazu geh rt eine Datei etc service switch mit dem Inhalt hosts files aliases files Wichtig beim Editieren der etc service switch ist wie auch beim ndern von Konfigurationsdateien von sendmail die Trennung der Spalten durch Ta bulatorstops und nicht durch Leerzeichen Die Zeichenkette dn1 besagt brigens da der Rest der Zeile als Kommentar zu betrachten ist Apropos Bei einigen Dis tributionen von Linux befinden sich die Dateien nicht unter etc sondern unter etc mail 74 2 E Mail Server Normalerweise wird bei allen Distributionen eine funktionierende sendmail cf mitgeliefert bzw sie ist konfigurierbar ber die m4 Makros Bei manchen Dis tributionen wird die Datei ber Konfigurations Skripten erstellt Direkte Ande rungen in sendmail cf bleiben nur dann erhalten wenn man die automatische Konfiguration abschaltet Das Schreiben von eigenen Regeln k nnen wir Ihnen hier nicht erkl ren es w rde den Rahmen dieses Buchs sprengen Hier hilft das Buch von
163. Mail gel scht die man nie zu sehen bekommen hat r lt folder gt Gibt den Mailfolder an in den die empfangenen E Mails geschrie ben werden sollen Dies ist normalerweise var spool mail USER d lt Intervall gt Startet Fetchmail im Daemon Modus d h Fetchmail versucht im Hintergrund alle lt Intervall gt Sekunden neue E Mails vom Server auf den eigenen Rechner zu bertragen q Killt einen im Daemon Modus befindlichen Fetchmail Dies bietet sich an bevor die Verbindung zum Provider abgebrochen wird Verlief der Test erfolgreich kann man den Aufruf fest in die Crontab oder die Scripte eintragen welche die Netzverbindung herstellen In ip up gen gt der Eintrag fetchmail a gt gt var log fetchmail 2 gt amp 1 Soll fetchmail in die Crontab eigetragen werden gibt man beispielsweise folgende Zeile ein 10 6 15 x x usr bin fetchmail a gt gt var log fetchmail 2 gt amp 1l Die Post wird dann um 6 10 und 15 10 abgeholt Wenn Sie die Mail in festen Zeitabst nden abholen wollen k nnen Sie Fetchmail auch als Daemon starten z B durch folgendes Init Script bin sh etc rc d fetchmail case 1 in start echo Starting fetchmail daemon usr bin fetchmail d 900 a f root fetchmailrc L var log fetchmail 2 gt amp 1 15 stop echo n Shutting down fetchmail daemon usr bin fetchmail quit echo vr restart echo n Restarting fetchmail daemon usr bin fetchmail quit
164. Netscape Browser stellt sich das Zertifikat des Servers dann dar wie in Bild 4 2 166 4 WWW Server Apache Zertifikat anzeigen Netscape Abbildung 4 2 Das Netzmafia Zertifikat cd opt openss1 0 9 6b bin openssl req new gt netzmafia csr Using configuration from usr ssl openssl cnf Generating a 1024 bit RSA private key a ee een Lo tttttt writing new private key to privkey pem Enter PEM pass phrase Verifying password Enter PEM pass phrase You are about to be asked to enter information that will be incorporated into your certificate request What you are about to enter is what is called a Distinguished Name or a DN There are quite a few fields but you can leave some blank For some fields there will be a default value If you enter the field will be left blank Country Name 2 letter code AU DE State or Province Name full name Some State Deutschland Locality Name eg city Muenchen Organization Name eg company Internet Widgits Pty Ltd Netz Mafia Organizational Unit Name eg section Common Name eg YOUR name www netzmafia de Email Address webmaster netzmafia de Please enter the following extra attributes 4 14 Sichere Kommunikation mit Apache SSL 167 to be sent with your certificate request A challenge password An optional company name openssl rsa in privkey pem out netzmafia key read RSA key Enter PEM pass phrase w
165. OSE WAIT Warten auf ein Connection Termination Request CLOSE der dar berliegenden Schicht m CLOSING Warten auf ein Connection Termination Request des Kommunika tionspartners m LAST ACK Warten auf die Best tigung des Connection Termination Request das zuvor an den Kommunikationspartner gesendet wurde Die Hauptmerkmale von TCP sind also m verbindungsorientierter Dienst vollduplexf hig 1 3 TCP IP 39 active open send SYH passive open CLOSE WAIT send send FIN rev ACK of FIH send ACK Abbildung 1 10 Zustande einer TCP Verbindung m hohe Zuverl ssigkeit m Sicherung der Daten bertragung durch Pr fsumme und Quittierung mit Zeit berwachung m Sliding Window Verfahren m M glichkeit von Vorrangdaten m Adressierung der Ende zu Ende Verbindung durch Portnummern in Verbin dung mit IP Adressen 40 1 Einf hrung Normalerweise st tzen sich Programme der Anwendungsebene auf mehrere Pro tokolle ICMP UDP TCP 1 4 Domain Name System DNS Es hat sich ziemlich fr h herausgestellt da die Normalbenutzer die numerischen IP Adressen nur ungern verwenden und aussagekr ftige und vor allem merkbare Namen bevorzugen Au erdem besteht ein gro er Nachteil der IP Adressen dar in da ihnen keinerlei geographische Information zu entnehmen ist Man sieht einer Zieladresse nicht an ob sie in Australien oder im Nebenzimmer lokalisiert ist au er man kennt zuf llig die gew hlten Z
166. Pfad mu eventuell an Ihr System angepa t werden Kontrollieren Sie wo Ihr Pa wortprogramm liegt in dem Sie which passwd eingeben passwd chat Obwohl bei den meisten Unix Betriebssystemen das Programm zum ndern der Pa w rter passwd hei t ist der Dialog den es mit dem Be nutzer beim Aufrufen f hrt ganz unterschiedlich Damit der Synchronisati onsmechanismus von Samba an die unterschiedlichsten Programmversionen angepa t werden kann k nnen Sie mit dieser Zeile einstellen welchen Text Ihr System erzeugt und an welcher Stelle das Pa wort einzugeben ist Um hier den passenden Eintrag zu finden m ssen Sie Ihr passwd Programm als root aufrufen und protokollieren welche Ausgaben gemacht werden Beispiel passwd huber New password New password again Password changed Wie im obigen Beispiel zu sehen fragt das passwd Programm auf unserem Testsystem sofort nach einem neuen Pa wort und nicht erst nach dem alten Das liegt daran da es mit Root Berechtigung aufgerufen wurde Nach der 292 9 Samba Ausgabe von New password mu das neue Kennwort eingegeben werden Mit Hilfe des Dialogs New password again wird es noch einmal berpr ft Ging alles gut meldet das Programm Password changed Mit diesen Informa tionen k nnen Sie den Pa wort Dialog Password Chat konfigurieren Mit passwd chat New password n n New password again n n changed legen Sie fest da zun chst nach dem Aufruf
167. Protagonisten der ersten Stunde zu ei nem Panel mit dem h bschen Titel Unexpected Outcomes of Technology Perspectives on the Development of the Internet Alle Beteiligten bekundeten in fr hlicher Einig keit da sie die Idee eines weltumspannenden Kommunikationsnetzes f r alle Erdenb rger bis Anfang der 90er f r eine Idee von Verr ckten gehalten h tten Die Genialit t die man den Entwicklern des Internet aus heutiger Sicht zu schreibt wird von den Techniken eher sp ttisch kommentiert Ken Klingenstein der f r die Simplizit t des von ihm entwickelten SNMP Simple Network Mana gement Protocol geehrt wurde kl rte den genialen Wurf im Interview auf Mir kam die Idee zu SNMP in einer Bar auf dem Weg nach Hause Ich nahm die Servi ette des Drinks und schrieb alle Befehle auf Es mussten einfach wenige sein weil die Serviette so klein war hnlich war es um TCP IP bestellt Vint Cerf brachte eine der ersten Skizzen zum Kommunikationsprotokoll der Internet Welt auf der R ckseite der Bedie nungsanleitung seines H rger ts zu Papier In einer Forschungsgruppe befasst 1 3 TCP IP 23 sich der PR erfahrene Cerf inzwischen publikumswirksam mit dem transgalak tischen Protokoll dem technischen Problem wie die langen Laufzeiten von Da tenpaketen bei der Kommunikation zwischen Mars und Erde optimal berbr ckt werden k nnen Heute werden World Wide Web und Internet vielfach synonym gebraucht und die Gr e de
168. Provider abzuliefern z B sendmail 64 2 E Mail Server Clients zum Verfassen der E Mail bleiben hier ausnahmsweise unber cksichtigt Der MTA Mail Transport Agent sendmail bernimmt mehrere Aufgaben m Zwischenspeichern der E Mail bis zur n chsten Online Verbindung m Ermitteln des Empf ngers m gegebenenfalls ndern der Absenderadresse Maskierung m bertragung der Mail zum Empf nger 2 1 1 Ein Blick auf den Briefkopf Das Post Programm stellt eigentlich nur einen Kopfzeilen Generator dar d h es versieht den Brief vor allem mit einem Absender der Adresse und einem Betreff Es kann in der Regel jedoch noch weitere mehr oder weniger sinnvolle Informa tionen im Kopf unterbringen Einzelne Informationen k nnen sich dabei durch aus als n tzlich erweisen z B wenn es darum geht Fehler beim Mailtransport zu finden Die einzelnen Daten werden in vordefinierten Feldern untergebracht die bestimmte Namen haben To lautet der Name des Feldes f r die Empf nger Adresse From hei t das Feld in dem die Adresse des Absenders untergebracht wird und Subject lautet der Name f r die Betreff Zeile Im Kopf eines Briefes sieht das folgenderma en aus From plate Mon Jan 29 11 24 51 1999 Return Path lt plate gt Received by mailhost fh muenchen de Smail3 1 28 1 6 id mOtgqlX 0007CvF Mon 29 Jan 99 11 24 MET Message Id lt mOtgqlX 0007CvF mailhost fh muenchen de gt Date Mon 29 Jan 96 11 24 MET
169. Rechner zur Dom ne hinzuf gen 307 9 10 Samba und SWAT s e da aa a m Co Emm a a ea e i a i a 310 10 Inhaltsverzeichnis 10 DHCP 315 10 1 DHCP Grundlagen soss pia nasii a0 ee aaa 315 10 2 Installation xs se 2 28 rai ae en en de 317 10 3 Konfiguration des Servers 318 10 4 Installation der Klienten 322 10 4 1 Windows 95 und 98 2 2er 322 10 4 2 Windows NA 323 10 4 3 Windows 2000 2 2222 2 Cum nern 324 11 Mailing Listen mit Majordomo verwalten 329 11 1 R ckblick Mailinglisten 329 112 Majordomo 4 4 3 2 08 3 8 Sana wat hak ehe 330 11 3 Mailinglisten einrichten 332 11 3 1 DieListendatei 22 2 Coon onen 332 11 3 2 Die Info Datei ee 8 8 3 sa E a A a 332 11 3 3 Die Konfigurationsdatei 333 11 3 4 Die Pa wortdatei 338 11 3 5 etc aliases erweitern 2 2 2222 nn n nennen 338 11 3 6 Listen Administration per E Mail 339 11 4 Zusammenfassung der Konfiguration 340 11 4 1 Listen Eigenschaften 341 1142 Zugriffs Regeln s u i cna 82220 ba NN 341 11 5 Befehle zu Majordomo Mailinglisten o o 342 11 5 1 Befehle die Listenmitglieder nutzen k nnen 342 11 5 2 Befehle f r die Listenverwalter 2 22 2222 22200 343 11 6 Majordomo per WWW Interface ansprechen 344 11 6 1 Majordomo Webinterfaces 2 2 2222 344 11 6 2 Majordomo Webinterface selbstgemacht 344 11 7 Angriffe auf Mailinglisten 347 12 W
170. Ref Use Iface 192 168 253 0 259 259 239 0 U 0 0 0 eth0 loopback 255 0 0 0 U 0 0 0 lo default 192 168 253 254 0 0 0 0 UG 0 0 0 eth0 4 10 Virtuelle Server 145 4 10 2 Schon wieder Sendmail Nicht vergessen sollte man auch die Anpassung der Sendmail Konfigurationsda tei sendmail cf Damit Sendmail wei welche Mail es lokal zustellen darf und welche an andere Rechner weiterzuleiten sind mu Sendmail ber alle Rechner namen Bescheid wissen die der Rechner lokal annehmen kann Soll ein Server z B als Mail Server f r firmal de und firma2 de dienen mu er alle Mails mit folgenden Serverangaben lokal zustellen m localhost www firmal de firmal de www firma2 de firma2 de Dazu mu die Sendmail Konfigurationsdatei etc sendmail cf ge ndert werden Die Option Cwlocalhost wird zu Cwlocalhost www firmal de firmal de www firma2 de firma2 de Alternativ kann Sendmail auch angewiesen werden beim Programmstart die Server Aliase nicht aus der etc sendmail cf sondern aus einer anderen Da tei zu lesen z B etc sendmail cw Dazu wird der Buchstabe C values from configuration file gegen ein F ausgetauscht values from a disk file Als Para meter des Fw Schl sselworts steht der Name der externen Datei Cwlocalhost www firmal de firmal de www firma2 de firma2 de wird zu Fw etc sendmail cw Die Datei etc sendmail cw sieht dann so aus localhost www firmal de firmal de www firma2 de firma2 de Nach jeder
171. Scounter i firstdate Sfirstdate Sdate day month year split Sdate date Syear Smonth S day date s Sdates Sdate Anzahl Zugriffe pro Tag Shours Shour Anzahl Zugriffe pro Stunde Spages Spage Anzahl Zugriffe pro Datei Stotalbytes totalbytes Sbytes if Stotalbytes lt 10 print lt html gt lt head gt n print lt title gt Keine Abrufe f ur include lt title gt n print lt head gt lt body gt n print lt hl align center gt Keine Abrufe f ur include lt hl gt n print F ur das Verzeichnis die Verzeichnisse lt b gt include lt b gt n print wurden im letzten Monat keine Abrufe verzeichnet n print lt body gt lt html gt n exit Swhen Nach ein paar Ausgaben mit Summenwerten kommen die eigentlichen Statisti ken Um nicht mit Bildern hantieren zu m ssen werden die Balkengrafiken durch kleine Tabellen erzeugt deren Ma e vom Programm entsprechend der Statistik berechnet werden ein Trick der auch in anderen Anwendungen verwendet wer den kann Die Subroutine by_hour erzeugt ein vertikales Balkendiagramm wo hingegen by_date horizontale Balken malt sub general allgemeine Statistikwerte firstdate s firstdate s 0 print lt H2 gt Allgemeine Daten lt H2 gt n print lt B gt Auswertungszeitraum lt B gt firstdate bis date_2 lt BR gt n print lt B gt Gesamtzahl aller Zugri
172. Server Side Include Technik zum dynamischen Integrieren von Dateien in HTML Dokumente Spoofing Sich als jemand anderer ausgeben als man ist spoof Parodie SSL Secure Socket Layer von Netscape entwickeltes Protokoll zur gesicherten bertragung von sensiblen Daten Kreditkartennummern etc ber das Inter net Switch Ger t der OSI Schicht 2 Funktionsweise hnlich wie bei einer Bridge al lerdings steht jedem angeschlossenen Rechner bei der Paket bertragung ber den Switch die volle Systembandbreite zur Verf gung Tag Befehl innerhalb der HTML Sprache TCP Das verbindungsorientierte Transmission Control Protocol bestimmt wie Informationen vor dem Versand im Netzwerk in P ckchen aufgeteilt werden Anschlie end bernimmt das Internet Protocol die Zustellung des P ckchens anhand der Zieladresse Telnet Terminalprogramm das ber TCP IP arbeitet Der Anwender kann einen fernen Rechner so bedienen als s e er davor Terminalprogramm Programm das einen Computer zu einem Terminal redu ziert Ein Terminal nimmt nur noch Zeichen entgegen und sendet sie zum Host oder empf ngt Zeichen vom Host und sendet sie zum Terminalbildschirm Ein Terminalprogramm kann reale Terminals emulieren z B VT52 VT102 ANSI Terminalemulation Befehlssatz zur Bildschirmsteuerung bliche Standards sind VT52 VT100 und ANSI Wird f r bildschirmorientiertes Arbeiten ben tigt Enth lt Kommandos zur Cursorpositionie
173. Servern y zone 0 0 127 in addr arpa in fuer Reversed Loopback type master file 127 0 0 rev D Wie man bereits am obigen Beispiel sieht ist die Syntax der Datei sehr C bezie hungsweise C hnlich Kommentare werden mit einem doppelten Schr gstrich 268 8 Name Service DNS eingeleitet einzelne Bl cke werden mit Hilfe von geschweiften Klammern umschlossen und jede einzelne Zeile erh lt am Ende ein Semikolon In der Sektion options werden allgemeine Einstellungen f r den Server vor genommen Mit dem Schl sselwort directory wird das Verzeichnis festge legt aus dem alle im folgenden benannten Dateien geladen werden Mit dem Befehl forward only wird dem Named Proze verboten Anfragen an ex terne Server zu stellen statt dessen werden alle Adre anfragen an die unter forwarders angegebenen Server weitergeleitet Hier sollte demnach die IP Adresse des Providers eingetragen werden In unserem Fall hat dieser Rechner die IP Nummer 192 168 132 252 Wie bereits erw hnt mu jeder DNS Server Typ zwei weitere Dateien laden Zum einen die Tabelle mit den Root Name Servern und die Datei fiir den Reversed Loopback die die Aufl sung der Adresse 127 0 0 1 zum Hostnamen localhost erm glicht Daf r sind die beiden folgenden Bl cke zust ndig Zun chst wird die Root Server Tabelle und ihre Zugeh rigkeit definiert Eingelei tet wird ein Block durch das Schl sselwort zone Dam
174. Skript zum Generieren von Reports Das Pro gramm versucht zu ermitteln wie viele Personen den Server besuchen und wie tief sie in die Seiten gehen http www rpg net help checklog m wusage ist ein C Programm zum Generieren von grafischen Logfile Statistiken L uft auf verschiedenen Plattformen http www boutell com wusage m getstats ist ein C Programm zum Generieren von detaillierten Statistiken st ndlich t glich w chentlich monatlich nach Domain etc Getgraph pro duziert dann grafische Darstellungen der Reports http www eit com software getstats getstats html m Analog arbeitet hnlich wie getstats ist jedoch schneller und hat ein etwas unterschiedliches Ausgabeformat Konfigurierbar und mehrsprachig http www statslab cam ac uk sret1 analog m W3Perl ist ein grafisches Statistikpaket das in Perl geschrieben wurde Es er hebt den Anspruch das umfassendste und umfangreichste Server Statistik Tool zu sein http www w3perl com m WWWStat erzeugt die Serverstatistiken im HTML Format Dateinamen m ssen im Quelltext Perl angepa t werden Verschiedene M glichkeiten der Statistik Ausgabe http www ics uci edu WebSoft wwwstat m BrowserCounter ist ein Agent Log Analyzer Das Programm listet alle Brow ser auf die den Server besucht haben http www netimages com snowhare utilities browsercounter html m ErrorChk ist ein Error Log Analyzer ErrorChk ist ein Perl Skript das
175. Spider gelten Disallow lt Verzeichnis gt In diese Zeile tragen Sie die Verzeichnisse ein die nicht aufgesucht werden sollen im obigen Beispiel das Verzeichnis test Wichtig ist da die Datei in Ihrem Server Hauptverzeichnis und nicht in dem be treffenden Unterverzeichnis hinterlegt wird Wenn Sie keine robots txt Datei auf Ihrem Server hinterlegt haben werden alle Verzeichnisse von den Spidern be sucht 150 4 WWW Server Apache 4 13 WWW User Administration Wenn Ihnen das Gefummel mit der Datei htaccess und der Be nutzerverwaltung zu aufwendig erscheint hilft vielleicht das folgen de System aus zwei Perl Programmen und einem HTML Formular Sie finden die Dateien zum Download neben anderen als Beispie le einer Perl Einf hrung auf dem Netzmafia Server unter der Adresse http www netzmafia de skripten perl beispiele Das Setup Skript richtet die notwendigen Dateien htaccess im zu sch tzen den Verzeichnis und htpasswd in einem Verwaltungsverzeichnis meist opt www etc ein Dann wird gleich noch der Administrator als User ad min in htpasswd eingetragen Das Passwort des Administrators mu bei jeder Aktion angegeben werden Wer will kann das Admin Formular und die htpasswd mit dem Admin Account auch in einem separaten Verzeichnis unterbringen Um das Skript nicht zu kompliziert zu machen landen alle User in der gleichen Passwort Datei Au erdem gibt es auch keine Gruppen was sich aber leicht ndern l
176. Systemadministrators berdauern damit dieser nach seiner R ckkehr Probleme analysieren kann Ein typischer Praxiswert ist Rotation jede Woche und f nf Generationen von Backups Das Signal USR1 schickt man mit Hilfe des Kommandos squid k rotate an den Server am besten mit Hilfe ei nes Eintrags in der Datei crontab Ein Eintrag der jeden Sonntag um 2 Uhr nachts eine Rotation duchf hrt lautet 02 x x 0 usr sbin squid k rotate m append domain Der hier angegebene Dateiname wird an alle vom Klien ten angeforderten Adressen angeh ngt die keinen Punkt enthalten Tippt ein Benutzer zum Beispiel in seinem Browser nur www ein um die Startsei te des lokalen WWW Servers zu erreichen dann erh lt er ohne diesen Ein trag die Fehlermeldung da der Rechner www nicht gefunden werden kann Tr gt man aber append domain netzmafia de ein dann wird www zu 240 7 Proxy Cache www netzmafia de erg nzt und der Benutzer erh lt das gew nschte Do kument Mit den obigen Konfigurations Eintr gen kann ein funktionierender Cache aufge baut werden Es bleibt nur noch zu kl ren welche Hardware f r eine Installation ben tigt wird Dazu zwei Beispiele 7 2 1 Kleine Installation Im ersten Beispiel besitzt eine Firma 15 Klienten Rechner und ist ber eine DSL Leitung an den Provider angebunden Wie bei vielen kleinen Installationen soll f r den Proxy Service kein neuer Rechner gekauft werden sondern es wird ein ausrangierter PC mit
177. TBOX0815 Wichtig ist da ein Benutzer des Pa wort Servers immer auch lokal auf dem Samba Server eingerichtet sein mu Das liegt am internen Aufbau der Software Es wird immer versucht einen Windows User in einen lokal installierten Unix Account zu bersetzen Einen Punkt sollten Sie bei der Pa wort berpr fung auf entfernten Systemen bedenken Die Systemsicherheit aller beteiligten Rechner h ngt zum gr ten Teil vom Pa wortserver ab weil er schlie lich ber die Rechte der Benutzer entscheidet Seine Konfiguration sollte besonders gr ndlich gepr ft werden 9 7 4 Domain Ebene Auch bei security domain werden Benutzername und Pa wort an einen anderen Server zur berpr fung weitergegeben Dabei mu es sich aber um einen prim ren NT Domain Controller oder einen Backup Domain Controller handeln Die Integration in einen Verbund von NT Servern funktioniert nur wenn 302 9 Samba gleichzeitig mit encrypt passwords yes auf verschl sseltes Verschicken von Kennw rtern umgeschaltet wird Auch im Dom nenmodus mu es den jeweiligen Benutzer der sich einloggen m chte lokal auf dem Sambaserver geben und nicht nur auf dem PSC oder BDC Gegen ber dem Servermodus hat man allerdings einen nicht zu untersch tzen den Vorteil Im Servermodus bleibt die Verbindung zum Pa wortserver so lange offen wie der Benutzer eingeloggt ist Im Dom nenmodus hingegen nur bis Benutzername und Pa wort berpr ft sind Eine offene Verbindung
178. Teil Datagramm hat also wieder einen Header Diesen Vorgang nennt man Fragmentierung Es handelt sich um eine rein netztechnische Ma nahme von der Quell und Zielknoten nicht wissen m ssen Es gibt nat rlich auch eine umgekehrte Funktion Reassembly die kleine Datagramme wieder zu einem gr eren packt Geht auf dem bertragungsweg nur ein Fragment verlo ren mu das gesamte Datagramm wiederholt werden Es gilt die Empfehlung da Datagramme bis zu einer L nge von 576 Bytes unfragmentiert bertragen werden sollten Bild 1 5 1 3 3 Format des IP Headers Vers Type of Service Total Length TIL Protocol Header Checksum Source Address Destination ddress Data Abbildung 1 5 IP Protokollkopf m Version Kennzeichnet die IP Protokollversion 1 3 TCP IP 29 IHL Internet Header Length Die Angabe der L nge des IP Headers er folgt in 32 Bit Worten normalerweise 5 Da die Optionen nicht unbedingt auf Wortl nge enden wird der Header gegebenenfalls aufgef llt m Type of Service Alle Bits haben nur empfehlenden Charakter Precedence bietet die M glichkeit Steuerinformationen vorrangig zu bef rdern m Total Length Gesamtl nge des Datagramms in Bytes max 64 KByte m Identification Dieses und die beiden folgenden Felder steuern die Reassem bly Eindeutige Kennung eines Datagramms Anhand dieses Feldes und der Source Address ist die Zusammengeh rigkeit von Fragmenten zu detektie r
179. Terminologie existieren folgende Hackerprofile die ein besseres Bild davon geben welche Mo tive hinter den Hacker Aktivit ten liegen m The Trainspotter ist ein Hacker der von der Idee besessen ist zu so vielen Systemen wie m glich Zugang zu erlangen und nach einem gegl ckten Hack selten zur ckkehrt Kilroy was here ist der Hackertyp der es vorzieht ein klares Zeichen zu hinterlassen da er zu Besuch im System gewesen ist m The Userhacker richtet sich nach der M glichkeit bestimmte Features zu be nutzen Gebrauchsdiebstahl ist mit anderen Worten das Ziel des Eindringens in die Systeme The Spy Spion ist ein Hacker auf der Jagd nach geheimer Information even tuell mit einem Weiterverkauf vor Augen m The Fixer hat das Ziel Daten zu modifizieren z B Schulnoten konomische Daten Telefonrechnungen Personalinformationen etc m The Vandal Vandale hat wie die Bezeichnung andeutet das Ziel im System soviel Schaden wie m glich anzurichten Gef hrliche Hacks sind durch folgende Schritte gekennzeichnet 1 Erlangung des Zugangs zum System 2 Etablieren eines Supervisor oder Superuser Status 3 Einrichtung einer Hintert r zum System trapdoor 4 L schen aller Spuren Das Ziel besteht ganz einfach darin Zugang zum System und gen gend Kon trolle zu erlangen um eine Hintert r einrichten zu k nnen Die Hintert r soll sp ter einen ungehinderten Zugang erm glichen um das betreffende System als Sprung
180. Too much radiation coming from the soil Unfortunately we have run out of bits bytes whatever Don t worry the next supply will be coming next week Program load too heavy for processor to lift Processes running slowly due to weak power supply Our ISP is having switching routing SMDS frame relay problems We ve run out of licenses Interference from lunar radiation You need to install an RTFM interface Someone s tie is caught in the printer and if anything else gets printed he ll be in it too We re upgrading dev null All of the packets are empty Neutrino overload on the nameserver Melting hard drives Someone has messed up the kernel pointers The kernel license has expired It was OK before you touched it 428 C Ausreden The Dilithium Cyrstals need to be rotated The static electricity routing is acting up Traceroute says that there is a routing problem in the backbone It s not our problem High altitude condensation from prototype aircraft has contaminated the primary subnet mask Turn off your computer for 9 days to avoid damaging it Telecommunications is upgrading Telecommunications is downgrading Telecommunications is downshifting Too many interrupts Not enough interrupts appears to be a Slow Narrow SCSI 0 Interface problem fractal radiation jamming the backbone routing problems on the neural net IRO problems with the Un Interruptable Power Supply emissions from GSM phones firewall needs cooling asynchron
181. Unterst tzung Auf Systemen bei denen die zugrundeliegende APR Bibliothek IPv6 un terst tzt bekommt Apache standarm ig IPv6 Listening Sockets Zus tz lich unterst tzen die Konfigurationsanweisungen Listen NameVirtu alHost und VirtualHost numerische IPv6 Adressangaben Filterung Apache Module k nnen jetzt als Filter entwickelt und zur Filterung des ein und ausgehenden Datenstroms des Servers eingesetzt werden Mehrsprachige Fehlermeldungen Fehlermeldungen die an den Browser gehen stehen jetzt als SSI Dokumente in verschiedenen Sprachen zur Verf gung Vereinfachte Konfiguration Viele der verwirrenden Konfigurationsanweisungen wurden vereinfacht so werden nun IP Adressen und Portnummern ausschliesslich ber die Listen Anweisung gesetzt Servername und Portnummer die f r Wei terleitungen und zur Erkennung virtueller Server verwendet werden kon figuriert man ber die ServerName Anweisung Modul Erweiterungen mod_ssl bildet ein Interface zu den von OpenSSL bereitgestellten SSL TLS Verschliisselungs Protokollen mod_dav implementiert die HTTP Distributed Authoring and Versioning DAV Spezifikation zur Erzeugung und Pflege von Web Inhalten mod_deflate erlaubt es Browsern eine Komprimierung des Inhaltes vor der Ausliefe rung anzufordern um so Netzwerk Bandbreite zu sparen mod_auth_Idap erm glicht die Verwendung einer LDAP Datenbank zur Speicherung von Berechtigungsdaten f
182. VALUE all SELECTED gt alle lt OPTION VALUE any gt mindestens einer lt SELECT gt der Begriffe lt INPUT TYPE SUBMIT VALUE Suchen gt lt INPUT TYPE RESET VALUE L schen gt lt FORM gt lt BODY gt lt HTML gt Das folgende CGI Skript wertet die Formulareingaben aus Es werden in den an gegebenen Verzeichnissen nur Dateien mit den Endungen htm und html ber cksichtigt Bilddateien Word Dokumente PDF Dateien usw werden nicht in die Suche mit einbezogen Das Skript birgt zwei generelle Probleme m Bei jeder Suchanfrage werden alle Dateien immer wieder komplett durch sucht m Damit es schneller geht wird jede HTML Datei komplett in den Speicher ein gelesen es wird also gegebenenfalls recht viel Speicherplatz ben tigt Das Skript wiederholt das Formular zu Beginn seiner Fehlerausgabe damit die Suche bei Bedarf verfeinert werden kann F r den Webmaster wird jede Suchan frage protokolliert Man kann so nicht nur die Vorliben der Besucher erkennen sondern auch ob manche Informationen nicht vielleicht zu versteckt legen Den eigentlichen Kern bildet die Funktion checkfiles die ein Verzeichnis re kursiv durchsucht Hier werden bei jeder zu durchsuchenden Datei auch die 188 5 Die lokale Suchmaschine HTML Ersatzdarstellungen f r Umlaute wieder zur ckcodiert damit auch Such begriffe mit Umlauten zum Erfolg f hren k nnen Au er dem Pfad zur Logdatei mu h chstens noch der Ausgan
183. Varia blen N den Namen des Samba Servers und u wieder den Benutzernamen profiles ist wieder in einer eigenen Sektion definiert Das dort unter path an gegebene Verzeichnis wird in den Profil Pfad eingebaut Ein Beispiel dazu Hei t der Server aus obigem Beispiel aella und der eingeloggte Benutzer mei er dann wird der Profilpfad zu aella profiles meier Der zugeh rige Unix Pfad auf dem Server aella ist export winprofiles meier Damit kein anderer Benutzer auf die Datei von Herrn Meier zugreifen kann sind die create und directory Masken in profiles so gesetzt da nur der Besitzer einer Datei Schreib Lese und Ausf hrungsrechte hat und niemand sonst Maske 0600 bzw 0700 9 9 Samba als PDC 307 9 9 2 Erzeugen des Maschinen Accounts F r jeden Klientenrechner m ssen Sie am Samba Server zun chst einen soge nannten Maschinenaccount anlegen Dazu m ssen Sie als root am Samba Server die folgenden Kommandos eingeben im Beispiel wird der Rechner fettbacke zur Dom ne hinzugef gt Maschinenaccount anlegen mit useradd g users d dev null c fettbackes bin false fettbacke m Rechner zur smbpasswd hinzuf gen smbpasswd a m fettbacke m Zum Einrichten des Windows Rechners mu kurz der Benutzer root in die smb passwd eingetragen werden smbpasswd a root Auf jeden Fall sollte man f r diesen Windows Account ein anderes Pa wort vergeben als auf der Unix Seite Nach dem Hinzuf gen der neuen Windows M
184. Ver sion 3 1 5 nur Text und HTML Dateien indizieren Beispiel bad_exensions mp3 wav gz z sit au zip tar hqx exe com gif jpg jpeg aiff class 3 map ram tgz bin rpm mpg mov avi logging Legt fest ob Suchanfragen per syslog protokolliert werden sollen oder nicht yes no maintainer Verantwortlicher f r den Robot Attribut mit dem htDig sich bei den Suchanfragen im Feld user agent identifiziert Zum Beispiel webmaster netzmafia de m max_head_length Fur die Indizierung wird von htDig der Anfang des Dokuments ohne HTML Tags gespeichert Falls gentigend Speicherplatz auf der Platte vorhanden ist k nnen Sie einen beliebig gro en Wert angeben Die Erfahrung der htDig Entwickler hat aber gezeigt da 50 KByte ausreichen um 97 der vorhan denen HTML Seiten vollst ndig zu indizieren Beispiel max_head_length 50000 m max doc size Attribut mit dem sich angeben l t wie gro ein Dokument in KByte sein darf um noch in den Index aufgenommen zu werden Da jedes Dokument zur 206 5 Die lokale Suchmaschine Indizierung in den Arbeitsspeicher geladen wird soll dieser Wert verhindern da htDig zuviel Speicher konsumiert Beispiel 100 KByte max_doc_size 100000 Wenn Sie h ufig mit Word Dateien doc oder PDF Dokumenten pdf zutun haben sollte der Wert auf 5 10 MByte erh ht werden no_excerpt_show_top Dieses Attribut bestimmt welcher Text bei Suchresultaten ange
185. Verwendet ein Rechner eine solche Nachricht als neue Routing Information so f hrt dies dazu da seine In formationen ber den Rechner des Angreifers geroutet werden Dump einer Zone mit nslookup Um die Rechner einer Domain festzustellen kann man mit einem Tool wie nmap ein ganzes Teilnetz durchforsten Alter nativ lassen sich auch die DNS Daten ansehen die ein Server Betreiber ber 376 13 Server Sicherheit seine Domain ver ffentlicht Am Beispiel der Domain provider de nslookup gt set type ns gt www provider de Server ns provider de Address 192 168 112 110 provider de origin ns provider de mail addr postmaster ns provider de serial 2002012201 refresh 10800 3H retry 3600 1H expire 604800 1W minimum ttl 86400 1D gt server ns provider de Default Server ns provider de Address 192 168 112 110 gt ls provider de ns provider de SORIGIN provider de Q 1D INA 192168112 131 WWW 1D INA 192 eg news 1D INA 192 168 112 136 mailserv 1D INA 192 168 112 136 localhost 1D INA 127 0 0 1 Durch set type ns Nameserver teilen wir nslookup mit da wir aus schlie lich Informationen ber Nameserver einer Domain haben m chten Wir fragen dann mit www provider de nach den Nameservern der Domain pro vider de Dies ist nur ein einzelner Server n mlich ns provider de Wir weisen nun mit Hilfe des Kommandos server ns provider de den DNS an da nslookup
186. Wordlist Datenbank zu erstellen sollte man die Anzahl der zu indizierenden Dokumente mit dem Faktor 12 000 multiplizieren m Ohne Wordlist Datenbank sinkt der Faktor auf 7500 m F r jedes Dokument das indizert wird m ssen zus tzlich etwa 50 000 Bytes veranschlagt werden Vom Programm her sind htDig keine Grenzen in bezug auf die Dateigr e ge setzt Einige UNIXe begrenzen die Dateien jedoch auf maximal 2 GByte was die Datenbank ebenfalls auf 2 GByte bschr nkt Das Programm ht dig braucht rela tiv viel RAM um ULRs zwischenzuspeichern wenn eine Website gescannt wird Auch htmerge ben tigt viel Arbeitsspeicher und ggf Swap Space zum Sortie ren der Datenbank In Version 3 2 wird der Speicherbedarf wesentlich niedriger sein 194 5 Die lokale Suchmaschine 5 4 Installation von ht Dig Wenn das Paket nicht schon in der Linux Distribution enthalten ist mu man es sich als Quelle von www htdig org holen und in ein Source Verzeichnis auspacken z B in usr local src Danach wechseln Sie in das neu erstellte Verzeichnis von htDig F r die Anpassung des Makefiles an die Systemumgebung gibt es hier ein configure Skript Sie k nnen es ohne Parameter aufrufen um zu sehen ob nicht noch wichtige Komponenten fehlen Es werden dann Standard Voreinstellungen f r Dateinamen und Verzeichnisse verwendet Rufen Sie configure mit Parame tern auf lassen sich die Voreinstellungen ndern Das Skript beeinflu t folgende Variablen
187. Zeichen codiert Einige Post Programme verwenden von vornherein quoted printable obwohl eine andere Belegung des Feldes m glich ist z B Zbit 8bit binary base64 Die ersten drei signalisieren allge mein da keine Codierung vorgenommen wurde 7bit signalisiert insbesonde re da ein Brief reine ASCII Zeichen enth lt 8bit da ein Brief ber den ASCII Zeichensatz hinausgeht und binary da es sich um 8 Bit Zeichen handelt wo bei die Zeilenl nge ber 1000 Zeichen hinausgehen kann Ein mit base64 co dierter Teil des Briefes besteht nur noch aus Zeichen die mit 7 Bit dargestellt wer den k nnen Der Vorteil dieses Codierungsverfahrens besteht im Gegensatz zu anderen darin da diese Untermenge in vielen anderen Zeichens tzen ebenfalls enthalten ist Damit wird eine fehlerfreiere bermittlung erreicht als mit anderen Verfahren 2 1 4 POP Post Office Protocol POP ist die bisher noch gebr uchlichste Methode um E Mails von einem Provider zu empfangen wenn der eigene Rechner nicht st ndig mit dem Internet verbun den ist Das Prinzip und der Funktionsumfang von POP sind einfach Die f r den Empf nger bestimmten E Mails landen beim Provider im Spool Verzeichnis und m ssen dort vom Empf nger abgeholt werden m Der Provider stellt einen POP Server zur Verf gung welcher die Schnittstelle des POP Clients auf dem Empf nger Rechner darstellt Der lokale POP Client kommuni
188. Zeile des Mail Headers vorangestellt wenn er noch nicht in der subject Zeile vorkommt m subscribe policy enum open Wer darf wie subskribieren Der Wert kann eines der folgenden W rter sein open Jeder kann sich selbst via subscribe Befehl auf die Empf ngerliste setzen auto Jeder kann jeden auf die Empf ngerliste setzen Nicht zu empfehlen closed Jeder subscribe und unsubscribe Befehl mu erst vom Li stenverwalter best tigt werden bevor er wirksam wird Damit wird die Mailing Liste zu einer geschlossenen Mailing Liste 338 11 Mailing Listen mit Majordomo verwalten Wenn der Parameter mit confirm erweitert wird sendet Majordomo ei ne E Mail mit dem Autorisierungs Wort an die beim subscribe Request an gegebene Mailadresse Der Adressat mu dann einen auth Request mit dem Autorisierungs Wort zur ckschicken um sich endg ltig anzumelden So ver hindert man ohne sein Wissen auf Mailinglisten angemeldet zu werden Sind die drei Dateien eingerichtet m ssen Sie noch die Aliases Datei erweitern damit die Liste aktiv werden kann 11 3 4 Die Pa wortdatei Diese Datei ist optional Sie nimmt ein Master Pa wort auf das Vorrang vor den in der Konfigurationsdatei definierten Passw rtern hat Da das Pa wort im Klar text also unverschl sselt gespeichert wird mu die Datei dem Majordomo User mdom und seiner Gruppe geh ren und das Zugriffsrecht 660 haben 11 3 5 etc aliases erweitern F r eine neue L
189. Zeilenbreite sollte auf die E Mail blichen 72 Zeichen festgelegt werden Die Datei mu f r alle lesbar sein chmod 664 11 3 Mailinglisten einrichten 333 11 3 3 Die Konfigurationsdatei Die Datei liste config definiert die wichtigsten Funktionen der Liste Hier bei kann man auf Variablen wie die Listennamen oder das Datum zur ckgreifen die als Platzhalter dienen und die Majordomo beim Zusammenbau der Nachricht durch die aktuellen Werte ersetzt Die Konfigurationsdatei kann von den Listenverwaltern mit dem Majordomo Befehl config gelesen und mit dem Befehl newconfig wieder geschrieben wer den ohne da der Listenverwalter Unix Kenntnisse ben tigt In der Konfigura tionsdatei werden die Einstellungen vorgenommen indem man gewissen Varia blen Schl sselw rtern bestimmte Werte zuordnet m Kommentare Kommentarzeilen beginnen mit einem Nummernzeichen am Zeilenanfang Sie werden vom Programm ignoriert m Skalare Werte Bei skalaren Werten geschieht die Zuweisung in der Form Schl sselwort Wert Es gibt unterschiedliche Typen absolute dir absoluter Verzeichnispfad absolute file absoluter Dateipfad bool Ja Nein Angabe yes no y n enum Element aus einer angegebenen Aufz hlung integer ganze Zahl float Gleitpunktzahl regexp Ein regul rer Ausdruck in Perl Syntax mit f hrendem und enden dem Schragstrich restrict_post durch Komma getrennte Liste von Dateinamen string Te
190. _date Tages Statistik berechnen Shighest 0 undef Sbarsize foreach key keys dates if Sdates S key gt Shighest Shighest Sdates key foreach key keys dates Sbarsize Skey int Sdates key 350 Shighest print lt H2 ALIGN CENTER gt Abrufstatistik der letzten 30 Tage lt H2 gt n print lt TABLE BORDER 1 CELLPADDING 3 ALIGN CENTER gt lt TR gt lt TD gt n print lt TABLE ALIGN CENTER BORDER 0 CELLPADDING 3 gt n foreach Stag sort a cmp b keys dates 6 3 Einfache Statistik Tools 225 print lt TR gt lt TD ALIGN RIGHT VALIGN MIDDLE gt lt TT gt tag lt TT gt lt TD gt n print lt TD gt lt B gt Sdates tag lt B gt lt TD gt n print lt TD ALIGN LEFT VALIGN MIDDLE gt n Balken wird als einzeilige Tabelle mit variabler Breite realisiert print lt TABLE BORDER 0 BGCOLOR Swcolor n print HEIGHT 20 WIDTH Sbarsize Stag gt n print lt TR gt lt TD gt amp nbsp lt TD gt lt TR gt lt TABLE gt lt TD gt n print lt TR gt n print lt TABLE gt n print lt TD gt lt TR gt lt TABLE gt n lt P gt n sub by_html Zugriffs Statistik aller Seiten print lt H2 ALIGN CENTER gt Zugriffe pro HTML Seite lt H2 gt n print lt TABLE BORDER 1 CELLPADDING 3 gt n sortiere die WWW Seiten vor der Augabe foreach page sort keys pages page s lt gt g print lt TR gt lt TD gt amp nbsp lt a
191. access log Log Datei fuer alle Cache Aktivitaeten cache_log var squid logs cache log Debug Level niedrig halten sonst zuviel Output debug_level ALL 1 Keine IP Nummer gt Namens Wandlung log_fdqn off 7 2 Installation und Konfiguration 241 Letzte Stelle der IP Nummer in der Logdatei loeschen client_netmask 255 255 255 0 Zugriffsrechte fuer den Cache alle duerfen acl all src 0 0 0 0 0 0 0 0 http_access allow all Passwort fuer anonymes FTP ftp_user squid proxy netzmafia de E Mail Adresse der Verwalter Festlegung in der etc aliases cache_mgr squidadmin netzmafia de UID unter der Squid laeuft Hier wurde eine extra ID vergeben cache_effective_user squid Dito Gruppe cache_effective_group squid Hostname der in Fehlermeldungen erscheint visible_hostname proxy netzmafia de Logfiles fuenf Wochen aufheben logfile_rotate 5 Kein Punkt in der URL Dann diesen Domainnamen anhaengen append_domain netzmafia de 7 2 2 Gro e Installation In diesem Beispiel soll ein Cache konfiguriert werden der einige zigtausend Zu griffe pro Tag verkraften kann Dieser Typ von Proxy k nnte in einer gro en Firma oder bei einem mittleren Provider stehen Bei dieser Gr enordnung von Zugrif fen ist der Server nat rlich ausschlie lich f r die Cache Dienste reserviert und das interne Netz l uft mit einer bertragungsgeschwindigkeit von 100 MBit s In den Proxy Rechner sind neben der Betriebss
192. ach wird der Index nach allen Such begriffen durchforscht und die Ergebnisse werden zwischengespeichert 3 Nun folgt eine Filterung der gefundenen Eintr ge nach dem logischen Aus druck mit Hilfe eines einfachen rekursiven Parsers mit Operandenstack Der Parser versteht die Operatoren and or not und runde Klammern Zu beachten ist da der Operator not f r und nicht oder au er steht Man kann also nicht Katze and not Hund eingeben sondern richtig ist Katze not Hund 4 Jetzt erfolgt das Ranking des bis dahin gefundenen Ergebnisses Die Worte werden nach Wichtigkeit bewertet So ist ein Wort das im Titel oder einer berschrift auftaucht wichtiger als ein Wort irgendwo am Ende des Textes Auch die Begriffe die in den Meta Tags stehen keywords description htdig metatags sind wichtiger als andere Worte 5 Der Rang wird beim Ergebnis in einer mehr oder minder hohen Zahl von Sternchen ausgedr ckt Danach werden die Ergebnisse entsprechend den Benutzerw nschen sortiert und ausgegeben 5 9 1 Suchbegriffe Mehrere Suchbegriffe k nnen mit einem Leerzeichen oder einem Pluszeichen voneinander getrennt werden Beispiel Hund Katze Hund Katze 5 9 Das Programm htsearch 199 5 9 2 Suchmethode Suchbegriffe k nnen auch durch logische Operationen miteinander verkn pft werden wobei folgende logische Ausdr cke zul ssig sind mu UND Alle Begriffe Alle Su
193. ack ist das immer der lokale Rechner Diesem Schl ssel wort folgt der Name des prim ren Name Servers f r die genannte Domain In unserem Fall ist das orakel netzmafia de Beachten Sie den Punkt am Ende der Adresse Er mu unbedingt an den Rechnernamen angeh ngt werden Als n chstes folgt die E Mail Adresse des Server Betreuers Hier hat Bind eine Besonderheit zu bieten Statt des Klam meraffen in der E Mail Adresse wird hier ein Punkt verwendet Auch diese Adresse wird mit einem weiteren Punkt abgeschlossen Um also festzulegen dafs die E Mail Adresse des Betreuers dnsadmin orakel netzmafia de ist m ssen Sie schreiben dnsadmin orakel netzmafia de Anschlie end folgen diverse Zeitangaben in runden Klammern auf deren Be deutung sp ter noch eingegangen wird NS Auf dieses K rzel folgt der Name eines DNS Servers f r die genannte Dom ne Im obigen Fall ist das wiederum orakel netzmafia de mit ei nem am Ende PTR Steht f r Pointer Zeiger und verkn pft einen Namen mit einer IP Nummer Im Reversed Loopback File ist das lediglich die Adresse 1 inner halb des Subnetzes 127 0 0 0 D h die Adresse 127 0 0 1 wird dem Namen Localhost zugeordnet 8 3 Cache Only Server 267 Unabh ngig vom Servertyp m ssen Sie den Netzwerkdiensten von orakel netzmafia de mitteilen da nun lokal ein eigener Named D mon l uft der zur Namensaufl sung herangezogen werden soll Das geschieht durch einen Eintrag in der Datei e
194. afia de skripten buecher iis3 m Einf hrung in Perl und CGI http www netzmafia de skripten perl m Einf hrung in Computernetze http www netzmafia de skripten netze Internet Einf hrung http www netzmafia de skripten internet m Internet Technologie Netzwerk Programmierung http www netzmafia de skripten server Anhang C Ausreden Falls der Server einmal nicht funktionieren sollte hier eine Liste von Ausreden bersetzen m ssen Sie sie selbst clock speed solar flares electromagnetic radiation from satellite debris static from nylon underwear static from plastic slide rules global warming poor power conditioning static buildup doppler effect magnetic interference from money credit cards dry joints on cable plug we re waiting for the phone company to fix that line temporary routing anomoly somebody was calculating pi on the server fat electrons in the lines floating point processor overflow monitor resolution too high improperly oriented keyboard network packets travelling uphill use a carrier pigeon first Saturday after first full moon in Winter radiosity depletion positron router malfunction cellular telephone interference pizeo electric interference heavy gravity fluctuation move computer to floor rapidly secretary plugged hairdryer into UPS spaghetti cable cause packet failure boss forgot system password waste water tank overflowed onto computer bad ether in
195. ahlen Daher wurde das Domain Name System entwickelt das den Aufbau von Rechnernamen regelt Es ordnet jedem weltweit eindeutigen Namen eine IP Adresse zu Dabei gibt es einige Va rianten Eine Maschine mit einer IP Adresse kann mehrere Funktionen haben und daher auch mehrere Namen die auf diese Funktionen hinweisen Genauso kann eine Maschine z B ein Router viele IP Adressen haben aber nur einen Namen Die Namen im DNS sind hierarchisch aufgebaut Das gesamte Internet ist in Do mains aufgeteilt welche wieder durch Subdomains strukturiert werden In den Subdomains setzt sich die Strukturierung fort Diese Hierarchie spiegelt sich im Namen wider Die entsprechenden Domains werden durch Punkt getrennt Bei spiele m mail e technik fh muenchen de A www netzmafia de m ftp microsoft com Die Top Level Domain im Beispiel de oder com steht ganz rechts und wird durch den Country Code abgek rzt weitere Beispiele at f r sterreich au f r Australien fr f r Frankreich uk f r Gro britannien In den USA gibt es aus historischen Gr nden allerdings sechs Top Level Domains au er us was sehr selten benutzt wird com kommerzielle Organisationen edu education Schulen und Hochschulen gov government Regierungsinstitutionen mil milit rische Einrichtungen net Netzwerk betreffende Organisationen org nichtkommerzielle Organisationen int internationale Organisationen info Informations Anbie
196. ail Adresse des FTP Administrators definiert durch den E Mail Eintrag in ftpaccess m F Anzahl der freien Kilobytes im aktuellen Arbeitsverzeichnis m L Name des Hosts in dem das FTP Archiv zu finden ist m M Maximale Anzahl von Benutzern der Benutzerklasse die sich einloggen darf m N Aktuelle Anzahl der Benutzer der Klasse des aktuellen Benutzers m R Name des Hosts des aktuellen Benutzers Name des FTP Clients m T Zeit im Format Wochentag Monat Tag Stunde Minute Sekunden Jahr z B Sunday Feb 24 8 30 30 m U Name des Benutzers wie in login festgelegt Die message Datei Der Befehl message in ftpaccess funktioniert fast wie der Befehl banner er verwendet auch dieselben Makros Der Unterschied besteht darin da der Befehl message festlegt welche Mitteilung erscheint Beim Login Um eine Mitteilung nach dem erfolgreichen Einloggen des Be nutzers anzuzeigen verwenden Sie in ftpaccess folgenden Eintrag message home ftp msgs loginmsg login 112 3 FTP Server m Wenn der Benutzer mit cd zu einem bestimmten Verzeichnis wechselt Um eine Mitteilung dann anzuzeigen wenn der Benutzer zu einem bestimmten Verzeichnis wechselt verwenden Sie folgenden Eintrag message home ftp msgs freesoftmsg cwd freesoft Hier steht freesoft f r den Namen des Verzeichnisses das die Anzeige von freesoftmsg ausl st Anstatt ein bestimmtes Verzeichnis anzugeben k nnen Sie auch den Platzhalter verwenden Dann wird die Nachrich
197. air wires into the answering machine Operators killed by year 2000 bug bite Operators killed when huge stack of backup tapes fell over Robotic tape changer mistook operator s tie for a backup tape Someone was smoking in the computer room and set off the halon systems it s an ID 10 T error The Internet is being scanned for viruses C Ausreden 429 Bad user karma dev clue was linked to dev null Increased sunspot activity We already sent around a notice about that It s union rules There s nothing we can do about it Sorry Interferance from the Van Allen Belt Jupiter is aligned with Mars Redundant ACLs Mail server hit by Spammer Secretary sent chain letter to all 5000 employees Sysadmin accidentally destroyed pager with a large hammer Sysadmins unavailable because they are in a meeting talking about why they are unavailable so much Computers under water due to SYN flooding Traffic jam on the Information Superhighway Radial Telemetry Infiltration tachyon emissions overloading the system Computer room being moved Our systems are down for the weekend Sysadmins busy fighting SPAM Someone else stole your IP address call the Internet detectives It s not RFC 822 compliant Temporal anomaly Internet shut down due to maintainance Daemon escaped from pentagram sticky bit has come loose Hot Java has gone cold Zombie processess detected machine is haunted overflow error in dev null vi needs to be up
198. al Network Vor allem in Europa verbreitetes di gitales System das hohe bertragungraten von Sprache oder Daten ber das Telefonnetz erm glicht F r den Einzelanwender der sich ber Telefonleitung ins Internet einw hlt stellt ISDN die derzeit schnellste Verbindungsform dar ISAPI Internet Server Application Programming Interface Protokoll ber das sich Web Server mit extemen Programmen koppeln lassen Von Process Soft ware und Microsoft als leistungsf higere Alternative zu CGI entwickelt s a NSAPI ISO International Standardisation Organisation Internationale Normungsorga nisation Internationales Gegenst ck zu staatlichen Normungsinstituten wie ANSI oder DIN ISOC Die Internet Society koordiniert die technische Weiterentwicklung des Internet und umfa t als Organisationen auch die IAB IETF und IRTE A Glossar 411 ITU International Telecommunication Union Internationale Normungsorgani sation IV DENIC Der Interessenverband Deutsches Network Information Center setzt sich aus bundesdeutschen Internet Anbietern zusammen Jitter Phasenschwankung eines Signales Java Von Sun entwickelte Programmiersprache Da Java Programme nicht auf Maschinencode sondern einem speziellen Bytecode basieren laufen sie auf jeder Plattform sofern ein Java Interpreter f r die Plattform existiert Javascript Von Netscape definierte Skriptsprache die vom Browser interpretiert wird JPEG Ein von der Joint Pi
199. alb der geschweiften Klammern des Blockes wird nun festgelegt welche Beziehung der Server zu den Adressen hat Im Fall der Zone 127 0 0 0 ist der Server immer prim r also ein Master Hinter dem Schl sselwort file gibt man anschlie end wieder den entsprechenden Dateiname der Adre tabelle an Vor einem ersten Start mu bei bind 9 x noch ein kleiner Zwischenschritt aus gef hrt werden den es bei der Version 8 x nicht gibt Mit rndc confgen a wird die Datei etc rndc key erzeugt die einen Erkennungsschl ssel f r den Name server erzeugt Dieser Schl ssel dient der eindeutigen Identifizierung des Servers 8 4 Secondary Server 269 und z hlt zu der erweiterten Sicherheitsm glichkeiten von Bind 9 x auf die wir hier allerdings nicht weiter eingehen wollen Mit dem Aufruf des Name Server Programmes named l t sich nun der Ser ver starten blicherweise liegt das Programm im Verzeichnis usr bin Weite re Einstellungen oder Wartungsarbeiten sind bei einem Cache Only Server nicht n tig Der Administrator sollte lediglich eine gelegentliche Kontrolle der zentra len Fehlerdatei des Systems durchf hren weil der Named Proze dort seine Feh lermeldungen ausgibt Eine typische Statusmeldung des named sieht so aus Feb 6 16 09 25 aella named 8900 starting BIND 9 2 0 Feb 6 16 09 25 aella named 8900 using 1 CPU Feb 6 16 09 25 aella named 8900 loading configuration from etc named conf Feb 6 16 09 25 aella name
200. altet sein weil sich das Original auf dem entfernten Server ge ndert hat Han delt es sich bei dem gespeicherten Dokument beispielsweise um eine Seite mit B rsenkursen dann kann der Inhalt bereits innerhalb weniger Minuten oder Stun den ung ltig sein 7 1 Proxy Grundlagen 235 AIU l BE Firewall B C eng gt Proxy d entfernter Server www veryfar com C lokale PCs Intranet Abbildung 7 3 Proxy im Firewall Ein Proxy mu also ber eine Vorschrift bestimmmen wann es sinnvoll ist eine Seite als veraltet einzustufen Der einfachste Fall liegt vor wenn das Verfallsda tum direkt im HTTP Header der Seite angegeben wurde Expires Sat 08 Jan 2003 09 00 00 Der Cache wertet diese Zeile aus und kann nach Ablauf des angegebenen Datums die Seite als veraltet einstufen Schwieriger wird es wenn kein Ablaufdatum angegeben wurde dann mu der Proxy selbst berechnen wann eine Aktualisierung der Seite sinnvoll ist Das Proxy Programm Squid teilt dazu die Dateien in seinem Cache in zwei Grup pen ein Ein Dokument ist entweder frisch fresh dann wird es ohne weitere Aktua lit tspr fung an einen Klienten ausgeliefert oder es ist veraltet stale dann mu vor der Weitergabe beim Quellserver nachgefragt werden ob es eine aktuel lere Version gibt Die wichtigsten Daten zur B
201. amp szlig amp uuml bereinstimmen Beispiele f amp uuml r richtige Ausdr amp uuml cke sind lt UL gt lt LI gt lt b gt Katze and Hund lt b gt lt LI gt lt b gt Katze not Hund lt b gt lt LI gt lt b gt Katze or Hund not Maus lt b gt lt UL gt Beachten Sie da amp szlig der logische Operator lt b gt not lt b gt dieselbe Bedeutung hat wie ohne bzw und nicht lt P gt lt b gt SYNTAXERROR lt b gt lt hr noshade size 1 gt lt form method get action CGI gt lt input type hidden name config value CONFIG gt lt input type hidden name restrict value RESTRICT gt lt input type hidden name exclude value EXCLUDE gt Treffer METHOD Anzeige Format FORMAT Sortiert nach SORT lt br gt Suche lt input type text size 30 name words value WORDS gt lt input type submit value Suche gt lt select gt lt form gt lt hr noshade size 1 gt lt a href http www htdig org gt lt img src htdig htdig gif border 0 gt ht Dig VERSION lt a gt lt body gt lt html gt 5 10 5 Das Suchformular HTML Dokument das ein Suchformular enth lt Auch hier ein Beispiel das bis auf exclude alle wichtigen Formularelemente enth lt 5 10 Die Konfiguration von htDig 211 lt html gt lt head gt lt title gt Volltext Suche lt title gt lt BODY TEXT 000000 BGCOLOR FFFFFF LINK 0000FF VLINK FFOOFF ALINK FF0
202. and Europa und international m http privacy net anonymizer und www it sec de vulchk html Die Tests auf diesen Seiten ermitteln ob Zugriff vom Internet aus auf freigege bene Verzeichnisse des Windows 95 NT Rechners besteht und welche Daten sich auslesen lassen m http www anonymizer com Von dieser Seite aus kann man eine andere Seite im Web ansteuern ohne da der dortige Server zur ckverfolgen kann woher man kommt m http www raven to cookie Beleuchtet was Cookies sind und wie sie wirken m http www hof net PRO PAGES pgp homepgp htm Einf hrung und Tips zur Handhabung des Verschl sselungsprogramms Pret ty Good Privacy in deutsch m http www viacorp com crypto htmt Grundlagen zur elektronischen Verschl sselung m http www imc org Besch ftigt sich mit alte Themen rund um E Mail darunter auch Standards und Sicherheit F hrt auch eine Mailing Liste zu Open PGP auf m http w3 to rainer Web Adressen zu Viren und Datenschutz Daten und Netzwerksicherheit so wie Hoaxes Firewalls und PGP 13 11 Sicherheits Tools und Quellen 399 m http www rewi hu berlin de Datenschutz Informationen zu Datenschutz und Linksammlung auf andere relevanten Quellen im Web wie auch Newsgruppen m http www yahoo de Computer_und_Internet Sicherheit_und_Verschluesselung Linksammmlung vornehmlich deutscher Quellen m http www junkbusters com ht en links html Fundus nicht nur zu Junkmails sondern auch zur Priva
203. andeln Vorteil dieser Methode ist die schnelle Reaktion des Servers auf Client Anfragen Nachteil ist der gro e Spei cherplatzbedarf Hat man das Maximum an gleichzeitigen Kindprozessen zu hoch eingestellt so da der Hauptspeicher nicht ausreicht um alle im Speicher zu halten mu geswappt werden was nat rlich die Performance drastisch verringert Es ist immer dann n tig den httpd Daemon neu zu starten wenn z B Ver nderungen an der Konfigurationsdatei httpd conf vorgenommen wurden Dazu gibt es zwei M glichkeiten Beim normalen Restart wird dem Hauptproze ein HUP Signal geschickt kill HUP cat var run httpd pid Alle bestehenden Verbin dungen werden dabei beendet und die Logfiles geschlossen 4 3 Installation des Apache 125 Seit Version 1 2 unterst tzt der Apache einen sogenannten Graceful Re start bei dem bestehende Client Verbindungen nicht getrennt werden kill USR1 cat var run httpd pid Grunds tzlich ist die zweite Methode vorzuziehen Mit einer Ausnahme wenn nderungen an einem Logfile Format vorgenommen wurden Solange noch aktive Verbindungen bestehen benutzen die Server das alte Logfile Beendet wird der Apache Server durch ein TERM Signal an den Haupt proze Daraufhin werden sofort alle Kindprozesse terminiert die Logfiles geschlossen und anschlie end der Hauptproze selbst beendet Das Kom mando daf r lautet kill cat var run httpd pid Doch zur ck zu den Dateien
204. ar 1900 months2 Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Smday Smonth year Smday months2 mon year Sdate_l Sdate_2 6 4 Zugriffe auswerten mit Webalizer Es gibt diverse Programme zum Aufbereiten von Server Logdateien Wie so oft ist die einfachste L sung meist die beste Der Webalizer ist ein Opensource Programm zur Darstellung der Zugriffsstatistiken fiir eine Homepage Er ist auf die unterschiedlichsten Plattformen portiert z B Linux auf PC Alpha und PPC Solaris auf Sparc oder Windows Die Auswertungsm glichkeiten sind recht um fangreich und h ngen davon ab wie die Konfigurationsdatei des Webalizers und die Konfigurationsdatei des Webservers eingerichtet sind Er kann zudem nicht nur fiir WWW Logs sondern auch fiir die Squid und FTP Logdateien verwendet werden Das Programm liefert eine Webstatistik der letzten 12 Monate In dieser Ubersicht sehen Sie die monatlichen Daten im Vergleich m Zusammenfassung des Monats m Tages Statistik m Statistik nach Uhrzeiten m Auswertung nach abgerufenen Seiten m Liste der Rechner die auf die Webseiten zugegriffen haben m Browsertypen m und vieles mehr In den meisten Distributionen ist der Webalizer enthalten Im Netz ist er ber http webalizer dexa org download html erh ltlich Dort stehen die Quellen und fertige Binaries f r alle Plattformen zur Verf gung die nur entpackt werden m ssen Die Unterst
205. ar Befehl Als Vorbereitung zur Installation m ssen einige Verzeichnisangaben in der Da tei src pathnames h an das System angepa t werden Die Tabelle 3 1 auf der folgenden Seite zeigt Beispiel Einstellungen Tabelle 3 1 Tabelle der konfigurierbaren Pfade Variable Eintrag Erkl rung _PATH_FTPUSERS etc ftpusers Liste mit Benutzern die kei nen Zugriff auf das Archiv haben PATH_FTPACCESS etc ftpaccess Die Konfigurationsdatei des FTP Daemons PATH_EXECPATH home ftp Ort der Programmdatei nach dem chroot Befehl Anonymous FTP PATH_PIDNAMES var run ftp pids s Suchmuster f r die Datei en in denen die Prozefnum mern gespeichert werden _PATH_CVT etc ftpconversions Liste mit den Kommandos f r die Kompression und Dekompression _PATHXFERLOG var log xferlog Protokolldatei f r Ubertra gungsdaten _PATH_PRIVATE etc ftpgroups Liste mit Gruppenpa w r tern _PATH_UTMP var run utmp Protokolldatei f r Betriebs systemzugriffe _PATH_WTMP var log wtmp Protokolldatei f r Betriebs systemzugriffe _PATH_LASTLOG var log lastlog Protokolldatei f r Login Informationen PATH_BSHELL bin sh Pfadangabe fiir eine System Shell _PATH_DEVNULL dev null Pfad zum Nulldevice _PATH_FTPHOSTS etc ftphosts Liste mit speziellen Zugriffs rechten Der Installationsvorgang wird von einem Shellscript durchgef hrt das mit den Befehlen 102 3 FTP Server build lt Rechner
206. ar lib majordomo Log Sfiledir Slistdir Sfiledir_suffix archive Zum Schluf wird noch der Majordomo Alias fiir den Mailer in etc aliases eingetragen Man kann dabei gleich mehrere Spitznamen f r Majordomo ein tragen owner majordomo postmaster majordomo usr lib majordomo wrapper majordomo listserv majordomo listmanager majordomo liste majordomo mailingliste majordomo md majordomo Jede E Mail an den E Mail User majordomo f hrt dann dazu da der Mailer das tiber den angegebenen Pfad erreichbare Programm wrapper aufruft Aus Sicher heitsgr nden geht man den Umweg ber dieses in C geschriebene Zusatzpro gramm in dem der tats chliche Pfad auf das Majordomo Paket hard coded ver borgen ist M chte man den Standardpfad ndern mu man dieses Programm entsprechend ndern und neu kompilieren Nun kann es an die Definition der Listen selbst gehen 332 11 Mailing Listen mit Majordomo verwalten 11 3 Mailinglisten einrichten Alle Listen m ssen im in der Datei majordomo cf unter listdir angegebe nen Verzeichnis var lib majordomo lists zu finden sein Pro Liste gibt es drei bis vier Dateien Zuerst sollte man sich Gedanken ber den Namen der Li ste machen Dieser Name sollte unbedingt selbsterkl rend sein da jeder externe Anwender ber ihn mit der Mailingliste kommuniziert Zudem erleichtert es bei mehreren Listen auch die Verwaltung ungemein wenn man gleich wei um wel che List
207. ary DNS 0 261 Manual Allocation 314 Primary Nameserver 270 Message Flooding 376 Private Netzadressen 30 Meta lag eegen NEE nina 214 Procmail 83 MIME eg dee ae A 64 115 procmaillog ooooooomo 89 MOUNT sas sra ade 60 PrOXY anni 231 Mozilla raus 241 Proxy transparent 240 MS WORD Datei 211 Proxy Performance 256 Multidfop zur essen 92 Proxy Statistik 228 Proxy Verbund 249 N Puffer berlauf 369 Neighbour suu 00 00 250 NetBEUI zu 276 Q NetBIOS ias 276 Quota EE 56 Netscape asien 241 hHetstat su aaa 49 R INES zus AE 24 59 Regeln uns Sin dada dane 68 NFS Server 00 ccc eens 59 Relaying u oa SEENEN 77 NNTP Zeg Eeer a 25 Resolver zaiosiriain dare cond idas 260 Index 433 RODO S stan ee 183 SSI mr roo taras 136 TODOUSAXE a 147 SSL essen ee 157 TOOL SEIVELS 2 0 eee eee eee ee 262 Statistik Tools 219 TOUTE ans 142 Stellvertreter oo oooooo o 231 Route Spoofing 373 STICKY Bit stees dar 53 r ndig reed 210 Sticky BBlt see 220800004 296 Suchbegriffe 196 S suchen lokal 184 Sabotase essen 362 Suchformular uses sat 198 Samba u 275 Suchmaschine 183 195 Schichten ed g e a8 24 Suchmethode 22 197
208. aschine kann man den Eintrag sofort wieder entfernen 9 9 3 Windows 2000 Rechner zur Dom ne hinzuf gen EI Systemsteuerung lol xi Datei Bearbeiten Ansicht Favoriten Extras E gt EJ Qsuchen Eyordner CBverlauf MS E X A Sg Adresse Systemsteuerung y wechseln zu Ordneroptionen Scanner und Kameras Systemsteuerung Schriftarten Verwenden Sie die Einstellungen in Systemsteuerung um den Computer an Ihre pers nlichen E Bed rfnisse anzupassen Markieren Sie ein Objekt um seine Sounds und Multimedia System Beschreibung anzuzeigen Windows Update Windows 2000 Support Tastatur Telefon und Modemoptionen a 23 Objekt e Abbildung 9 11 Systemsteuerung Nachdem der Server f r die Arbeit als PDC umkonfiguriert wurde kann man sich den Clients widmen Im folgenden wird das Vorgehen bei Windows 2000 Rechnern beschrieben Bei Windows NT sieht die Konfiguration aber nicht unwe sentlich anders aus 308 9 Samba Zun chst einmal mu man sich am Windows 2000 Rechner als Benutzer Admi nistrator anmelden Anschlie end klickt man sich via Start Einstellungen Systemsteuerung zum Icon System durch das man per Doppelklick aktiviert Nun w hlt man die Karteikarte Netzwerkidentifikation und befindet sich im Men von Bild 9 11 Hier w hlt man den Knopf Eigenschaften Systemeigenschaften xl Allgemein Netzwerkidentifikation Hardware Benutzerprofile Erweiter
209. askiert und nur noch 192 168 0 0 als Adresse gespeichert Anhand der Logdatei festzu stellen welcher Rechner welche Seite aufgerufen hat wird damit unm glich Unsere Empfehlung hierzu lautet Setzen Sie im Sinne des Datenschutzes die Maske so da die letzte Zahl ausgeblendet wird also client netmask 255 255 255 0 Damit k nnen Sie bei gro en Installationen mit mehreren Subnetzen immer noch feststellen aus welchem Netz ein Zugriff stammt und von welchen Bereichen aus h ufiger auf den Proxy zugegriffen wird Anhand dieser Daten k nnen Sie zum Beispiel erkennen welche Netze Bedarf f r ei gene Proxies haben oder wo es lohnt die Plattengr e oder die Leistung der Proxies zu optimieren ftp_user Diese Einstellung ist von Bedeutung wenn Squid auch als Cache f r FTP Verbindungen verwendet werden soll Bei einem anonymen FTP Login gibt man als Benutzernamen ftp und als Pa wort seine E Mail Adresse an Mit einem Eintrag wie zum Beispiel ftp_user squid netzmafia de legen Sie fest was Squid in diesem Fall bertr gt Verwenden Sie statt netzmafia de im obigen Beispiel Ihren echten Domainnamen oder einen Rechnernamen in nerhalb der Domain da viele FTP Server die Adressen auf G ltigkeit pr fen und im Fehlerfall den Login verweigern m cache_mgr Wenn der Cachevorgang durch einen Fehler beendet werden mu kann Squid eine Mail an die hier eingetragene Adresse senden blicher weise verwendet man einen Aliasnamen f r einen Benu
210. atei etc aliases vorgenommen werden server ist hier der Name des Rechners die Zeile wurde f r den Druck umbro chen test archiv opt www hypermail bin hypermail i u d opt www htdocs hypermail test 1 Test Mailinglistenarchiv L de Nach einem erneuten Aufruf von newaliases ist die Liste einsatzbereit Eine andere Aufrufm glichkeit ist das Einbetten des obigen Aufrufs in eine lokale Datei forward Hier wird dann aus den ankommenden E Mails automatisch ein Web Archiv generiert In beiden F llen liest Hypermail genau eine E Mail von der Standardeingabe und f gt sie sofort in ein Archiv ein Es gibt aber noch weitere M glichkeiten das Programm einzusetzen Die Eingangs E Mail kann aus einer Datei gelesen werden oder es lassen sich komplette Mailboxen in einem Rutsch in ein Webarchiv konvertieren 12 2 Aufrufoptionen und Konfiguration 12 2 1 Kommandozeilenparameter Die Arbeitsweise von Hypermail wird ber Kommandozeilenparameter gesteu ert 352 12 Webforum einrichten mit Hypermail Ein und Ausgabe Zur Festlegung von Ein und Ausgabe dienen vier Parameter i legt fest da Hypermail E Mails von der Standardeingabe liest Dieser Fall wurde oben behandelt i kann nicht zusammen mit m verwendet werden m m spezifiziert eine Mailbox Datei aus der gelesen wird z B m mbox Vor einstellung beim Aufruf von Hypermail ist das Lesen aus der Datei mbox m d legt das Verzeichnis fest in das die erzeu
211. auch am obigen Dateilisting sehen kann Das Verzeichnis 1ib ist normalerweise leer Nur wenn dynamisch gelinkte Versionen von 1s und anderen Programmen verwendet wer den kommen hier die passenden Libraries hinein Mit dem Kommando 1dd kann man herausbekommen welche Libraries ein Programm ben tigt Tabelle 3 2 Zugriffsrechte f r anonymen FTP Verzeichnis Datei Eigent mer Rechte home ftp root root ode 555 bin root root ode 111 etc root root ode 111 pub root root ode 555 bin ls root root ode 111 etc group root root ode 444 etc passwd root root ode 444 Achten Sie auch darauf da alle Dateien die der wu ftpd erreichen mu auch innerhalb des ftp Verzeichnisses angeordnet sind Beim anonymen Login wird ja ein chroot ausgef hrt so da nur noch das ftp Verzeichnis sichtbar ist Insbe sondere sind dies m Alle Meldungen welcome banner readme etc m Programme im durch _PATH_EXEPATH definierten Verzeichnis 106 3 FTP Server 3 4 3 Kommandozeilenparameter des wu ftpd Das Programm kennt zus zlich zu jenen des Original ftpd noch folgende Kommandozeilen Parameter m A schaltet die ftpaccess Datei aus m a schaltet die ftpaccess Datei ein m d schaltet Debugging ein m i schaltet Logging in xferlog aller geladenen Dateien ein m L schaltet Logging jedes Versuchs einen Benutzernamen zu ndern ein m o schaltet Logging in xferlog aller he
212. auf der physikalischen Schicht transportiert werden Auf der Senderseite m ssen die Daten alle Schichten von oben nach unten durchlaufen auf der Empf ngerseite von unten nach oben Provider Anbieter von Internet Dienstleistungen Es gibt ffentliche Provider z B Unis Internet Vereine die den Zugang kostenlos anbieten und private Provider die Einzelpersonen und Firmen gegen Geb hr ins Internet lassen Man unterscheidet Internet Content Provider ICP Anbieter von redaktionell bearbeiteten Informationen Internet Presence Provider IPP Dienstleister f r die Erstellung und Gestaltung von Webseiten Internet Service Provider ISP Anbieter von Internetzug ngen und technischen Voraussetzungen f r den In ternetauftritt und Internet Access Provider IAP Anbieter die Datenleitungen verlegen Carrier Proxy Stellvertreter Zwischenstation f r das Abrufen von Internet Daten z B Web Seiten Provider setzen Proxies h ufig ein um die aus dem Internet gela denen Daten ihrer Kunden zwischenzuspeichem damit sie bei einem erneuten Zugriff nicht erneut geladen werden m ssen Firmen setzen Proxies h ufig als Firewall ein um den Datenflu in die Firma hinein und aus der Firma heraus besser kontrollieren zu k nnen Public Domain Software die kostenlos verbreitet wird und ver ndert werden darf Public Key Verfahren Verschl sselungstechnik die mit einem vertraulichen und einem im Internet ver ffentlichten Schl ssel arbe
213. aut ist Dann kann man mit dem Kom mando usr lib sendmail q alle E Mails auf einmal verschicken Je nach Distribution m ssen Sie statt der Datei sendmail mc oder auch linux mc das entsprechende Konfigurations Skript anpassen Sie k nnen dazu entsprechende echo Zeilen zum entsprechen den Teil hinzuf gen Bitte beachten Sie da bestimmte Zeichen mit 1 ausmas kiert werden m ssen z B Das k nnte dann folgenderma en aussehen if SSENDMAIL_EXPENSIVE 1 then echo define confCON_EXPENSIVE True dnl gt gt sendmail mc 2 2 Sendmail 75 Nun k nnen die sendmai 1 Dateien erstellt werden Als Vorarbeit sollte im Start skript von Sendmail etc rc d sendmail der Parameter q30m entfernt werden sofern er dort vorhanden ist sonst wird versucht die Queue alle 30 Mi nuten automatisch zu leeren Dann wird ein m4 Makro erstellt das eine Schablone f r die eigentliche Kon figurationdatei von Sendmail darstellt Man kopiert die vorhandene Datei sendmail mc nach sendmail mc orig und bearbeitet sie anschlie end Be achten Sie da die Angaben in der Klammer in zwei verschiedene Hochkommata eingeschlossen sind Am Anfang steht ein Backtick am Ende ein normales Anfithrungszeichen Die Datei sollte dann in etwa folgenden Inhalt haben include m4 c m4 VERSIONID linux sendmail for smtp offline setup dnl OSTYPE linux dnl define confCON_EXPENSIVE True dn
214. be rechtigung auf den Server besitzen wird ein anonymer User namens ftp eingerich tet Er erh lt ein eigenes Home Verzeichnis das beim Betrieb mit dem chroot Systemaufruf zum Hauptverzeichnis dieses Benutzers wird Er hat also nur eine eingeschr nkte Sicht auf das System Ein weiterer wichtiger Aspekt Es darf nicht m glich sein sich als Anonymous an einen anderen Unix Dienst anzumelden oder sogar mit einer Shell Befehle abzusetzen Dies w re eine grobe Verletzung der Systemsicherheit Der Eintrag zum Anlegen dieses Benutzers in der Datei etc passwd lautet ftp 40 2 Anonymous FTP user home ftp bin false Bitte darauf achten da bin false in der Datei etc shells verzeichnet ist Sie k nnen den User mit dem Programm adduser anlegen und dann die entspre chenden Anderungen vornehmen Nachdem der Benutzer eingetragen wurde mu in seinem Home Bereich eine be stimmte Verzeichnisstruktur erstellt werden Durch die Einschr nkung der Sicht auf den Dateibaum darf aber nicht die Funktionalit t des FTP Prozesses behin dert werden besonders nicht durch fehlende Bibliotheken oder Hilfsprogramme Zu diesem Zweck wird zun chst das Home Verzeichnis angelegt home ftp In diesem Verzeichnis m ssen nun diejenigen Subdirectories angelegt werden die das System nach dem Change Root noch erwartet oder die FTP ben tigt Dies sind m bin f r ausf hrbare Dateien usr bin f r ausf hrbare Dateien m lib f r dynamische Bibliot
215. beitsfortschritts Mehr als ein v sprengt alle Grenzen eines Logfiles m soundex Erzeugt eine Datenbank mit Soundex Schl sseln Der Unterschied zum Standard Soundex Algorithmus besteht darin da der Schl ssel aus sechs Ziffern besteht und der erste Buchstabe auch als Ziffer codiert wird m metaphone Erzeugt eine Metaphon Datenbank Der Algorithmus ist dem Soundex Verfahren hnlich aber auf die englische Sprache ausgerichtet Da bei werden aber weniger seltsame bereinstimmungen generiert endings Erzeugt zwei Datenbanken zum Behandeln unterschiedlicher Wort endungen Dazu ben tigt das Programm eine Affix Endungs Datenbasis und ein W rterbuch das diese benutzt F r beides wird von htfuzzy das Format des ispe11 Programms verwendet m synonyms Erzeugt eine Synonym Datenbank Es wird eine Textdatei mit den Synonymen gelesen in der jede Zeile eine Reihe von Worten enth lt Als erstes ein Wort und dann die Synonyme dazu 5 8 Das Programm htnotify Das Programm verschickt E Mails f r alle Seiten die nicht mehr up to date sind Dazu m ssen in den entsprechenden Seiten die passenden htDig Metatags einge tragen sein N heres siehe unten m b database zu verwendende Datenbank m c configfile Alternative Angabe der Konfigurationsdatei m v Verbose Mode v liefert ein Log der Adressaten Weitere v s machen die Ausgabe umfangreicher 5 9 Das Programm htsearch Dies ist die eigentliche Suchmaschin
216. ben des Klartextpa worts Scryptedpassword crypt password substr password 0 2 Ein Perl Tool zum Verwalten gesch tzter Verzeichnisse finden Sie auf Seite 150 Dieses Tool ist per Browser bedienbar bedient sich somit des CGI 4 6 Common Gateway Interface CGI Die Zusammenarbeit zwischen Apache und CGI Skript basiert auf zwei Teilen 4 6 Common Gateway Interface CGI 135 m Apache liefert die Daten des Client f r das CGI Skript m Apache erh t Daten aus dem CGI Skript an den Client zur ck CGI Skripte sind Programme in einer beliebigen Programmiersprache H ufig werden Shell Skripte C Programme oder Perl Skripte verwendet Der Apache bietet verschiedene M glichkeiten CGI Skripts auszuf hren Zum einen kann man mit der Anweisung Options ExecCGI f r ganze Verzeichnis se festlegen da darin Skripts ausgef hrt werden k nnen unabh ngig von ihrer Endung Andererseits kann man aber auch durch SetHandler cgi script bestimmen da in bestimmten Verzeichnissen Programme mit einer vorher fest gelegten Endung z B cgi ausf hrbar sind Da ein unbeaufsichtigter Aufruf eines ausf hrbaren Programmes eines unbe kannten Users auf dem eigenen System eine gewisse Sicherheitsrelevanz hat ist offensichtlich So stellt gerade der Einsatz von CGI Skripten eine potentielle Ge fahrenquelle im WWW Serverbetrieb dar Folgende Punkte sind zu diesem Thema zu beachten m Exec Rechte m Programmqualit t m Shell M
217. ber for them NameVirtualHost 192 168 253 1 80 Nach der Anderung von httpd conf und einem Restart von Apache sollten alle virtuellen Server ansprechbar sein Nun m ssen Sie noch eine neue Verzeichnis struktur f r jeden Server anlegen und mit Daten f llen 148 4 WWW Server Apache Noch eine Schlu bemerkung Mit dem Befehl Alias kann man ein beliebiges Ver zeichnis fiir den Webzugriff freigeben Solche Aliase wirken auf alle virtuellen Hosts k nnen also nur f r Verzeichnisse verwendet werden die allen virtuellen Hosts gemeinsam sind 4 11 Server Infos Apache ist in der Lage einen Client mit internen Informationen zu versorgen Das hierzu notwendige Modul ist in der Datei mod_info c enthalten die beim Kompilieren eingebunden werden mu Es liefert eine umfassende bersicht der Serverkonfiguration einschlie lich aller installierten Module und Direktiven der Konfigurationsdateien Dieses Modul ist standardm ig nicht eingebunden Um es zu aktivieren f gen Sie die folgende Zeile in die Konfigurationsdatei ein mit der der Server dann kompiliert wird AddModule modules standard mod_info o Ist das Modul in den Server integriert sind seine Handler F higkeiten f r alle Konfigurationsdateien verf gbar also auch z B htaccess Das kann sicher heitstechnische Probleme mit sich bringen Auf die gleiche Weise lassen sich Diagnosemeldungen generieren Dazu mu das Modul mod_status eingebunden werden AddModule modules
218. bereich des Servers was als ein facher Sicherheitsmechanismus anzusehen ist 3 2 der wu ftp Daemon Gegen ber der Funktionalit t von Standard FIP Daemonen die normalerwei se bei Unix Systemen zum Lieferumfang geh rt bietet das Programmpaket wu ftpd der Washington University einige Erweiterungen die gerade f r den Einsatz im Internet von Vorteil sein k nnen So unterst tzt es die Definition von Benutzerklassen f r Zugriffsbeschr nkungen auf den Datenbestand Weiterhin ist der Server zur Entlastung der Leitungen in der Lage Dateien vor der bertra gung zu komprimieren Zu den komfortablen Erweiterungen z hlen der Logging Mechanismus und das Benachrichtigen von Benutzern sollte der Server einmal heruntergefahren werden Die wichtigsten Features des wu ftpd sind Logging der Transfers m Logging der Kommandos m on the fly Kompression und Archivierung m Klassifizierung des Users nach Typ und Ort Zugriffsbeschr nkungen auf Benutzerklassen Ebene m Zugriffsbeschr nkungen auf Directory Ebene m Zugriffsbeschr nkungen f r guest Accounts m Messages systemweit und pro Directory 3 3 Installation 101 3 3 Installation Der FTP Daemon der Washington University findet sich als Datei wu ftpd x y tar gz x und y sind die Nummern der aktuellen Version im Internet unter der URL ftp wuarchive wustl edu packages wuarchive ftpd Das Entpacken in ein Unterverzeichnis erfolgt mit dem bereits beschriebenen t
219. bin dir Verzeichnispfad IMAGE_DIR with image dir Verzeichnispfad SEARCH_FORM with search dir Verzeichnispfad Danach kann man make aufrufen und falls alles geklappt hat make install Sollte die Kompilierung mit der Fehlermeldung abgebrochen werden da die Library Datei libht a nicht gefunden wurde dann ist wahrscheinlich die Bi bliothek 1ibstdc nicht auf dem System installiert make install sorgt f r das Kopieren der Programme htdig htmerge htnotify und htfuzzy in das BIN_DIR htsearch wird in das CGIBIN Verzeichnis kopiert und alle anderen Verzeichnisse angelegt und mit den entsprechenden Standard Dateien von htDig gef llt Wer will kann in der Datei httpd conf oder srm conf des Webservers noch ein Alias einf gen Alias htdig opt www htdocs htdig Es geht aber auch wunderbar ohne Alias An dieser Stelle ist htDig schon fast lauff hig F r einen ersten Test k nnen Sie nun die Datei CONFIG_DIR htdig conf bei uns ist das opt www htdig conf htdig conf anpassen und einen ersten Test starten Dazu ndern Sie die Zeilen Wo soll die Suche starten start_url http www netzmafia de Welche Dateien nicht indizieren exclude_urls egi bin cgi pl Das reicht f r den ersten Test alles andere wird sp ter noch ge nau konfiguriert Starten Sie nun BIN _DIR rundig bei uns ist das opt www htdig bin rundig um einen Index zu erstellen Wenn Sie den Parameter v angeben sehen Sie auch was htDig so treibt
220. bin gespeichert und ausf hrbar gemacht Auf unserer Webseite finden Sie noch weitere Tools f r Mailinglisten 11 7 Angriffe auf Mailinglisten 347 11 7 Angriffe auf Mailinglisten Was tun bei Angriffen von au en auf unmoderierte Mailinglisten Mailbombing SPAM etc Angriffsm glichkeiten m Ein Angreifer subskribiert die Liste und berschwemmt sie mit SPAM m Ein Angreifer meldet die Liste bei Newsservern oder anderen Mailinglisten an Die Liste wird in deren Verteiler aufgenommen und innerhalb kurzer Zeit mit Mails berschwemmt m Ein Angreifer mi braucht andere listeninterne Dateien Beg nstigende Faktoren m Unkenntnis der Listen Owner Ein offenes System mit Sicherheitsl cken in der Konfiguration m Vermeintliche Anonymit t des Angreifers Gegenma nahmen m Das Posten in die Liste wird nur noch von subskribierten Mitgliedern zugelas sen restrict_post listenname m Das Anmelden eines Verteilers der dann als Autor postet wird verhindert subscribe_policy closed m Beschr nkung aller Get Index und Who Abfragen auf die subskribier ten Listenmitglieder private_get yes private_index yes und private_who yes Stoppen der Ursprungsmails Unsubskribieren des Spammers m Informieren der Listenteilnehmer Kapitel 12 Webforum einrichten mit Hypermail 12 1 Hypermail Hypermail ist ein Programmpaket das ein WWW Interface f r beliebige Mailing listen also auch Majordomo Mailinglis
221. bindungswunsch warten Die spezi fizierten Portnummern sind auf allen Rechnern im Netz gleich Die Server Programme entnehmen dieser Datei auf welchen Port sie zugreifen m ssen Die Client Programme finden hier die entsprechenden Portnummern ihrer Server In etc services werden die Portnummern f r TCP und UDP Dienste spezifiziert Die Portnummern f r diese beiden Transport Protokolle sind v llig unabh ngig voneinander Trotzdem ist es im allgemeinen blich gleiche Portnummern f r beide Protokolle zu benutzen wenn ein Dienst ber beide Transportprotokolle verf gbar ist Ein Ausschnitt aus etc services tcpmux 1 tep TCP port service mux echo Tfecp echo 7 udp discard 9 tcp sink null discard 9 udp sink null systat 1 tcp users daytime 3 tcp daytime 3 udp netstat 5 tcp gotd T ecp quote msp 8 tcp message send protocol msp 8 udp message send protocol chargen 9 tep ttytst source chargen 9 udp ttytst source ftp 21 tcp 22 unassigned telnet 23 tcp 24 private smtp 25 tep mail 26 unassigned time 37 tcp timserver time 37 udp timserver rlp 39 udp resource resource location nameserver 42 tcp name IEN 116 whois 43 tcp nicname domain 53 tep nameserver name domain server domain 53 udp nameserver mtp 57 tcp deprecated bootps 67 tcp BOOTP server bootps 67 udp bootpc 68 tcp BOOTP client bootpc 68 udp tftp 69 udp gopher TO tep Internet Gopher gopher 70 udp rje 77 tcp netrjs f
222. bmaster netzmafia de DocumentRoot home httpd firma2 ServerName www firma2 de ErrorLog logs firma2 error_log CustomLog logs firma2 access_log common lt VirtualHost gt xx Virtual Host Firma 3 xxx lt VirtualHost 192 168 253 4 gt ServerAdmin webmaster netzmafia de DocumentRoot home httpd firma3 ServerName www firma3 de ErrorLog logs firma3 error_log CustomLog logs firma3 access_log common lt VirtualHost gt xxx Virtual Host Firma 4 xxx lt VirtualHost 192 168 253 5 gt ServerAdmin webmaster netzmafia de DocumentRoot home httpd firma4 ServerName www firma4 de ErrorLog logs firma4 error_log CustomLog logs firma4 access_log common lt VirtualHost gt Wer mit IP Adressen sparsam umgehen mu der kann auch auf eine andere Form von virtuellen Servern mit dem Apache zur ckgreifen Bei dieser Metho de k nnen auch alle virtuellen WWW Server auf dem gleichen Port laufen Basis daf r ist die Einf hrung sogenannter Non IP Virtual Hosts mit HTTP 1 1 Da bei werden keine eigenen IP Adressen f r jeden einzelnen Server ben tigt Im Nameserver mu lediglich ein CNAME Eintrag f r den verwendeten virtuellen Server existieren Dieses Verfahren funktioniert aber nur bei Clients die den ent sprechenden Teil von HTIP 1 1 unterst tzen Die Datei httpd conf ben tigt dann noch folgende Eintr ge If you want to use name based virtual hosts you need to define at least one IP address and port num
223. brett zu anderen zu benutzen Je effektiver die Spuren gel scht werden desto schwieriger ist es den Hack aufzudecken und passende Gegenma nahmen zu ergreifen 368 13 Server Sicherheit 13 4 Schadensformen im Netz 13 4 1 Allgemeine Sch digung durch Eindringlinge m Hacker k nnen Zugang zu vertraulichen Daten erlangen Daten und Program me stehlen oder l schen m Hacker belegen Systemressourcen was zu Betriebsst rungen f hren kann Gebrauchsdiebstahl z B kostenlose Kommunikation ber das Firmennetz kommt ebenfalls vor m Durch Zur cklassen von Viren Trojanischen Pferden oder Programmen mit logischen Bomben kann der Eindringling Sabotage ver ben m M glicherweise l t er aber nur eine trap door zur ck und begn gt sich mit der Inanspruchnahme von Plattenplatz und Rechnerleistung Auch das kann unangenehm werden wenn jemand Ihren WWW Server als Depot f r Porno bilder verwendet m Lahmlegen denial of service oder Ausblenden hijacking eines oder meh rerer Rechner Die Server sind nicht mehr erreichbar oder ein anderes System liefert statt dessen Falschinformation oder sammelt Informationen m Aufdeckung von Hackereinbr chen bewirkt einen schlechten Ruf und erzeugt Mi trauen gegen ber dem System und der Organisation Aber auch ohne in den Server einzudringen kann Ihnen jemand im Internet Scha den zuf gen 13 4 2 Allgemeine Sch digung im Internet m Gef lschte E Mail z B bei Bestellungen
224. ch Stmpath excldirs if tmp eq tmpath recurse 0 last if recurse CheckFiles fullFilename next if fullFilename m htm i open FILE fullFilename or return Ganze Datei wird auf eine Zeile eingelesen line join lt FILE gt close FILE line s n g Newlines weg line s amp auml g Umlaute konvertieren line s amp ouml g line s amp uuml g line s amp Auml g line s amp 0uml g line s amp Uuml g line s amp szlig g Stitle No Title if line m lt title gt lt title gt i title 1 if Sein type eq all Alle Suchbegriffen muessen in der Datei vorkommen found 1 foreach search search if line m Ssearch i found 0 last 192 5 Die lokale Suchmaschine else type any Es reicht wenn einer der Suchbegriffe vorkommt Sfound 0 foreach search search if line m search i found 1 last if found ee fullFilename tmp s SBASE print lt LI gt lt A HREF Stmp gt title lt a gt n Snumberreturned Wie schon gesagt reicht dieses Skript f r den Anfang Irgendwann ist aber das Anlegen eines Index f r eine schnellere Suche n tig Zudem f hrt das obige Skript keinerlei Gewichtung oder Sortierung der Fundstellen durch Wenn es professio neller werden soll h
225. ch f r jedermann kontaktierbar Mit zunehmender Vernetzung w chst aber auch der Bedarf an Schutz der Privatsph re W hrend f r die Briefpost und f r die Telekom das Postgeheimnis gilt gibt es bei Weitverkehrsnetzen nichts Ver gleichbares Bei einer Ansammlung von weltweit miteinander vernetzten Compu tern ist ein Briefgeheimnis auch nicht m glich Nachrichten die Sie beispielsweise ber das Internet verschicken laufen ber viele Rechner meist sind es aber nur Router Theoretisch ist es an jeder Stelle im Netz m glich Ihre Daten abzuh ren und zu speichern 364 13 Server Sicherheit 13 3 Gefahrenkategorien Zuerst ist zu beurteilen welchen Gefahren man ausgesetzt ist Unter Gefahren werden Faktoren verstanden die im Zusammenspiel mit der Verwundbarkeit der Netz Ressourcen die drei Datensicherheitsaspekte Datenzug nglichkeit Daten qualit t und Datengeheimnis bedrohen Die Gefahren die es im Zusammenhang mit dem Betrieb von Netzen gibt k nnen in drei Hauptkategorien aufgeteilt wer den m menschliche m technische und m umweltbedingte Die Beurteilung der m glichen Gefahren f r das Netz des Unternehmens bildet die Grundlage f r eine Liste konkreter Ereignisse oder Szenarien 13 3 1 Menschliche Schw chen und Gefahren Schuld an den meisten Problemen sind ungeschickte oder unkundige Anwen der Anwenderfehler k nnen unterschiedliche Folgen haben z B unerw nschtes L schen von Daten berschreiben von Daten
226. ch sort inhtdig conf festgelegt words Dies ist das einzige Pflichtfeld des Formulars Hier werden die Such begriffe eingetragen durch Leerzeichen oder getrennt 5 9 5 Steuerung der Ausgabe von htDig Die Ausgabe der Suchmaschine kann nicht nur ber bestimmte Dateien im common Verzeichnis siehe unten gesteuert werden sondern es lassen sich im Text auch bestimmte Variablen referieren Die Anwendung einzelner Variablen ist nat rlich nur in bestimmten Dateien sinnvoll In der HTML Datei werden sie normalerweise durch VARIABLE angesprochen in URLs mit VARIABLE Die meisten Variablen ben tigen Sie nur wenn Sie eigene Templates f r die Aus gabe der Fundstellen erstellen wollen einige kann man auch gut im Header oder Footer verwenden Die folgenden Variablen stehen zur Verf gung ANCHOR Liefert den NAME Anker der vor der ersten angezeigten Fund stelle gefunden wurde Die Variable beginnt mit einem kann also sofort an eine URL angeh ngt werden Falls es keinen solchen Anker gibt ist die Variable leer CGI Wert der Umgebungsvariablen SCRIPT_NAME CURRENT Nummer der aktuell angezeigten Fundstelle DESCRIPTION Die Beschreibung zwischen lt A HREF gt und lt A gt der aktuellen Fundstelle DESCRIPTIONS Eine Liste solcher Beschreibungen DOCID Interne Document ID fiir die aktuelle Fundstelle EXCERPT Das angezeigte Exzerpt fiir die aktuelle Fundstelle FIRSTDISPLAYED Index der ersten a
227. chbegriffe m ssen im Dokument enthalten sein logische UND Verkn pfung Sie k nnen die logische Verkn pfung auch di rekt angeben Hund and Katze sucht nach Dokumenten die beide Begriffe enhalten ODER Mindestens ein Begriff Mindestens ein Suchbegriff mu im Doku ment enhalten sein Sie k nnen die logische Verkn pfung auch direkt angeben Hund or Katze sucht nach Dokumenten die einen von beiden Begriffen enthalten m Logische Verkn pfung erlaubt die Verwendung der logischen Ausdr cke and UND Verkn pfung or ODER Verkn pfung und not Negation Bedeutung au er UND NICHT Au erdem sind Klammern zur Grup pierung erlaubt Beispiel hund and dobermann or dackel or pekinese hund or katze not maus 5 9 3 Ausgabe Format Die Formatierung der gefundenen Dokumente l t sich durch einige Optionen bestimmen m Ausgabe Template Titel und Beschreibung Lang Neben dem Titel des gefundenen Doku ments erscheint in der Resultatanzeige der Kontext in dem sich der Such begriff innerhalb des Dokumentes befindet Der gefundene Begriff selbst wird fett dargestellt So l t sich schnell erkennen ob das betreffende Do kument die gew nschte Information enth lt Weiters werden die URL und die Dateigr e angezeigt Nur Titel Kurz Es wird lediglich der Titel des gefundenen Dokumentes angezeigt m Treffer Seite Hier kann ausgew hlt werden wie viele Treffer der gefunde
228. che Linux Rechner sein auf dem Samba installiert ist siehe DHCP Kapitel auf Seite 315 m Ist kein DHCP Server vorhanden mu eine IP Nummer von Hand eingestellt werden Dazu ffnen Sie die Eigenschaften des TCP IP Protokolls mit einem Doppelklick auf TCP IP m Sie m ssen nun zumindest die Karteikarte IP Adresse ausf llen wie in Bild 9 3 gezeigt Wenn Sie ber keinen eigenen IP Nummernbereich verf gen ver wenden Sie hier am besten ein sogenanntes privates Netz siehe Kapitel 1 Im Beispiel wurde eine Nummer aus dem Klasse C Subnetz 192 168 1 0 vergeben Verwenden Sie keine Fantasieadressen au erhalb der als privat reservierten Netze auch wenn Sie im Moment noch keinen direkten Anschlu an das In ternet haben Sollten Sie Ihr Netz sp ter einmal ber einen Provider mit der Au enwelt verbinden sparen Sie sich viel rger Eigenschaften von TCP IP a ES Bindungen Erweitert NetBIOS DNS Konfiguration Gateway WINS Konfiguration IP Adresse Diesem Computer kann automatisch eine IP Adresse zugewiesen werden Wenn im Netzwerk IP Adressen nicht automatisch vergeben werden holen Sie beim Netzwerkadministrator eine Adresse ein und geben Sie diese unten ein IP Adresse automatisch beziehen P Adresse festlegen IP Adresse 192 168 1 15 Stine Mask Ee Abbildung 9 3 Eintragen der IP Nummer Folgende Adre bereiche sind zum Aufbau privater Netzwerke freigegeben A Netz 10 x x x
229. chen kann versucht er es alle ret ry Sekunden erneut m expire Kann der sekund re Server nach der hier angegebenen Zeit in Sekun den den Primary DNS immer noch nicht erreichen deklariert er seine Daten als veraltet und erteilt anfragenden Klienten keine Adre ausk nfte mehr ber diese Zone Nat rlich setzt man diesen Wert in der Praxis entsprechend hoch an und geht davon aus da dieser Fall nie eintritt 604 800 Sekunden oder eine Woche ist ein typischer Wert TTL Mit Hilfe dieses Wertes kann der prim re Server anderen DNS Servern mitteilen wie lange eine Adre auskunft von ihm in deren Caches verweilen darf Nach dieser Zeitspanne m ssen die Server die Information als veraltet wegwerfen und sich neu beim Server der Zone erkundigen TTL steht f r das englische Time To Live zu deutsch soviel wie Lebensdauer Viele Administra toren verwenden hier die Zeitspanne von einem Tag oder 86 400 Sekunden Der Eintrag NS orakel netzmafia de macht den genannten Rechner zum offiziellen Name Server der Dom ne NS Name Server Achten Sie bei dem Namen darauf da es sich um keinen Spitznamen CNAME handelt sondern um den echten Full Qualified Domain Name kurz FQDN Die Zeilen die mit dem Schl sselwort MX beginnen legen die Namen der Mail Server f r die Dom ne fest Sie empfangen die Post die an die Adressen Benutzername net zmafia de geht Die Nummer am Anfang bestimmt die Priorit t mit der das geschieht Kleiner
230. chforsten sondern kann sich auf die incoming Folder beschr nken ohne auf den Komfort verzichten zu m ssen gezielt auf sei ne pers nliche Mail zugreifen zu k nnen bzw wichtige oder unwichtige Mails schon aussortiert zu haben Procmail ist ein Tool f r die Selektion und gezielte Weiterverarbeitung von E Mail Procmail kann sowohl standalone beim ein zelnen Benutzer eingesetzt werden er eignet sich aber auch vorz glich f r den Einsatz als lokaler Mailfilter in Verbindung mit Sendmail Alle M glichkeiten von procmail hier zu beschreiben w re nicht sinnvoll und w rde auch den Umfang des Buches sprengen Es bleibt Ihnen nicht erspart f r weiterf hrende Informa tionen und zur Vertiefung die Manpages m procmail m procmailrc m procmailex zu studieren Wird Procmail als Server Mailfilter in die Zustellung von empfangenen Mails an die lokalen User eingebaut mu es automatisch von Sendmail f r jede einzelne Mail aufgerufen werden die einem lokalen User zugestellt werden soll Procmail 86 2 E Mail Server entscheidet dann anhand bestimmter Bedingungen die sich aus dem Inhalt der Mails ableiten lassen was mit den Mails im Einzelfall geschehen soll In der Einzelbenutzerversion wird in die Datei forward der Pfad zum Pro gramm procmail eingetragen procmail wird nun bei jeder ankommenden E Mail ausgef hrt Beispiel Bitte genau so mit allen Anf hrungszeichen einzugeben IFS amp amp exec usr
231. chnername weggelassen wird z B m holzmann netzmafia de Der entsprechende MX Eintrag des Nameservers verweist dann auf den Rechner mail netzmafia de und damit kann die Adresse korrekt aufgel st werden 1 5 TCP IP unter UNIX und Linux Die Installation und Initialisierung von TCP IP komplett zu beschreiben w rde die Grenzen dieses Buches sicherlich sprengen Eine solche Beschreibung ist auch ziemlich berfl ssig da nahezu jeder Hersteller eigene Installationsroutinen zur Verf gung stellt Leider sind diese unter Unix nicht einheitlich doch l uft die Ein richtung von TCP IP zumeist schon w hrend der Installation des Betriebssystems ab Aus diesem Grund beschr nken wir uns auf die allgemein wichtigen Kom mandos und Konfigurationsdateien 1 5 1 Schnittstellenkonfiguration mit ifconfig Das Starten von TCP IP erfolgt unter Unix durch Shell Skripte die je nach Unix Derivat anders hei en und sich an ganz unterschiedlichen Stellen des jeweili gen Dateisystems befinden k nnen So unterschiedlich die Shell Skripte auch sein m gen die Initialisierung erfolgt in jedem Falle durch das ifconfig Kommando Hier wird auch die Initialisierung der Netzwerkschnittstellen vorgenommen Da bei gibt es folgende Arten von Schnittstellen m das Loopback Interface m Broadcast Interfaces und m Point to Point Interfaces Das Loopback Interface ist eine spezielle Schnittstelle die zum lokalen System zur ckf hrt Dies bedeutet da alle Da
232. chnung der Statistik ausgeschlossen hier Graphiken und Aufrufe von CGI Programmen Mehrere Strings wieder durch trennen Sexclude gifljpglpnglcegi Name und Pfad der Webserver Logdatei SLOGDATEI var log any access_log Farbe der Balken fuer die Stundenstatistik Sscolor FFFFO0 Farbe der Balken fuer die Tagesstatistik Swcolor FFOOFF Das wars Ab hier muss nichts mehr geaendert werden Har EE aE a a a E HE FE EE HH EE EE FE FE HE EE EH HE EE EE a HE EE EE EE E E amp datum amp open_logfile amp calc_access amp kopf amp general amp by_hour amp by_date amp by_html amp fuss sub open_logfile Server Logdatei oeffnen open LOG SLOGDATEI die Kann LOGDATEI nicht oeffnen n while line lt LOG gt chomp line if line include amp amp Sline Sexclude i push lines line Sinclude eq ALL close LOG sub calc_access Daten aus der Logdatei extrahieren i 0 Scurrentdate foreach lines 6 3 Einfache Statistik Tools 223 site 31 5 32 Swhen j3 j4 page j5 number bytes split Spage s 7E gi date Shour minute second split Shour s 0 Wenn Datum gleichbleibt inkrementiere Counter fuer dieses Datum if date eq currentdate Scounter i Naechster Tag Tageszaehler ist die Variable i else Sitt Scurrentdate date
233. chtigsten Parameter behandelt Insbeson dere stellen wir jene Parameter vor die auf jeden Fall anzupassen sind Zuerst der allgemeine Teil der Einstellungen m ServerType standalone Es wird festgelegt da der Server eigenst ndig l uft und nicht ber den inetd gestartet wird Port 80 Falls mehrere Interfaces bzw IP Adressen f r den Rechner vorhan den sind kann mit Listen festgelegt werden welche Ports f r welche Adresse abgeh rt werden sollen m User wwwrun Group nogroup Nach ffnen des Ports als root wechselt Apache zu der als User und Group angegebenen UID bzw GID Die Zuwei sung kann entweder durch Angabe des Namens von User und Gruppe oder durch gefolgt von der numerischen User oder Gruppen ID erfolgen m ServerAdmin webmaster netzmafia de Bei Fehlermeldungen wird diese Adresse dem Client zur ckgeliefert 4 4 Konfiguration des Apache 127 ServerName www netzmafia de Wird bei Redirects ben tigt wenn man beispielsweise durch Eingabe von http www netzmafia de service auf das Verzeichnis inhalt zugreifen will erzeugt der Apache einen Redirect auf http www netzmafia de service Ohne ServerName w rde der Standard Hostname des Rechners zur ckgeliefert ServerRoot opt www Diese Einstellung sorgt daf r da Apache ausgehend von diesem Verzeichnis die Verzeichnisse f r Dokumente Logfiles und CGI Dateien sucht DocumentRoot opt www htdocs Hier werden die HTML Seiten abgelegt AccessConfig
234. conf auf etc squidstats conf und ndern diese Datei ab Auch hier sind wieder nur drei Zeilen zu modifizieren LogFile var squid logs access log LogType web OutputDir opt www htdocs squidstats Diesmal wird wieder der LogType web verwendet Die Auswertung funktio niert aber nur wenn die Logdatei des Squid das richtige Format besitzt Statt des Standardformats der Squid Logs mu der Squid seine Logdateien im Apache Stil abliefern Das erreichen Sie durch die Einstellung emulate_httpd log on in der Datei squid conf Mit dem folgenden Aufruf kann dann die Proxy Statistik abgerufen werden webalizer c etc squidstats conf 6 5 Weitere Protokollierungs Tools Die folgenden Tools geben nicht nur Daten aus Log Dateien aus sondern sam meln auch entsprechende Daten aus verschiedenen Quellen m SWATCH The System Watcher von Stephen E Hansen und E Todd Atkins ftp coast cs purdue edu pub tools unix swatch SWATCH wurde geschrieben um die in Unix Systemen integrierten Protokollierungs Utilities zu erg nzen SWATCH wurde in Perl geschrie ben und ist somit leicht zu portieren und zu erweitern SWATCH besitzt unter anderem ein Backfinger Utility das versucht finger Informationen vom angreifenden Host abzufangen und eine von Bedingungen abh ngige Ausf hrung von Befehlen m Watcher von Kenneth Ingham http www i pi com Watcher analysiert verschiedene Log Dateien und Prozesse sucht nach abnor men Aktivit
235. coreBoard verwendet Dort tragen die einzelnen Kindprozesse Daten ber ihre Auslastung ein die vom Vaterprozess berwacht werden Auf der Basis dieser Daten und der Vorgaben in der Konfigurationsdatei des Ser vers startet der Vaterprozess weitere Kindprozesse oder stoppt bereits vorhande ne Auf allen bekannten Plattformen speziell den aktuellen Linux Versionen und Solaris wird dieses ScoreBoard in einem Shared Memory Bereich gehalten Der Start des Vaterprozesses erfolgt blicherweise mit root Rechten Dies erlaubt es dem Vaterprozess sich an Port 80 den Standard TCP Port f r eingehende HTTP Anfragen zu binden Erzeugt der als root laufende Vaterprozess einen Kindpro zess so wechselt dieser Kindprozess zun chst seinen Sicherheitskontext entspre chend der Vorgaben User Group aus der vom Vaterprozess eingelesenen Konfi gurationsdatei Der durch die Direktiven User und Group festgelegte Sicherheitskontext bestimmt damit auch m mit welchen Rechten der entsprechende Kindprozess auf das Dateisystem zu greift m unter welchen Rechten die durch die Kindprozesse gestarteten CGI Skripte ablaufen Letzteres kann jedoch durch die Verwendung eines entsprechenden Setuid Skriptes wie z B des in der Apache Distribution enthaltenen suexec ge ndert 4 16 Apache 2 0 177 werden Eine Kontrolle des laufenden Apache Servers ist durch das Senden von UNIX Signalen an den Vaterprozess m glich Tabelle 4 1 Tabelle 4 1 Signale f r
236. ctures Experts Group definiertes und im WWW recht verbreitetes Bildformat Es kann im Gegensatz zu GIF beliebig viele Farben darstellen Ein spezieller verlustbehafteter Kompressionsalgorithmus sorgt daf r da die Bilder klein bleiben Knowbots Automatisiertes Werkzeug zum Sammeln von Informationen aus verschiedenen Rechnersystemen ber das Internet LAN Local Area Network Firmennetzwerk fr her meistens auf propriet ren Standards basierend heute immer h ufiger als offenes TCP IP System aus gef hrt siehe Intranet LDAP Das Lightweight Directory Access Protocol stellt eine vereinfachte und f r das TCP IP Protokoll angepa te Version des X 500 Protokolls dar Es erm glicht im Internet und Intranet den vereinfachten Zugriff auf Verzeich nisse auf anderen Rechnern Die Verzeichnisse m ssen hierarchisch aufgebaut sein sie k nnen als Inhalt Dateien Adressen Listen und andere Daten enthal ten Link Verweis in HTML Seiten auf anderes Dokument Im Browser meist farblich oder unterstrichen hervorgehoben LiveRadio Dateiformat das das Abspielen von Audio Streams w hrend der Downloads vorsieht Logfile Datei mit der Besuche aus dem Internet protokolliert und ausgewertet werden k nnen Login Sich auf einem fremden Computersystem anmelden h ufig mit der Ein gabe eines Benutzernamens und eines Pa worts verbunden Lurker Teilnehmer an einer Newsgroup oder Mailing List der sich nie selbst zu Wort meldet engl t
237. d 0 print Benutzer Sinput username nicht gefunden else print Benutzer Sinput username wurde geaendert sub deluser amp verifyadmin open data lt AuthUserFile or error Unable to open AuthUserFile flock data Sexlock data lt data gt flock data Sunlock close data Scount 0 foreach dat data Scountt user pass split dat if Sinput username eq user Scount splice data count 1 open wdata gt SAuthUserFile or amp error Unable to write to AuthUserFile flock wdata exlock print wdata data 4 13 WWW User Administration 157 flock wdata unlock close wdata print Benutzer Sinput username wurde gel ouml scht n print lt body gt lt html gt n exit print Benutzer Sinput username nicht gefunden n sub listusers amp verifyadmin open data lt AuthUserFile or amp error Unable to open SAuthUserFile flock data Sexlock data lt data gt flock data Sunlock close data Scount 0 foreach Sdat sort data Scount user pass split dat print Scount user lt BR gt n sub error Serrors _ 0 print lt H4 gt Fehler aufgetreten lt H4 gt n print lt ul gt lt li gt errors lt li gt lt ul gt lt P gt n print lt body gt lt html gt n exit sub verifyadmin open data lt SAut
238. d wahrend die Konfigurationsdatei neu geschrieben wird m date_info bool yes F gt am Anfang des Info Text automatisch eine Zeile mit dem Datum der letz ten Anderung des Info Textes ein m debug bool no Die eingehenden Mails werden nicht tats chlich weitergeleitet es wird nur so getan als ob description string undef Kurzbeschreibung der Liste beim 1i st s Befehl Maximal 50 Zeichen m digest archive absolute_dir undef Das Verzeichnis mit den Digests Nicht verwendet m digest_issue integer 1 Nummer des n chsten Artikels im aktuellen Digest m digest_name string Subject Zeile bei Digest Mails digest_rm footer word undef Nicht verwendet m digest_rm_fronter word undef Nicht verwendet m digest_volume integer 1 Nummer des aktuellen Digests digest_work_dir absolute_dir undef Arbeitsverzeichnis des Digest Programms Nicht ver ndern m maxlength integer 40000 E Mails ber dieser Gr e m ssen auf jeden Fall vom Listenverwalter best tigt approved werden bevor sie ber den Listenverteiler gehen Wenn Winword Dokumente oder hnliches ber die Liste gehen sollen mu dieser Wert erh ht werden m message_footer string array undef Dieser Text wird automatisch am Ende jeder ber die Mailing Liste verteilten Mail angeh ngt 336 11 Mailing Listen mit Majordomo verwalten message headers string_array undef Dieser Text wird automati
239. d 1408 zone inf private fhm edu IN sending notifies serial 2002021201 Feb 17 16 24 59 aella named 1408 zone 131 168 192 in addr arpa IN transfered serial 2002021285 Feb 17 16 24 59 aella named 1408 transfer of 131 168 192 in addr arpa IN from 192 186 252 1 53 end of transfer Feb 17 16 24 59 aella named 1408 zone netzmafia de IN transfered serial 2002021285 Feb 17 16 24 59 aella named 1408 transfer of netzmafia de IN from 192 168 131 252 53 end of transfer Mit Hilfe des Kommandos more k nnen Sie nach erfolgreichem Start des Servers die erzeugten Adrefstabellen betrachten more var named netzmafia zone liefert zum Beispiel 272 8 Name Service DNS SORIGIN netzmafia de 86400 IN SOA ns netzmafia de dnsadmin netzmafia de 2000041143 10800 1800 604800 86400 86400 IN NS ns netzmafia de 86400 IN NS orakel netzmafia de 86400 IN MX 50 mail irgendeinprovider de 86400 IN MX 10 orakel netzmafia de pandora 86400 IN A 192 168 131 248 86400 IN HINFO Pentium DOSe menetekel 86400 IN A 192 168 131 251 orakel 86400 IN A 192 168 131 252 Der Aufruf vonmore var named 192 168 131 rev ergibt STTL 86400 SORIGIN 131 168 192 in addr arpa 86400 IN SOA ns netzmafia de dnsadmin netzmafia de 2000051128 10800 1800 3600000 86400 86400 IN NS ns netzmafia de 248 86400 IN PTR pandora netzmafia de 251 86400 IN PTR menetekel netzmafia de 252 86400 IN PTR orakel netzmaf
240. d 8900 listening on IPv4 interface lo 127 0 0 1 53 Feb 6 16 09 25 aella named 8900 listening on IPv4 interface eth0 192 168 131 252 53 Di Feb 6 16 09 25 aella named 8900 command channel listening on 27 0 0 1 953 Feb 6 16 09 25 aella named 8900 command channel listening on 1 953 Feb 6 16 09 25 aella named 8900 zone 0 0 127 in addr arpa IN loaded serial 1 Feb 6 16 09 25 aella named 8900 running 84 Secondary Server Im Gegensatz zum Cache Only Server der einen reinen Zwischenspeicher f r Adrefanfragen darstellt ist der Secondary oder Slave Server im Besitz einer Ta belle mit den IP Nummern einer oder mehrerer ihm zugeordneter Bereiche Die se Tabellen kopiert er sich vom sogenannten Master oder Primary Server Auch zum Aufsetzen eines solchen Rechners ist nicht allzuviel Arbeit n tig und der Ver waltungsaufwand relativ gering Solche DNS Typen werden als Backup bestehen der Master Server oder zur Entlastung von teuren Provider Leitungen eingesetzt Statt alle Anfragen ber die Leitung zum Provider zu schicken wird eine Kopie des Provider DNS installiert damit alle lokalen Abfragen auch lokal bleiben Auch zu dieser Konfiguration ein konkretes Beispiel Das Klasse C Netz 192 168 131 0 mit der Dom ne netzmafia de wird auf dem prim ren DNS Server eines Providers verwaltet Der prim re Server hat die Adresse 192 168 132 252 Im lokalen Netz soll ein Spiegel dieses Servers in stalliert werden
241. d wenn die Komponente irgendwann versagt kann dies weitreichende Konsequenzen f r den Rest des Systems haben 366 13 Server Sicherheit Komponenten die nur teilweise Industriestandards einhalten oder die in Zusam menh ngen verwendet werden f r die sie urspr nglich nicht gedacht waren tra gen zu neuen und in vielen F llen unvorhersehbaren Fehlertypen bei Software bedingte Betriebsst rungen als Folge falscher oder mangelhafter Konfiguration Programmfehler bugs veraltete Treiber Inkompatibilit t u a m sind ebenfalls relevante Gefahren Hardwarebedingte Betriebsst rungen k nnen als Folge falscher oder mangelhaf ter Konfiguration oder Installation entstehen Hardware Inkompatibilit t oder zerst rte Komponenten sind auch typische hardwarebedingte Ereignisse Andere Betriebsst rungen k nnen durch Stromausfall mangelhafte K hlung u a m ver ursacht werden Gefahren die ber das Netz einwirken k nnen von innen oder von au en kom men In der Mehrzahl aller dokumentierten F lle kommt der Hacker aus der eige nen Firma Insbesondere durch unzufriedene Mitarbeiter die beim Weggang aus der Firma Sabotage ver ben oder sich eine Hintert r zum Rechner offen halten F r Nutzer von Unix oder Windows NT Maschinen bei denen in der Regel Server Prozesse automatisch im Hintergrund laufen bedeutet dies da sie ihre Maschinen gegen unberechtigten Gebrauch zu sch tzen haben Gefahren drohen hier einerseits von Fehlern i
242. dard CGI Directory des Web Servers f r ausf hrbare Skripte freigegeben sein Wenn nur Options aufgez hlt werden z B Options FollowSymLinks Includes Indexes gelten nur die genannten Optionen Will man zur Standardeinstellung All nur einzelne Optionen hinzuf gen mu man das A wt Zeichen davorsetzen und zum L schen einzelner Optionen analog das Zeichen verwenden z B Options FollowSymLinks Typische Access Eintr ge sind Das Root Verzeichnis wird sehr restriktiv behandelt Beachten Sie da nun alles auf dem Server gesperrt ist Um einen Normalbetrieb zu gew hrleisten m ssen diese Restriktionen f r andere Verzeichnisse aufgehoben werden lt Directory gt Options None AllowOverride None Order deny allow Deny from all lt Directory gt Hier wird nun aufgemacht Als Optionen k nnen Sie None All oder eine beliebige Kombination der anderen Optionen verwenden Mit Allow Override All werden Konfigurationsanweisungen in der Datei htaccess beachtet 4 5 Access Control List File htaccess 131 lt Directory opt www htdocs gt Options None Order allow deny allow from all AllowOverride All lt Directory gt m In diesem Verzeichnis d rfen nur CGI Skripte ausgef hrt werden lt Directory usr local httpd cgi bin gt Options ExecCGI Order allow deny Allow from all lt Directory gt m In diesem Verzeichnis stehen Textdateien RFCs Sie werden als Ver
243. das Informationen ber Benutzer eines Rechners lie fert Es erlaubt Ihnen den Loginnamen von jemandem herauszufinden und damit auch die E Mail Adresse sowie seinen bzw ihren richtigen Namen so fern Sie wissen welchen Computer Ihr Gegen ber benutzt Finger teilt Ihnen mit ob der Benutzer im Moment eingeloggt ist Obwohl Finger sehr eng mit UNIX verbunden ist gibt es Clients die es Ihnen erm glichen Finger hnliche Abfragen von anderen Systemen aus durchzuf hren Firewall W rtlich bersetzt Brandschutzmauer spezielle Hard und Software die das Netz einer Firma vor Eindringlingen aus dem Internet sch tzt bspw ber Proxies Flame Das elektronische Gegenst ck zum bitterb sen Leserbrief nur viel direk ter und heftiger Flames werden von Leuten geschrieben die einen Versto gegen das Netiquette entdeckt zu haben glauben und k nnen sehr pers nlich sein FOIRL Fiber Optic Inter Repeater Link Glasfaserverbindung zwischen Re peatern Follow up Antwort auf eine Nachricht in einer Newsgroup oder Mailing List Forms Formulare auf HTML Seiten mit Eingabefeldern Radio Buttons und Checkboxen Drop Down Listen etc Frame Rahmen Von Netscape entwickeltes Verfahren um das Fenster eines Browsers in mehrere separat aktivierbare Bereiche aufzuteilen Freeware Freie Software Ein Autor hat ein Programm geschrieben und stellt es uneigenn tzig jedem zur freien Benutzung zur Verf gung Wenn nicht an ders
244. de Path unix 1 ACC SOCK_STREAM LISTENING 417 dev log unix 2 SOCK_STREAM CONNECTED 440 unix 2 EA SOCK_STREAM UNCONNECTED 441 dev log unix 2 3 SOCK_STREAM CONNECTED 499 unix 2 II SOCK_STREAM UNCONNECTED 500 dev log unix 2 E SOCK_STREAM CONNECTED 517 unix 2 SOCK_STREAM UNCONNECTED 518 dev log Die erste Spalte enth lt das Transportprotokoll Die zweite und dritte Spalte sagen etwas ber die Anzahl der Bytes in der Empfangs bzw Sende Warteschlange aus Die n chsten beiden Spalten geben lokale und ferne Adressen einer Verbindung an Diese Adressen bestehen aus der Internet Adresse und der Portnummer der Kommunikationspartner Ist der Rechner in der etc hosts bzw der Dienst in der etc services eingetragen so werden statt der Adressen der Rechnerna me bzw der Name des Services ausgegeben Dies l t sich durch den Aufruf von netstat in verhindern Handelt es sich um einen Eintrag f r einen aktiven Server werden die lokale Adresse in der Form lt portnummer gt und ferne Adressen in der Form x x angegeben Diese Art der Ausgabe zeigt an da der entsprechende Dienst bereit ist Bei TCP Diensten zeigt zus tzlich die letzte Spalte an da der Server auf LISTEN gesetzt ist Kommt f r einen speziellen Dienst keine Verbindung zustande obwohl andere Programme z B ping funktionieren so kann man mittels netstat a auf dem Zielsystem berpr fen ob der Server dort aktiv ist Nur dann kann eine entspre chen
245. de Verbindung berhaupt aufgebaut werden 1 6 4 Das Traceroute Kommando Um festzustellen welchen Weg die Datenpakete zu einem fernen Rechner neh men und wie gut die Verbindung dorthin ist kann man traceroute einsetzen 52 1 Einf hrung Das Programm schickt UDP Pakete mit unterschiedlicher Lebensdauer an einen unbenutzten Port und wertet so die Fehlermeldungen der einzelnen Router und Gateways aus Dem Kommando wird wie bei Ping nur der Rechnername oder ei ne IP Nummer als Parameter bergeben F r jeden Gateway wird dann auf dem Bildschirm eine Zeile ausgegeben lt Zaehler gt lt Gateway Name gt lt Gateway IP gt lt round trip time 3 Werte gt Traceroute sendet jeweils drei Datenpakete Wenn auf ein Paket keine Antwort erfolgt wird ein Sternchen ausgegeben Ist ein Gateway nicht erreichbar wird statt einer Zeitangabe JN network unreachable oder H host unreachable ausgegeben Man kann so feststellen wo eine Verbindung unterbrochen ist und auch welchen Weg die Daten nehmen wo also der Zielrechner ungef hr steht Bei grafischen Benutzerschnittstellen erfolgt die Parameterangabe ber Dialogfel der und nicht in der Kommandozeile traceroute www linux org traceroute to www linux org 198 182 196 56 30 hops max 40 byte packets 1 space gw2m 194 97 64 8 2 758 ms 3 637 ms 2 491 ms 2 Cisco M IV Space Net 195 30 0 123 6 413 ms 4 118 ms 4 107 ms 3 Cisco M Fe0 0 Space Net 195 30 0 126 4 8
246. dem Eintreffen einer Information Document Latency Time erheb lich verk rzen Ein Cache profitiert von der Tatsache da bestimmte Dokumente innerhalb eines Zeitraumes mehrfach angefordert werden Die einfachste Form des Caches ist in jedem Standard Browser eingebaut der lokale Plattencache Von jeder HTML Seite die geholt wird legt der Browser eine Kopie auf der Festplat te des eigenen Rechners an Wird ein Dokument ein zweites Mal aufgerufen zum Beispiel weil der Benutzer auf den Zur ck Knopf geklickt hat dann wird die be treffende Seite nicht noch einmal vom entfernten Webserver sondern direkt von der Festplatte geholt Einen Schritt weiter geht der Proxy Cache Proxy Stellvertreter Dabei han delt es sich um ein Programm das auf einem im lokalen Netz zug nglichen Rech ner l uft und genauso wie der lokale Browser von jeder im Netz angeforderten 234 7 Proxy Cache Web Seite eine Kopie auf seiner Festplatte anlegt Wird die Seite ein zweites Mal von einer Station im Netz angefordert dann liefert der Proxy seine Kopie aus statt die Seite noch einmal vom entfernten Server zu holen Bild 7 2 CH A Proxy B Router Interne I entfernter Server E www veryfar com C m lokale PCs Intranet Abbildung 7 2 Proxy im lokalen Netz Dazu ein Beispiel Station A in Bild 7 2 m
247. dem Standardwert 0 bestimmt squid selbst einen geeigneten Wert anhand der letzten empfangenen Pakete dead_peer_timeout Zeit in Sekunden nach der ein Cache f r tot erkl rt wird wenn er auf keine ICP Anfrage geantwortet hat Ein als tot eingestuf ter Cache wird zuk nftig nicht mehr nach Dokumenten gefragt Sein Status wird aber automatisch wieder zur ck in lebend ge ndert wenn ein erstes ICP Paket von ihm empfangen wird hierarchy_stoplist Muster Legt fest da f r alle Dokumente deren Adres sen das angegebene Muster enthalten die komplette Cache Hierarchie ber gangen und das Dokument direkt geholt wird blicherweise gibt man hier cgi bin und an Mit cgi bin werden die dynamisch generierten Seiten von CGI Programmen und mit alle Parameter bergaben erkannt Diese Pa rameter k nnen zum Beispiel die Begriffe sein die Sie in das Eingabefeld ei ner Suchmaschine eingetragen haben Die Wahrscheinlichkeit da ein Sibling oder Parent ein Dokument mit gleichem Inhalt auf seiner Festplatte hat ist sehr gering es lohnt sich darum nicht ihn danach zu fragen no_cache Mit diesem Befehl wird festgelegt welche Gruppe von Dokumenten nach dem Holen sofort von der Festplatte entfernt werden sollen F r diese Da teien ist es sehr unwahrscheinlich da sie ein zweites Mal von einem Klienten angefordert werden hnlich wie bei hierarchy_stoplist sollte man hier Muster definieren die individuelle Dateien wie zum Beispie
248. den Parallel zu den Entwicklungen im ARPAnet und NSFNET arbeitete die ISO In ternational Standards Organization seit den achtziger Jahren an der Standardi sierung der Rechner Kommunikation Die Arbeiten m ndeten in die Definition des ISO OSI Referenzmodells Die Entwicklung entsprechender OSI Protokolle und Anwendungen gestaltete sich aber als ein u erst z her Proze der bis heu te nicht als abgeschlossen anzusehen ist Hersteller und Anwender konnten dar auf nat rlich nicht warten und so wurde die Internet Protokoll Familie TCP IP 22 1 Einf hrung im Lauf der Zeit in immer mehr Betriebssystemen implementiert TCP IP ent wickelte sich so unabh ngig von den offiziellen Standardisierungsbestrebungen zum Quasi Standard Im Jahr 1983 wurde das ARPA Net schlie lich von der Defence Communications Agency DCA welche die Verwaltung des ARPA Net von der D ARPA ber nahm aufgeteilt Der milit rische Teil des ARPA Net wurde in ein separates Teil netz das MILNET abgetrennt das durch streng kontrollierte Gateways vom Rest des ARPA Net dem Forschungsteil separiert wurde Nachdem TCP IP das ein zige offizielle Protokoll des ARPA Net wurde nahm die Zahl der angeschlosse nen Netze und Hosts rapide zu Das ARPA Net wurde von Entwicklungen die es selber hervorgebracht hatte berrannt Das ARPA Net in seiner urspr nglichen Form existiert heute nicht mehr das MILNET ist aber noch in Betrieb Das Jahr 1989 markiert einen Wen
249. den Apache SIGTERM Empf ngt der Vaterprozess der Apache Webserver ein TERM Signal so beendet er alle Kindprozesse und dann sich selbst Alle Requests die sich in Bearbeitung befinden werden abgebrochen SIGHUP Empf ngt der Vaterprozess der Apache Webserver ein HUP Signal so beendet er alle Kindprozesse liest die Konfigurations datei neu ein ffnet die Logdateien erneut und startet neue Kind Prozesse SIGUSR1 Empf ngt der Vaterprozess der Apache Webserver ein USR 1 Si gnal so signalisiert er allen Kindprozessen sich selbst nach Bear beitung des aktuellen Requests zu beenden Die Konfigurations datei wird neu gelesen und die Logdateien erneut ge ffnet bevor der Server neue Kindprozesse startet F r eine bergangszeit laufen also zwei Arten von Kindprozessen solche die sich ent sprechend der alten und solche die sich entsprechend der neuen Konfigurationsdatei verhalten Die Architektur des Apache Webservers in der Version 2 0 unterscheidet sich we sentlich von derjenigen der Version 1 3 Es wird nicht mehr direkt auf die Posix Schnittstelle zugegriffen was auch zu Schw chen bei Apache f r Nicht UNIX Systeme zur Folge hatte Apache 2 0 setzt vielmehr auf der Apache Portable Runti me APR auf einer eigenen Bibliothek die es dem Kern des Apache Webservers erlaubt von der Betriebssystemebene zu abstrahieren Die API der APR bietet dabei die grundlegenden Funktionen eines virtuellen Be
250. den soll Majordomo noun a person who speaks makes arrangements or takes charge for another From Italian maggiordomo or Spanish mayordomo both from Medieval Latin major domus chief of the house Barnhart Concise Dictionary of Etymology Der auf Perl basierende Majordomo ist bereits seit einigen Jahren im Umlauf und verwaltet beliebig viele Mailinglisten auch mehrerer virtueller Domains auf einem einzigen physikalischen Server Zur Verwaltung des laufenden Betriebs bedient man sich als Listeneigner oder Moderator ebenfalls der E Mail und mu deshalb nicht einmal ber einen weitergehenden Zugang zum lokalen Server verf gen ber die WWW Adresse http www greatcircle com majordomo kann man Major domo beziehen Zudem ist die Software Teil der meisten Distributionen Eine HTML Version des Majordomo FAQ findet man nicht bei greatcircle sondern un ter http www visi com barr majordomo faq html Majordomo steht sowohl dem Listenverantwortlichen wie auch den Listenteil nehmern zur Seite wenn es darum geht weitere Informationen zur Mailingliste zu erhalten Hierzu bietet das System eine Reihe von Kommandos die viele der h ufigsten Fragen abdecken und per E Mail vom Anwender an die Liste geschickt werden k nnen Majordomo ignoriert hierbei die Subject Zeile der E Mail kom plett alle Befehle werden dem Text der E Mail entnommen Majordomo Installation und Konfiguration Um Majordomo einsetzen zu k nnen ben tigt man
251. depunkt Zum einen wurde zum 20 Geburts tag des ARPA Net dessen Aufl sung beschlossen es ging in das 1986 gegr ndete Netzwerk der National Science Foundation NSF ber zum anderen schrieb Tim Berners Lee am Genfer Kernforschungszentrum CERN ein Diskussionspapier mit dem Titel Information Management A Proposal mit dem er den Kommunika tionsproze am CERN verbessern wollte Aus diesem Vorschlag entwickelte sich in den n chsten Monaten das World Wide Web WWW Das System leistete er heblich mehr als geplant es entpuppte sich als das einfachste effizienteste und flexibelste Verfahren um beliebige Informationen im Internet zu publizieren Die Einf hrung des WWW sorgte f r den bis dato kr ftigsten Wachstumsschub des Internet Dauerte es von 1969 bis 1989 immerhin 20 Jahre bis mehr als 100 000 Hosts zusammengeschlossen waren so waren es 1990 bereits ber 300 000 und 1992 wurde die Millionengrenze berschritten Der Durchbruch und die selbst erfahrene Netzveteranen berraschende explosionsartige Verbreitung des Inter net und des WWW setzte 1993 ein als Marc Andreessen sein Programm Mosaic herausbrachte mit dem auch der ungeschulte Computerlaie auf fr her kryptische Kommandos und ein erhebliches Spezialwissen verzichten konnte nun gen gte ein einfacher Mausklick Aus Mosaic wurde ein Jahr sp ter Netscape und ir gendwann bemerkte dann sogar Microsoft das Internet Im Jahre 1998 lud die Internet Society die
252. der anderen Netze kommunizieren Durch den Anschlu weiterer Netze entsteht so ein gr eres Netz Die Koppelelemente zwischen den Netzen bezeichnet man als Router Dies hat zu einer weltweiten Vernetzung von Rech nern gef hrt die unter dem Namen Internet l uft Viele Nutzer des Internet sind nicht st ndig mit dem Netz der Netze verbunden sondern w hlen sich bei Bedarf ber Telefon oder ISDN Verbindung in das Netz ein Die Einw hlpunkte werden von Hochschulen Internet Providern B rgernetzvereinen oder Firmen f r deren Mitarbeiter zur Verf gung gestellt Technische Definition Als Internet wird die Verbindung aller Rechner bezeich net die ber das TCP IP Protokoll Transmission Control Protocol Internet Pro tocol miteinander kommunizieren Die Frage wer nun zum Internet geh rt und wer nicht ist schwer zu beantwor ten Bis vor einigen Jahren war die Antwort da jedes Ger t welches die TCP IP Protokolle beherrschte und Verbindung zum Rest der Welt hatte zum Internet zu z hlen war Schon bald wurden in anderen gro en Netzwerken Bitnet DEC net Methoden entwickelt um Daten mit dem Internet ber sogenannte Gate ways auszutauschen Diese Techniken wurden inzwischen derart verfeinert da berg nge zwischen diesen Netzwelten und dem Internet f r den Benutzer teil weise vollkommen transparent vonstatten gehen Offiziell ist nicht gekl rt ob die se Netze nun zum Internet geh ren
253. des Apache Die Konfigurationsdateien liegen in etc httpd Dies sind httpd conf access conf srm conf und mime types wo bei acces conf und srm conf nicht verwendet werden siehe Konfigura tion m Aufnahme in die Boot Skripte des Rechners Damit der Webserver bei jedem Reboot aktiviert wird erzeugt man ein Skript apache im Directory etc rc d und zus tzlich Links f r Start und Stopp im Verzeichnis etc rc d rc3 d z B S20apache und K20apache Zum Start braucht der Server eigentlich nur einen Parameter n mlich den Pfad zur Kon figurationsdatei datei Weitere Kommandozeilenparameter kann man der Dokumentation entnehmen Die Startdatei stellt sich dann so dar bin sh Lage der Dateien PID File Server Config File PID var run httpd pid SERVER usr sbin httpd CONFIG etc httpd httpd conf Falls Module geladen werden sollen hier eingeben MODULES case 1 in start echo n Starting httpd if f SSERVER a f SCONFIG then SERVER f CONFIG MODULES echo running else echo failed L D I stop echo n Shutting down httpd Di if S PID then kill cat S PID echo stopped else echo failed fi vi esac exit 0 126 4 WWW Server Apache 4 4 Konfiguration des Apache Die Konfiguration des Servers wird ber vier Dateien gesteuert die aus der ur spr nglichen Konzeption des NCSA Server stammen m httpd conf Diese Datei ent
254. die Datei in einer verk rzten Form angezeigt bei der alle Default Werte aus geblendet sind So erh lt man einen berblick ber alles was man selbst ver ndert hat Mit dem Knopf Full View werden alle derzeit aktiven Ein stellungen angezeigt Damit wird die Ausgabe nat rlich wesentlich l nger ge rade bei der Fehlersuche kann dieser Punkt eine gro e Hilfe sein m Password Hier kann das Samba Pa wort ge ndert werden Hat man den Punkt password sync in der global Sektion der smb conf aktiviert wird 9 10 Samba und SWAT 313 E Samba Web Administration Tool Netscape Datei Bearbeiten Ansicht Gehe Communicator Hilfe d Y 3 A o 3 9 8 Zur ck Vor Neuladen Anfang Suchen Guide Drucken Sicherheit Shop Stop LL Adresse http aella 301 passwd Logged in as muster 6 e HOME STATUS VIEW PASSWORD Server Password Management User Name fuser Old Password p t CSSSCS New Password besse O O OC Re type New Password kees Change Passpyprd The passwd for muster has been changed Abbildung 9 18 Pa wort nderung eines Benutzers automatisch auch das Unix Pa wort ge ndert Ist man als root eingeloggt kann man von hier aus die Pa w rter aller anderen Benutzer ndern Meldet man sich als normaler Benutzer bei SWAT an und nicht etwa als root bekommt man nur eine kleine Auswahl der oben genannten Icons angezeigt und kann nat rlich keine Systeme
255. die Kosten f r die bertragung tausender E Mails und mu noch dazu mit Beschwerden der bel stigten Internet Nutzer rechnen Der zentrale Ansatzpunkt um Spam zu verhindern ist das Relaying bei dem der Server E Mail entgegennimmt die nicht f r einen lokalen Nutzer bestimmt 96 2 E Mail Server ist und sie an einen oder mehrere Mail Server weitergibt Viele Betreiber haben bereits die Konsequenz gezogen da sie nur noch Mail entgegennehmen die f r lokale Empf nger bestimmt ist Diese Einstellung ist auch bei der aktuellen Sendmail Version die Voreinstellung F r ein Standalone System sind daf r keine weiteren Einstellungen n tig Etwas Aufwand erfordert jedoch eine Konfigurati on bei der der Mail Server bestimmten Rechnern als Relay dienen mu Die zentrale Konfigurationsdatei von Sendmail etc sendmail cf wird wie schon gesagt aus einer vorgefertigten Makrodatei sendmail mc generiert in der man selbst nur noch bestimmte Features aktiviert Um beispielsweise be stimmten Hosts das Relaying zu gestatten tr gt man in sendmail mc die fol gende Zeile ein FEATURE access_db Sendmail wertet dann die Eintr ge in der Datenbank access db aus um zu be stimmen ob eine E Mail akzeptiert wird oder nicht Diese Datenbank erzeugt man mit dem Programm makemap aus einer Textdatei die Adressen einer Aktion zu ordnet Eintr ge die eine Benutzung als Relay gestatten haben die Form lt Adresse gt RELAY lt Adresse gt
256. die letzten Daten zur Verf gung Suchen Sie die Zeile ReportTitle Usage Statistics Entfernen Sie das Kommentarzeichen und ersetzen Sie den Eintrag durch einen Titel Ihrer Wahl Suchen Sie dann die Zeile HostName localhost Entfernen Sie das Kommentarzeichen und tragen Sie Ihren Hostnamen ein Danach folgen viele eher unwichtige bzw defaultm ig richtig oder sinnvoll eingestellte Parameter Viele Ausgabeparameter k nnen eingestellt werden die die Ausgabe des Textes betreffen meist beginnend mit HTML Wichtig ist hier nur die Angabe welcher Dateityp als page gez hlt werden soll und schlie lich als Page Impression ausgegeben wird Zeilen mit PageType Voreingestellt sind hier htm und cgi Benutzt man php und oder Perl so sind die entsprechenden Zeilen einfach zu aktivieren bzw bei anderen Formaten hinzuzuf gen z B PageType asp 6 4 Zugriffe auswerten mit Webalizer 229 Interessant wird es dann erst wieder weiter unten wo festgelegt wird wel che Top Tables in welcher Gr e angezeigt werden Allerdings kann auch hier getrost die Default Einstellung genommen werden aber man sollte damit spielen um eine Ausgabe zu bekommen die dem eigenen Geschmack entspricht Der Agent und der Referrer die hier angegeben werden k nnen werden wie oben besprochen nur ausgegeben wenn sie in der Apache Konfiguration aktiviert sind Durch die Angabe von 0 wird die entsprechende Tabelle abgeschaltet Ein Beispiel dazu
257. ditor erstellt werden Achten Sie allerdings darauf f r die Leerzeichen in der Datei immer nur die Tabulatortaste und nicht die Leertaste zu verwenden F r orakel netzmafia de lautet die Datei 127 0 0 rev Reversed Loopback Datei LS STTL 1D IN SOA orakel netzmafia de dnsadmin orakel netzmafia de d Serien Nummer 10800 Refresh 3 Stunden 3600 Retry 1 Stunde 266 8 Name Service DNS 604800 Expire 1 Woche 86400 Min TIL 1 Tag NS orakel netzmafia de PTR localhost Speichern Sie die gerade erstellte Datei unter dem Namen 127 0 0 rev im Ver zeichnis var named ab Die verschiedenen K rzel in der Datei haben fol gende Bedeutung Kommentarzeilen werden mit einem eingeleitet Die Zeile TTL 1D setzt die sogenannte Default Time to Live auf einen Tag Jede Resolversoftware legt die bereits eingeholten Name Server Antworten in einem Zwischenspeicher Cache ab Mit Hilfe des TTL Wertes wird ihm mit geteilt wie lange er einen Eintrag aufbewahren darf Die Default TTL gibt die se Zeit f r alle Namenseintr ge an f r die keine extra TTL Zeit angegeben wurde IN K ndigt an da es sich im folgenden um Internetadressen handelt Bind kennt noch andere Adre formen die aber heute kaum noch benutzt werden SOA Steht f r Start Of Authority Ein SOA Eintrag legt fest da dieser Ser verrechner die zuverl ssigste Quelle f r Daten der angegebenen Dom ne ist Im Falle des Loopb
258. dministration 151 m Wenn Sie wollen schickt das Skript eine E Mail wenn jemand ein falsches Admin Passwort eingegeben hat Nein alert n Ja alert y m Schlie lich wird noch der Pfad zur CGI Skript Datei htpasswd cgi angege ben damit die obigen Pfade dort eingetragen werden k nnen z B SCGIFile htpasswd cgi usr bin perl Dieses Skript erzeugt die Datei htaccess die Userdatei htpasswd und eine Datei namens adminpasswd mit dem Adminpasswort Des weiteren werden die Pfade im CGI Skript htpasswd cgi angepasst Danach koennen die User interaktiv per Formular und den CGI Skript htpasswd cgi verwaltet werden der Administrator wird als User admin mit dem unten anzugebenden AdminPasswort in die Datei htpasswd eingetragen Das Passwort muss bei jeder Aktion angegeben werden wichtig Benutzer und Gruppe fuer die Dateien muessen anschliessend noch gesetzt werden htaccess beliebig jedoch nicht die Userkennung des Webservers htpasswd Userkennung des Webservers Alle unten angegebenen Verzeichnisse muessen existieren Folgende Variablen muessen angepasst werden Systempfad zur Datei htaccess einschliesslich dem Dateinamen selbst Sie liegt im zu schuetzenden Verzeichnis my SAuthAccessFile opt www htdocs privat htaccess Systempfad zur Datei htpasswd einschliesslich dem Dateinamen selbst my SAuthUserFile opt www etc htpasswd Das Admin Passwo
259. durch ein Programm erm glicht Die Varianten k nnen auch kombiniert werden indem man sie durch Kommas trennt z B http www netzmafia de status refresh 10 auto 4 12 Die Datei robots txt Viele Betreiber einer Internet Pr sentation haben sich beim Studium ihrer Server logb cher bestimmt schon gefragt warum eine Datei namens robots txt in regelm igen Abst nden abgerufen wird Wen interessiert diese Datei Die Datei wird von Suchmachinen gesucht die Spi der oder Crawler benutzen Suchmaschinen die nachdem Ihr Server einmal an gemeldet wurde in regelm igen Abst nden Ihren Server aufsuchen und nach eventuellen Ver nderungen und neuen Seiten und Verzeichnissen auf Ihrem Ser ver suchen Der robots exclusion standard ist ein Quasistandard der entwickelt wurde um dem Serverbetreiber die M glichkeit zu geben ausgew hlte Bereiche des Servers f r die Spider der Suchmaschinen zu sperren Durch Eintragungen in der Da tei robots txt k nnen Sie also Verzeichnisse angeben die nicht in Suchmaschinen automatisch aufgenommen werden sollen robots txt ist relativ einfach aufge baut Bemerkung User agent Disallow test m Hinter diesen Zeichen k nnen Sie Bemerkungen hinterlassen die jedoch vom Spider ignoriert werden Wenn Sie einem bestimmten Spider etwas mit teilen m chten so k nnen Sie in der User Agent Zeile eine Bemerkung hinter lassen m User agent Ein Stern bedeutet da die Angaben f r alle
260. e Die Installation ist relativ einfach Man holt sich die letzte Version des Daemons als tar gz Datei entpackt das Ganze in ein beliebiges Verzeichnis und dann l uft das bliche Procedere ab 3 5 Der oftp Daemon 115 configure bindir usr local sbin Lage der binaries make make install als root Danach sollte man einen eigenen Useraccount f r den oftpd namens oftpd einrichten Dann kann man einen Test starten User root der Standard ftpd mu in der Datei etc inetd conf durch Auskommentieren abgeschaltet werden siehe unten usr local sbin oftpd oftpd home oftpd Der erste Parameter legt fest unter welcher Benutzer ID der Daemon laufen soll der zweite Parameter gibt das FTP Verzeichnis an Wenn der Daemon ohne Fehlermeldung startet k nnen Sie versuchen mit dem Kommando ftp localhost darauf zuzugreifen Zumindest ein ls sollte funk tionieren Fehlermeldungen werden per syslog abgesetzt Eventuell m ssen Sie etc syslog conf ndern um die Logs in die gew nschte Datei zu leiten z B daemon 1log Nach dem Test kann man den oftpd mit killall oftpd wie der l schen oftpd wird nicht ber den inetd gestartet sondern standalone wie z B auch der Apache Dazu wird zuerst die FIP Zeile in der Datei etc inetd conf aus kommentiert Sie sieht etwa folgenderma en aus ftp stream tcp nowait root usr sbin tcpd in ftpd 1 a Damit beim Hochfahren des Systems der oftpd automatisch gestartet w
261. e or error Unable to open AuthUserFile flock data Sexlock data lt data gt flock data Sunlock close data foreach dat data Suser Spass split dat unless Sinput username ne user or Sinput username Suser print Sorry den User lt i gt input username lt i gt gibt es schon print lt body gt lt html gt n exit Spassword crypt input passwordl JP open wdata gt gt SAuthUserFile or amp error Unable to write to AuthUserFile flock data Sexlock print wdata Sinput username password n flock data Sunlock close wdata print Benutzer Sinput username ist eingetragen sub changepassword amp verifyadmin amp checkpasswd Sfound 0 open data lt AuthUserFile 156 4 WWW Server Apache or error Unable to open SAuthUserFile flock data Sexlock data lt data gt flock data Sunlock close data Scount 0 Spassword crypt input passwordl JP Snewentry Sinput username rf Spassword foreach dat data Scountt Suser pass split dat if Sinput username eq user found 1 Scount splice data count 1 newentry open wdata gt SAuthUserFile or amp error Unable to write to S AuthUserFile flock wdata exlock print wdata data flock wdata S unlock close wdata if Sfoun
262. e nen Rechnern PCs aus auf die Informationen die auf den Servern gespeichert sind zugreifen WWW Client Programme werden auch als Web Browser be zeichnet Client Server Modernes Paradigma aus dem Bereich der Datennetze und des Software Engineering In einem Netz werden Aufgaben delegiert einige Rech ner oder Programme server bieten Dienstleistung an Plattenplatz Druckka pazit t Daten bertragung Kommunikation andere k nnen diese Dienst leistung anfordern client Content Provider Firma die Inhalte z B News Dienste Infos im allgemeinen im Online Bereich anbietet Cookies Informationen die der Web Server im Browser ablegt beispielsweise eine Kundennummer ber die der Benutzer bei einem Folgebesuch identifi ziert werden kann CRC Cyclic Redundancy Check Pr fsumme in bertragungsprotokollen ver wendet CyberCash G ngige Bezeichnung f r ein Zahlungsmittel im Internet das ledig lich auf Software basiert virtuelles Geld im Gegensatz zu Systemen die auf Chipkarten basieren elektronische Geldb rse Cyberspace Vom Science fiction Autoren William Gibson gepr gte Bezeich nung f r einen vom Computer erzeugten virtuellen Erlebnisraum Daemon Proze auf einem Server der bestimmte Dienste zur Verf gung stellt z B ftpd ftp Daemon also ftp Server oder httpd WWW Daemon DARPA Defence Advanced Research Project Agency Milit rische Forschungs beh rde in den USA die wes
263. e Es handelt sich um ein CGI Programm das die Daten eines HTML Formulars bernimmt Methode GET oder POST den In dex durchsucht und das Ergebnis als HTML Dokument aufbereitet htsearch verwendet f r die Ergebnisdarstellung die sp ter aufgef hrten HTML Dateien aus dem common Verzeichnis 198 5 Die lokale Suchmaschine Die Suchmaschine arbeitet wortorientiert d h nach Wortteilen kann nicht ge sucht werden Wortteile in Verbindung mit Jokerzeichen wie oder 27 oder regul re Ausdr cke sind deshalb in der aktuellen Version nicht m glich Die Suchmaschine ist jedoch in der Lage Wortendungen zu ber cksichtigen so fern die entsprechende Datenbank mit ht fuzzy erzeugt wurde Grofs und Klein schreibung sind f r die Suche nicht relevant Ebenso m ssen Umlaute in den Suchbegriffen grunds tzlich als solche eingegeben werden also z B A und nicht ae Die Bewertung erfolgt nach einen relativ komplexen Grundschema 1 Je nach Suchmethode siehe unten wird eine Folge von Suchbegriffen oder ein logischer Ausdruck ausgewertet Handelt es sich um einen logischen Ausdruck erfolgt zun chst ein Syntax Check Wortlisten werden je nach gew nschter Verkn pfung in einen logischen Ausdruck mit lauter UND oder ODER Verkn pfungen umgewandelt 2 Ist die Suche nach Wortendungen vorgesehen wird die Eingabewortliste durch zus zliche Worte mit alternativen Endungen erweitert Aus Katze wird dann z B Katze or Katzen Dan
264. e Include Anweisung in der Mail Alias Datei etc aliases die vom Administrator oder auch einem Benutzer gewar tet wird Hier fehlt nat rlich der Komfort den ein Listen Server bietet Bei Rund schreiben innerhalb des Hauses oder hnlichem reicht das allemal da sich dort die Adressen nur selten ndern Es gibt zwei M glichkeiten m Den Mailverteiler direkt eintragen netmaster plate holzmann root Eine E Mail an netmaster wird im Beispiel an drei verschiedene Accounts geschickt 330 11 Mailing Listen mit Majordomo verwalten m Die Zieladressen des Mailverteilers lassen sich auch in einer Datei speichern Diese Datei kann irgendeinem Benutzer geh ren der diese Mailingliste ver waltet Die Zeile in etc aliases verweist auf die Datei wichtel include home plate wichtel mailingliste Die Datei enth lt einfach in jeder Zeile eine komplette Mailadresse Durch Hin zuf gen und L schen von Zeilen kann die Liste aktualisiert werden 11 2 Majordomo Die oben beschriebene Realisation von Mailinglisten setzt bei jeder nderung der Empf ngerliste die manuelle Arbeit des Postmasters voraus Bei gro en Listen in denen laufend nderungen auftreten ist dies nicht zumutbar Daher gibt es spe zielle Mailinglisten Software mit deren Hilfe sich Interessenten per Mail selbst in Mailinglisten ein und austragen k nnen Ein Vertreter dieser Gattung ist Major domo dessen Installation und Konfiguration hier beschrieben wer
265. e Zahlen bedeuten eine h here Priorit t Die Zeilen MX 10 orakel netzmafia de MX 50 mail irgendeinprovider de 8 5 Primary Server 275 legen fest da orakel netzmafia de der standardm ige Postempf nger der Domain ist Er erh lt die kleinste Priorisierungszahl Sollte der Server einmal aus gefallen sein wird die Post an den Rechner mit der n chstniedrigeren Priorit t weitergeleitet Im Beispiel ist das der Rechner mail irgendeinprovider de der meist beim Provider oder einer bergeordneten Organisation steht Die folgenden Zeilen definieren die Adressen zu Namen Paare der Rechner in nerhalb von netzmafia de Jeder Eintrag hat die folgende Form pandora A 192 168 131 248 HINFO Pentium VII Windoof Am Anfang der Zeile steht der Hostname mit einem oder mehreren Tabulatorzei chen getrennt folgt das Zeichen A f r Address Record und schlie lich durch ein weiteres Tabulatorzeichen getrennt die IP Nummer Die zweite Zeile ist optional und dient der Unterbringung kurzer Textinformationen ber den Rechner Nach dem Schl sselwort HINFO f r Host Info folgen zwei Textfelder Im ersten sollte der verwendete Rechnertyp stehen im zweiten das eingesetzte Betriebssystem blicherweise werden die Spitznamen oder Alias Namen bestimmter Rech ner am Ende einer Zonendatei festgelegt Soll zum Beispiel der Rechner menetekel netzmafia de auch als www netzmafia de erreichbar sein lautet die Befehlszeile WWW CNAME mene
266. e es sich handelt Mit diesem Namen werden dann drei bzw vier Dateien angelegt m liste nimmt die Mailadressen der Liste auf m liste info Infodatei f r die Liste mit Beschreibung der Liste m liste conf Konfigurationsdatei f r die Liste und die liste passwd Pa wortdatei optional 11 3 1 Die Listendatei In der Listen Datei liste verwaltet Majordomo alle Listenteilnehmer Zum Te sten sollte man sich selbst eintragen Hierzu reicht die Angabe der eigenen E Mail Adresse aus Sp ter wird Majordomo diese Liste auff llen Um den ad ministrativen Zugang zur Liste zu beschr nken sollte man unbedingt ein fun damentales Pa wort definieren und dieses fest in der Datei liste conf oder liste passwd ablegen liste kann jedem User geh ren sofern nur der Benutzer mdom Leserecht darauf besitzt Die anderen Dateien m ssen mdom geh ren und au er liste info nur f r User und Gruppe lesbar sein chmod 660 Wenn die Liste in Betrieb ist sollte man mit dem direkten Bearbeiten der Listen datei vorsichtig sein denn wenn Sie die Datei gerade mit dem Editor bearbeiten und sich inzwischen jemand eintr gt wird dessen Eintrag beim Zur ckschreiben der Datei auf die Platte berschrieben 11 3 2 Die Info Datei Die Datei liste info wird mit dem Info Kommando abgerufen In dieser Datei wird neben dem eigentlichen Fokus der Liste auch erkl rt mit welchen Komman dos man der Liste beitreten und sp ter wieder austreten kann Die
267. e f r den Ausfall von Netzsegmenten und Servern Merke Wer glaubt da Netzwerk Adminstratoren Netze admi nistrieren der glaubt auch da Zitronenfalter Zitronen falten Newbie Internet Neuling Newsgroup Ein Online Diskussionsforum im Usenet siehe dort es gibt welt weit ungef hr 15 000 solcher Newsgroups davon mindestens 500 in deutscher Sprache Newsreader ein Programm das bei der Darstellung von Mitteilungen aus Newsgroups behilflich ist und dabei auch Threads siehe dort anzeigt NFS Network File System Protokolle die es erlauben Dateien auch auf an deren Netzwerkrechnern zu verwenden als ob sie zum eigenen Rechner geh rten Man kopiert die Dateien nicht auf den eigenen Rechner sondern liest editiert oder speichert sie auf dem anderen Rechner NIC Network Information Center unter anderem f r die Vergabe von Domains zust ndig http www internic net http www nic de NNTP Network News Transfer Protocol auch Usenet News genannt ist das im Internet verwendete Protokoll zum Austausch von News Dateien NSAPI Netscape Server Application Programming Interface Protokoll ber das sich Web Server mit externen Programmen koppeln lassen Von Netscape als leistungsf higere Alternative zu CGI entwickelt s a ISAP OLE Object Linking and Embedding heute in ActiveX umbenannter Microsoft Standard f r den Datenaustausch und die Kommunikation zwi schen Programmen Online Dienst Von e
268. e macht m X logfile SMTP Traffic loggen m C datei Verwende die angegebene Datei statt sendmail cf m t Lese von STDIN Wenn bis hierher alles glatt verlief ist sendmail nun einsatzbereit und kann ge testet werden Einen einfachen lokalen Test f hrt man beispielsweise folgender ma en durch echo TEST usr lib sendmail user Dies sollte kein Problem sein da sendmail hier nur auf die lokalen Spool Verzeichnisse zugreift und keinerlei Internetverbindung notwendig ist Kommt nach wenigen Sekunden eine E Mail an wovon man ausgehen kann ist der Test erfolgreich Will man den User nur verifizieren reicht auch usr lib sendmail bv user Die lokalen Domains kann man mit dem folgenden Kommando ermitteln echo w usr lib sendmail bt Dann einen Trockenlauf als Benutzer aus der Userdb hier also klara usr sbin sendmail bv klara userin provider de Die Ausgabe sollte folgenderma en aussehen 84 2 E Mail Server klara userin provider de deliverable mailer relay host mail provider de user klara userin provider de Gibt man hier noch den Parameter d an sieht man wie sich sendmail durch die Konfiguration arbeitet Interessant ist hierbei ob auch die Userdb konsultiert wird usr sbin sendmail bv d klara userin provider de Irgendwo sollten dann die folgenden Zeilen erscheinen udbmatch klara mailname udbmatch gt klara userin provider de Klappt es nicht stimmt etwas an der Konfigurati
269. e oder IP Adresse Vom Benutzer kann auch ein Account Password verlangt werden eXtended Server Side Includes XSSD Mit diesem Feature k nnen einfache Kommandos in ein HTML File eingebunden werden Um diese Kommandos jedoch bearbeiten zu k nnen mu der Server die Datei parsen was einer seits die Performance reduziert und andererseits das Sicherheitsrisiko erh ht Der Einsatz von SSI mu deshalb genau berlegt sein und die Verwendung kontrolliert werden suEXEC Mit diesem Feature wird ein CGI Script eines Apache Users mit sei nen Zugriffsrechten ausgef hrt was zu einer verbesserten Sicherheit beitr gt Die entsprechende Dokumentation Installation Administration findet man in der Apache Distribution User Authentication User Authentication erlaubt es den Daten Zugriff auf solche HTTP Benutzer einzuschr nken die einen validierten Username und ein Pa wort besitzen 4 3 Installation des Apache Entpacken des Apache Archivs in ein geeignetes Quellverzeichnis z B usr lib apache Dann ins Directory usr lib apache src wechseln und die Datei Configuration tmpl auf Configuration kopieren 124 4 WWW Server Apache m Bearbeiten der Configuration Datei Eine Modifikation der Flags ist bei Li nux nicht notwendig Nun kann man von den mitgelieferten Modulen die gew nschten einbauen Man kann als Einsteiger die vordefinierten Module so lassen wie sie sind m Aufruf des Shell Scripts Conifgure das aus den
270. e und Ressourcen sind Faktoren die dazu beitragen k nnen diese Gefahr zu verrin gern In Situationen in denen die Zusammenarbeit zwischen dem Unternehmen und dem Systemverwalter im Streit beendet wird entsteht eine besondere Proble matik m Der Systemverwalter verf gt ber Wissen das eine Bedingung f r den weite ren Betrieb ist Gibt es keinen Stellvertreter oder ist das Netz nicht dokumen tiert ist der weitere Betrieb gef hrdet m Der Systemverwalter hat die M glichkeit den Netzbetrieb zu unterbrechen und vitale Daten zu l schen m Der Systemverwalter hat Zugang zu vertraulichem Wissen das nicht nach au en gelangen darf Genaue Richtlinien f r Vorkehrungen gegen Sabotage durch den Systemverwalter sind schwer zu geben aber bestimmte Vorgaben wie gr ndliche Dokumentation zweckm ige Anstellungsbedingungen sowie eine sichere K ndigungsprozedur m ssen bedacht werden Auf jeden Fall mu einem Systemverwalter dem wegen Verfehlungen gek ndigt wird jeder Zugang zum System verwehrt werden am besten noch bevor er von der K ndigung erf hrt 13 3 2 Technische Gefahren Heutige und zuk nftige Netze sind gekennzeichnet durch einen hohen Grad an Komplexit t und gleichzeitig durch die Tatsache da die einzelnen Komponen ten bis zum u ersten genutzt werden Hinzu kommen Probleme die entstehen wenn die Produkte verschiedener Hersteller kombiniert werden Jede einzelne Komponente ist ein Glied in einer Kette un
271. e verbleiben erhalten als Shell bin true Pessimisten k nnen auch bin false nehmen Vergewissern Sie sich da bin true auch in etc shells eingetragen ist sonst funktionieren man che Dienste nicht richtig Beachten Sie auch was wir bei den jeweiligen Ser verprogrammen hinsichtlich Benutzer und Zugriffsrechten geschrieben haben z B ftpaccess Datei m Richten Sie die Dateien etc at allow etc at deny etc cron allow und etc cron deny ein falls sie nicht schon existieren und tragen Sie die berechtigten bzw die zu sperrenden Benutzer ein m Richten Sie die Dateien etc hosts allow und etc hosts deny ein Damit beschr nken Sie den Zugang von au en auf wenige Rechner der Admi nistratoren Die Betreuer von Webseiten k nnen ihre Dateien dann nicht mehr lokal bearbeiten sollte man ohnehin nicht sondern nur noch per FTP hochla den Die Datei etc hosts deny enth lt nur eine Zeile ALL ALL Die Datei etc hosts allow l t beispielsweise nur FTP und Secure Shell Zugang zu sshd ALL ALLOW wu ftpd ALL ALLOW in telnetd localhost ALLOW m POP3 oder IMAP sind au er bei einem Mailserver nicht notwendig Bestellmails eines Webservers Mails an Webmaster etc werden einfach per forward Datei oder Umleitung ber die Datei etc aliases weiterge reicht m Gegebenenfalls mu noch die Datei etc ftpusers angepa t werden Je der Benutzer der in dieser Datei aufgef hrt wird darf sich b nicht b
272. e wichtige Aufgabe des Admi nistrators da Samba nach Auswertung der Berechtigungen in der smb conf anhand der Unix Rechte entscheidet ob ein Zugriff auf eine Datei erlaubt ist oder nicht Selbst wenn ein Benutzer laut smb conf volles Schreibrecht auf ein Verzeichnis hat kann er dort keine Datei ablegen wenn er nicht auch un ter Unix die Rechte dazu besitzt Eine besonders wichtige File Share die auf fast jedem Server installiert wird ist die Freigabe der Heimatverzeichnisse Der Name der Share ist homes Zum Beispiel homes comment Heimatverzeichnis writeable yes browseable no public no create mask 600 directory mask 700 Nat rlich sollten diese Verzeichnisse f r den Benutzer beschreibbar sein writeable yes und nicht in einer Browserliste erscheinen browseable no Der Parameter public no gibt an da Benutzer mit Gast Berechtigung nicht auf das Verzeichnis zugreifen k nnen Was ein solcher Gast Zugriff bedeu tet wird sp ter noch genau zu erkl ren sein Mit den angegebenen Datei und Verzeichnis Masken wird festgelegt da nur der Benutzer selbst Schreib und Lese Recht auf sein pers nliches Verzeichnis hat und sonst niemand create mask und directory mask verhalten sich anders als die erw hnten Befehle force create mask und force directory mask Der Unterschied ist folgender Mit den Force Befehlen werden einer Datei immer die angegebenen Unix Rechte zugewiesen bei den in der Homes Sektion verwendeten A
273. ebforum einrichten mit Hypermail 349 12 1 Hyperm il se iia e Er Be Ba gen ae A 349 121 1 Installations 2 2 4 x acd E Po Ow ea aka EN CH 349 12 1 2 Einrichten einer Mailadresse mit WWW Interface 351 12 2 Aufrufoptionen und Konfiguration o ooo o 351 12 2 1 Kommandozeilenparameter 2 222 222 351 12 2 2 Konfigurationsparameter o ooo oo 353 12 3 WWW Interface f r Hypermail 355 Inhaltsverzeichnis 11 13 Server Sicherheit 359 13 1 Grundlegendes socra arinireki a GROW a o 359 13 1 1 Paragraphen 2 3 ea Ge amasyada a a es 360 13 1 2 Web Server Standort 362 13 2 Gefahren 362 13 3 Gefahrenkategorien s sona s Ta 2 2 2222 e ee 364 13 3 1 Menschliche Schw chen und Gefahren 364 13 3 2 Technische Gefahren 365 13 3 3 Umweltbedingte Gefahren 2 2222 366 13 34 Hacker a EE E un a ae amp ee eh E e 367 13 4 Schadensformen im Netz 368 13 4 1 Allgemeine Sch digung durch Eindringlinge 368 13 4 2 Allgemeine Sch digung im Internet 368 13 5 Pa wort raten social engineering 00 369 13 6 Sicherheitsl cken des Betriebssystems 22 222 200 370 13 7 Angriffe ber das Metz 372 13 7 1 Security im Data Link und Network Layer 373 13 7 2 Security im Transport und Network Layer 375 13 7 3 Security im Application Layer ooo 380 13 8 Den Server sicher
274. echnern antworten inaktive Ports mit einem RST Reset w hrend aktive Ports das FIN Paket ignorieren Windows h lt sich allerdings nicht an diesen Standard so da FIN Scans hier fehlschlagen Ident Scanning Der Ident Dienst liefert eine zus tzliche Informations ebene ber aktive Ports n mlich den Benutzernamen Dieser ist f r manche Angriffe wichtig da er verr t welche Zugriffsrechte der Server Dienst auf dem jeweiligen Port besitzt FTP Bounce Port Scanning Hier wird die eingebaute Proxy Funktion von RFC konformen FTP Servern benutzt um die eigene Identit t zu verstecken UDP Port Scanning Dies ist schwieriger da vom Protokoll her keine Antwort auf UDP Pakete vorgesehen ist Viele Rechner liefern aber ei ne R ckmeldung mittels ICMP Die Antwort Port Unreachable deu tet dann auf inaktive Ports hin ICMP Echo Scanning Geht es lediglich darum die Existenz fremder Rechner festzustellen hilft ein automatisches ping siehe unten 13 7 3 Security im Application Layer Der Application Layer bietet viele M glichkeiten f r Angreifer in ein gesch tz tes Netzwerk einzudringen Die Sicherheitsprobleme sind hier sehr vielf ltig und von den einzelnen Applikationen abh ngig Oft lassen sich diese Sicher heitsl cken auf Fehler in Konzeption und Implementation der Applikationen zur ckf hren allerdings kann auch eine falsche oder ungen gende Konfigura tion einer Applikation einem Angreifer T r und Tor ffnen In d
275. eg Route gesucht Search Engine Software mit der sich Informationen im Internet auffinden las sen Suchmaschinen funktionieren nach verschiedenen Verfahren F r eine ge zielte Suche sind Grundkenntnisse ber diese Verfahren sehr n tzlich Seite anderes Wort f r WWW Dokument Server Hosting Unterstellen eines Computers bei einem Internet Provider Server Verk ufer Bedienender ein recht allgemeiner Begriff f r Computer bzw Programme die anderen Computern bzw Programmen Dienste anbie tet f r WWW ftp E Mail News usw Server Renting Mieten eines Servers zur exklusiven Nutzung dem gegen ber steht der meist wesentlich g nstigere Aufbau eines virtuellen Servers Service Provider Provider der seinen Kunden den Internet Zugang erm glicht SET Secure Encryption Technology Von den gro en Kreditkartengesellschaften Visa und Mastercharge entwickeltes Verfahren zum vertraulichen bermitteln von Kreditkartendaten SGML Standard Generalized Markup Language Hypertext Sprache aus der HTML hervorging Shockwave Multimedia Datenformat von Macromedia Dient der Darstellung von Animationen auf HTML Seiten Signature Die elektronische Unterschrift mit der Sie Ihre E Mails abschlie en Wird vom Mail Reader auf Wunsch automatisch angef gt Enth lt in der Re gel die Postadresse und Telefonnummer h ufig aber auch einen pers nlichen Wahlspruch oder witzige Bemerkungen des Absenders Sliding Window Protocol
276. egeln Regel Bedeutung OK Akzeptiere die E Mail auch wenn sie aufgrund anderer Regeln zur ckgewiesen w rde z B weil die Domain nicht existiert RELAY Mail annehmen bzw weiterleiten Diese Regel wirkt auch als globales O K f r andere Checks REJECT Mail zur ckweisen Der Absender erh lt eine Standard Fehlermeldung DISCARD Mail ignorieren Es wird der als discard definierte Mailer verwendet Wirkt nur f r Absenderadressen Text Mail zur ckweisen Der Absender erh lt eine individuelle Feh lermeldung ist ein nach RFC 821 g ltiger Fehlercode und Text ein beliebiger Text z B 550 We do not accept spam Der linke Teil kann Mailadressen Domainnamen und IP Adressen enthalten Zum Beispiel weisen die Eintr ge spammer aol com REJECT cyberspammer com REJECT 192 168 212 REJECT Mail von spammer aol com allen Usern von cyberspammer com oder jedem Host unterhalb der Domain cyberspammer com und jeden Host im Netz 192 168 212 zur ck Statt REJECT k nnte man auch eine Fehlermeldung generieren wie oben in der Tabelle gezeigt wurde Weiterhin kann man Usernamen ohne Domain angeben wobei in diesem Fall am Ende ein 0 stehen mu etwa holzmann 550 Du nicht Die lokalen Rechner m ssen nat rlich f r Relaying frei sein z B 2 2 Sendmail 81 localhost localdomain RELAY localhost RELAY 127 0 0 1 RELAY 192 168 1 RELAY 2 2 6 Genericstable In d
277. eht direkt von seinem Windows PC aus Herr Huber mu Am Windows PC und danach Ausf hren anklicken In die angezeigte Maske telnet und die IP Nummer oder den Namen des Servers eingeben sofern dieser einen DNS Eintrag besitzt Also zum Beispiel telnet 192 168 1 1 Daraufhin meldet sich der Server mit der Anzeige eines Fensters und for dert zur Eingabe von Benutzernamen Login und Pa wort auf Escape character is Linux netzmafia 2 4 18 bf2 4 1 Son Apr 14 09 53 28 CEST 2002 1686 unknown Welcome login huber Password Have a lot of fun huber netzmafia gt passwd Password New password New password again Password changed 290 9 Samba In unserem Beispiel mu Benutzer Huber als Login huber Achtung Klein buchstaben und als Pa wort sein vorher vom Administrator zugeteiltes erstes Kennwort eingeben Nach dem erfolgreichen Login kann das Pa wort ge ndert werden Be nutzer Huber mu dazu lediglich das Kommando passwd eingeben und wird daraufhin aufgefordert zun chst noch einmal das alte Password und dann zweimal das neue Pa wort New password einzutippen Danach kann das Programm telnet mit den Men punkten Verbinden Be enden geschlossen werden Wer verhindern will da die Windows Benutzer mit dem Telnet Kommando irgendwelchen Unsinn machen kann der Aufruf von passwd in die Datei profile integrieren oder passwd gleich als Login Shell definieren 9
278. ei eigenem Einsatz ist besonders die wasserdichte Abgrenzung des Scripts zum System zu beachten Jegliche Eingabe des Benutzers kann b swillig sein und ggf ungew nschte gef hrliche Systemkommandos aufrufen Die Gefahr ist besonders gro wenn das CGI Gateway in einer Sprache geschrieben ist deren Interpreter beliebige externe Kommandos ausf hren kann Perl Shell Au erdem sollten nicht erfolgreich aufgerufene Prozesse nicht im System ver weilen und ggf die Proze tabelle beeintr chtigen Man bedenke nochmals Je der externe Aufruf kann b swillig sein und beliebig wiederholt werden Im In ternet werden eine Vielzahl fertiger CGI L sungen angeboten Auch hier gilt h chste Vorsicht Vorbehaltlos sollte man sich h chstens aus den Archiven der Web Server Anbieter bedienen Ist die Quelle unbekannt sollte man das Pro gramm nur nach vorhergehender Quelltextanalyse einsetzen und auf jeden Fall neu kompilieren 4 6 3 Shell Metazeichen im Programmaufruf Ein u erst beliebter Angriffspunkt unfreundlicher Requests ist die Verwendung von Metazeichen beim Aufruf von CGI Programmen Das Programm soll dazu gebracht werden ber einen Syntaxfehler seine eigene Verarbeitung abzubrechen und Shell Komandos auszuf hren Das Problem kann durch eine entsprechend ausgerichtete und saubere Programmierung bew ltigt werden Die obengenann ten Punkte gelten besonders auch in diesem Fall Ein Vorschlag best nde darin im CGI Programmcode die bergeben
279. eige nen Netzwerks ab Um die optimalen Werte einzustellen sollten Sie sich folgende Fragen stellen die Tabelle 10 1 fa t die einzelnen F lle zusammen Tabelle 10 1 Bestimmung der Lease Time Lease Time klein gro e viele Netzwerk nderungen e statisches Netz e zuwenig IP Adressen e genug IP Adressen e sporadische Rechnernutzung e Rechner laufen den ganzen Tag e Laptops im Einsatz e keine Laptops e Gastzugriff erlaubt e keine Gastzugriffe m Reicht die vorhandene Anzahl der IP Nummern f r alle Rechner im Netz oder m ssen sich Klienten IP Nummern im Time Sharing Verfahren teilen Time Sharing Betrieb bedeutet da sich eine gro e Anzahl von Rechnern einen klei nen Pool von Nummern teilt Voraussetzung ist allerdings da immer nur ein Teil davon gleichzeitig in Betrieb ist Um DHCP so effizient wie m glich zu machen sollte die Default Lease Time in solchen Umgebungen niedrig sein 10 600 Sekunden oder 20 1200 Sekunden Minuten sind durchaus in Ordnung m Wie h ufig ndert sich die Struktur des Netzes Kommen oft neue Rechner hinzu oder ist der Aufbau eher statisch Statische Netze in denen kaum nderungen stattfinden k nnen mit langen Lease Zeiten leben Viele Betrei ber verwenden in B roumgebungen mit Desktop PCs und ohne Laptops Zei ten von einer Woche 604 800 Sekunden oder 30 Tagen 2 592 000 Sekunden Unsere Empfehlung lautet f r normale B ro Umgebungen Eine Woche als Default Lease Ti
280. einer Pentium I oder II CPU verwendet Der PC besitzt eine IDE Platte mit vier GByte Er soll ausschlie lich f r Proxy Dienste zur Verf gung stehen also kann drei GByte der Platte als Squid Cache konfiguriert werden Das setzt voraus da Linux als schlanke Installation vorliegt und zum Beispiel X Window gar nicht installiert wurde und Plattenplatz verschwenden kann Da das interne Netz mit einer 10 MBit Leitung ausgestattet ist erh lt auch der Proxy nur eine 10 MBit Netzwerkkarte Den Speicherbedarf dieses Rechners kann man mit einer einfachen Faustformel bestimmen Squid ben tigt pro Gigabyte Cache circa 10 MByte RAM Bei den drei GByte im Beispiel oben kann man also von einem Gesamtspeicherbedarf von 30 MByte nur f r die Cache Verwaltung ausgehen Hinzu kommt der Platz f r Ob jekte die Squid gerade im Arbeitsspeicher h lt Alle anderen Programme darun ter die von Squid ben tigt werden brauchen nat rlich ebenfalls Speicher so da man den Rechner mit mindestens 80 MByte besser mit 96 MByte ausstatten sollte Mit diesen Daten ergibt sich folgende etc squid conf Squid conf fuer kleinen Cache Proxy Port http_port 3128 11 MByte f r Objekt Cache reservieren Echter Bedarf des Proxies ca 3 x dieser Wert cache_mem 11 Verzeichnis fuer Cache Groesse 3GByte 16 Verzeichnisse in Ebene 1 256 in Ebene 2 cache_dir var squid cache 3000 16 256 Log Datei mit allen Zugriffen cache_access_log var squid logs
281. eines anderen Hostrechners Man erh lt dann Informationen dar ber welche Benutzer eingeloggt sind Zu sammen mit einer Nameserver Anfrage bekommt man dann bereits eine Liste von Mailadressen f r Spam und eine Liste von Usernamen zum Angriff auf die einzelnen Accounts m Whois Der Whois Dienst liefert Informationen ber Netzteilnehmer sofern sich diese bei einem Whois Server registriert haben z B ber ein Formular netinfo user template txt auf nic ddn mil das dann an registar nic ddn mil geschickt wird Personen mit administrativen Aufgaben im Internet werden automatisch registriert Das Kommando lautet whois Namensangabe wenn der voreingestellte Server verwendet wird Mit Serverangabe lautet das Kommando whois h Serverrechner Namensangabe Man erh lt dann alle Angaben aus der Datenbank die zur Namensangabe pas sen Als Namensangabe kann entweder ein Userpseudonym Login Name 382 13 Server Sicherheit oder der echte Name eventuell als Nachname Vorname angegeben wer den Bei grafischen Benutzerschnittstellen erfolgt die Parameterangabe ber Dialogfelder und nicht in der Kommandozeile Als Whois Server k nnen Sie whois nic de oder whois internic net ange ben Auf www nic de kann man die Anfragen auch per WWW Browser ab setzen Auch auf www netzmafia de finden Sie einen Whois Service Durch die Namensangabe do Rechnerdomain k nnen Infos ber die ent sprechende Domain eingeho
282. einmal anlegen und dort die einzelnen Dateien unterbringen Beachten Sie dabei da die Dateien im DOS und nicht im Unix Format vorliegen sollten weil sie auf dem Klientenrechner abgearbeitet werden Innerhalb einer DOS Datei wird jede Zeile mit zwei Zeichen Wagenr cklauf Carriage Return und Zeilenvorschub Li nefeed Newline abgeschlossen bei UNIX nur mit Zeilenvorschub Am besten er stellen Sie Ihre Dateien auf einem Windows PC und kopieren sie anschlie end per FTP Programm auf den Server Eine fertige Login Datei f r den Benutzer Huber k nnte zum Beispiel so aussehen echo kkkkxkxkxkxkxkxkkkkxkxkxkkkkkkkkkxk echo zx Willkommen echo kkkkxkxkxkxkxkxkkkkxkxkxkkkkkkkkkxk net use r menetekel progs net use h menetekel huber net use lptl mentekel ljet4 a4 raw net time mentekel SET YES echo AS Die Zeilen mit dem Befehl echo geben lediglich Text aus und k nnen zur An zeige von Willkommensmeldungen oder hnlichem verwendet werden Mit net use wird ein Laufwerksbuchstabe mit einer Freigabe verbunden Auf diese Wei se wird im Beispiel ein gemeinsam genutztes Programmverzeichnis auf den Buch staben R und das Heimatverzeichnis des Benutzers Huber auf H gelegt In der 304 9 Samba Eigenschaften von Client f r Microsoft Netzwerke Kd E3 NETZBUCH Abbildung 9 10 Login Skript aktivieren folgenden Zeile wird der Netzwerk Drucker mit dem lokalen Anschlu LPT1 des Klientenrechners verkn pft Mitnet time
283. einungsweise des Ar chivs Schon in den E Mails selbst lassen sich HTML Passagen einf gen wenn diese in lt HTML gt lt HTML gt eingeschlossen werden HM SHOW MSC LINKS 1 individuelle Links Next Previous Reply etc im Kopf jeder Nachricht HM SHOWHEADERS 1 Artikelheader in den HTML Dateien z B To From Subject usw a HM_SHOWREPLIES 1 alle Antworten auf eine Nachricht als Linkliste in diesem Artikel HM SHOWHTML 1 Proportionalschrift verwenden 12 3 WWW Interface f r Hypermail 355 HM_SHOWBR 1 am Ende jeder Zeile einen lt br gt Tag anh ngen Nor malerweise werden die Zeilen automatisch umbrochen Nur wirksam wenn M_SHOWHTML definiert ist M_SHOWHR 1 horizontale Linien vor und nach dem Artikel H H HM_IQUOTES 1 zitierten Text kursiv darstellen HM_EURODATE 1 Datumsformat Tag Monat Jahr statt Monat Tag Jahr H M_BODY HTML lt BODY gt Zeile Mit dieser Variablen lassen sich Hinter grundbilder und Farben einstellen HM_IHTMLHEADERFILE Datei Angabe einer Datei die alle Headerin formationen f r die Indexdateien enth lt Sie wird vor dem von Hyper mail erzeugten Indexdatei Iexten eingef gt Die Datei mu die HTML Tags lt HTML gt lt HEAD gt lt HEAD gt und lt BODY gt enthalten HM_IHTMLFOOTERFILE Datei Angabe einer Datei die alle Schlu informa tionen f r die Indexdateien enth lt Sie wird
284. eite durch einen einzigen Benutzer als Begriff zunehmend wichtig f r die Bewertung der Leistungsf higkeit von Werbung im Internet PDF Portable Document Format Plattformunabh ngiges Dateiformat das ber Acrobat von Adobe beschrieben wird ber Plug in auch in vielen Browsem darstellbar peer level communication Es k nnen nur gleiche Schichten eines Schichten Modells miteinander kommunizieren Hierbei handelt es sich um ein abstrak tes Denkmodell peer to peer Netzarchitektur bei der jeder Rechner gleichberechtigt ist und al le Aufgaben f r das Netz bernehmen kann Gegensatz zum client server Modell bei dem jeder Rechner spezifische Aufgaben hat Perl Skriptsprache mit der sich recht einfach Programme zur Erweiterung eines Web Servers schreiben lassen CGI Personal Certificates Digitale Unterschrift fiir Transaktionen Ping Kommando um festzustellen ob ein entfernter Rechner erreichbar ist Plug in Hilfsprogramm zur Erweiterung von z B Web Browsern und Servern durch weitere Funktionen Oft von Drittherstellern entwickelt ActiveX Con trols Java PNG Portable Network Graphics Bildformat das ahnlich wie GIF auf einem Kompressionsalgorithmus basiert um m glichst kleine Dateien zu erzeugen POP 1 Point Of Presence Einwahlknoten eines Internet Providers oder kom merziellen Online Diensts 2 Post Office Protocol Protokoll zum Abholen der E Mail vom Server Port Schnittstelle zur Kommunikati
285. elt von Doug Schales and der Texas A amp M University TAMU ist eine Sammlung von Skripten die ein UNIX System nach bekannten Sicher heitsl cken berpr ft Es arbeitet hnlich wie COPS ftp net tamu edu pub security TAMU ftp coast cs purdue edu pub tools unix tiger m Tripwire entwickelt von Gene H Kim und Gene Spafford Mitglieder des COAST Projekts an der Purdue University ist ein File Integritats Checker ein Tool das den Inhalt und Zustand einer bestimmten Zahl vorher ausgew hlter Dateien und Verzeichnisse mit den Informationen einer zuvor generierten Da tenbank vergleicht und bei Abweichungen eine Meldung ausgibt ftp coast cs purdue edu pub COAST Tripwire SATAN der von Wietse Venema und Dan Farmer entwickelt wurde steht f r Security Administrator Toool for Analyzing Networks F r Leute denen der Name SATAN nicht gef llt liegt dem Paket ein Skript bei das den Namen SATAN durch SANTA in allen Skripten ersetzt SANTA steht dann f r Security Administrator Network Tool for Analysis SATAN testet Systeme von au en wie es ein Angreifer oder Hacker tun w rde Die ungl ckliche Konsequenz ist nun da man SATAN gegen jedes System einsetzen kann und nicht nur 396 13 Server Sicherheit bei jenen auf die man ohnehin Zugriff besitzt Die Tutorial sind sehr gut und ausf hrlich ftp ftp win tue nl pub security satan tar Z ISS das Internet Security System ist eines der wenigen kommerziellen Pro dukte
286. em Test zur ck stellen Zum Abschluss noch ein wichtiger Tipp Bevor Sie mod_rewrite irgendwo ein setzen wo direkter Kontakt mit Ihren Kunden Surfern besteht probieren Sie Ihre Ideen erst auf einem Test Server aus Noch viel mehr Information finden Sie in der Dokumentation des Apache Moduls unter http httpd apache org docs mod mod_rewrite html 4 16 Apache 2 0 Seit der Version 2 0 35 vom April 2002 ist die Entwicklungsreihe 2 0 des Apache Webservers als stabil freigegeben und wird nun auch von den Entwicklern f r den Produktiveinsatz empfohlen Eines der Hauptziele der neuen Entwicklungs reihe ist eine st rkere Unabh ngigkeit von UNIX spezifischen Merkmalen des zu grunde liegenden Betriebssystems und damit auch eine bessere und stabilere Un terst tzung der Windows NT Plattform Sie wird nun nicht mehr als experimen tell bezeichnet Apache Kindprozess Apache Elternprozess Apache Kindprozess Apache Kindprozess Konfigurationsdatei so as gt s VAI Apache Kindprozess Abbildung 4 3 Prefork Modell des Apache 1 3 176 4 WWW Server Apache Derzeit wird die Entwicklungsreihe 1 3 x zus tzlich zu den neuen Versionen 2 0 x weiter gepflegt Die fiir den Apache Webserver genutzte Architektur unterscheidet sich in der Ver sion 1 3 von der Version 2 0 Deshalb betrachten wir hier die Architektur beider Versionen einmal n her Unter UNIX gibt es zwei prinzipielle A
287. en 2 2 Sendmail 79 2 2 4 Die Datei forward Bei allen sendmail oder smail basierten Systemen ist die Mail Umleitung ein fach Der Benutzer mu lediglich in seinem Home Directory eine Datei namens forward anlegen und in dieser Datei eine korrekte Mailadresse eintragen Sollen mehrere Empf nger angesprochen werden sind die Namen durch Kom mata zu trennen F r Benutzer die nur einen Weiterleitungs Account ben tigen kommt diese L sung zwar auch in Frage aber besser ist die unten angesprochene L sung mit einen Eintrag in der Alias Datei Lediglich wenn man dem Benutzer die M glichkeit bieten will seine Umleitung nach Belieben zu ndern kann man diese L sung auch f r Mail Only User verwenden Die Datei mu f r alle lesbar sein Der Forward Mechanismus geht jedoch noch weiter Wird anstelle der Weiterlei tungsadresse eine Datei mit vollst ndigem Pfad angegeben die Weiterleitungs zeile beginnt also mit einem dann landet die Post in der angegebenen Datei Dort kann dann per cron Daemon ein Programm die Daten automatisch weiter verarbeiten Man kann Weiterleitung und Datei Archivierung auch kombinieren indem man erst die Mailadresse und dann die Archiv Datei angibt z B user domain de pfad archivdatei Ein weiterer Schritt ist die Angabe einer Pipe in ein Programm oder Skript das die Mail weiterverarbeitet z B tuwas Beim Erstellen des Skripts ist zu beach ten da keinerlei Pfade oder
288. en m Flags Die beiden niederwertigen Bits haben folgende Bedeutung Don t fragment F r Hosts die keine Fragmentierung unterst tzen More fragments Zum Erkennen ob alle Fragmente eines Datagramms empfangen wurden m Fragment Offset Die Daten Bytes eines Datagramms werden numeriert und auf die Fragmente verteilt Das erste Fragment hat Offset 0 f r alle weiteren erh ht sich der Wert um die L nge des Datenfeldes eines Fragments Anhand dieses Wertes kann der Empf nger feststellen ob Fragmente fehlen m Time to live TTL Jedes Datagramm hat eine vorgegebene maximale Lebens dauer die hier angegeben wird Auch bei Routing Fehlern z B Schleifen wird das Datagramm irgendwann aus dem Netz entfernt Da Zeitmessung im Netz problematisch und keine Startzeit im Header vermerkt ist decrementiert jeder Gateway dieses Feld Es ist de facto ein Hop Count Protocol Da sich unterschiedliche Protokolle auf IP st tzen mu das berge ordnete Protokoll ULP Upper Layer Protocol angegeben werden Wichtige ULPs sind 1 ICMP Internet Control Message P 3 GGP Gateway to Gateway P 6 TCP Transmission Control P 8 EGP Exterior Gateway P 17 UDP User Datagram P m Header Checksum 16 Bit L ngsparit t ber den IP Header nicht die Daten Source Address Internet Adresse der Quellstation Destination Address Internet Adresse der Zielstation m Options Optionales Feld f r weitere Information
289. en deshalb gibt es auch die Header L nge Viele Codes sind f r zuk nftige Erweiterungen vorgesehen Die Optionen dienen vor allem der Netzsteuerung der Fehlersuche und f r Messungen Die wichtigsten sind 30 1 Einf hrung Record Route Weg des Datagramms mitprotokollieren Loose Source Routing Die sendende Station schreibt einige Zwischensta tionen vor aber nicht alle Strict Source Routing Die sendende Station schreibt alle Zwischenstatio nen vor Timestamp Option Statt seiner IP Adresse wie bei Record Route tr gt jeder Gateway den Bearbeitungszeitpunkt ein Universal Time m Padding F llbits 1 3 4 IP Zusammenfassung m Jede Netzwerkkomponente hat mind zwei Adressen die IP Adresse Form aaa bbb ccc ddd nur Zahlen von 0 255 Beispiel 134 95 201 169 den symbolischen Maschinennamen hostname Form Namen mit Buchstaben Zahlen oder Minuszeichen Beispiel schrottkiste netzmafia de m Sogenannte Nameserver siehe DNS kennen die zu den Maschinennamen geh renden IP Adressen und umgekehrt m Die eigene Maschine hat u a immer die Adresse 127 0 0 1 und den Namen ocalhost m Die 0 ist als Adresse f r ein Netz reserviert m Die 255 ist f r Broadcast Nachrichten reserviert 1 3 5 Private Netzadressen F r den Aufbau von Intranets sind bestimmte Adre bereiche reserviert Sie k nnen frei verwendet werden und lassen sich auch nicht be
290. en in dem Sie aufgefordert werden ein neues Server Zertifikat zu akzeptieren Klicken Sie einfach so lange auf Weiter bis der Brow ser genug hat Dann sollte die Indexseite des SSL Datenbereichs angezeigt wer den Oder haben Sie vergessen eine solche anzulegen Abschlie end noch ein paar S tze zu Client Zertifikaten 4 14 6 Client Zertifikate Auch der Server kann vom Client ein Zertifikat fordern Dann d rfen nur zerti fizierte Clients auf den Server zugreifen Man trifft die Anforderung von Client Zertifikaten bei Webserver eher selten an h ufiger werden sie bei E Mail verwen det Die Konfiguration des Apache f r Client Zertifikate geschieht ber wenige Eintr ge Die Variable SSLVerifyClient legt die Anforderung an das Client Zertifikat fest m 0 keine Client Zertifizierung Voreinstellung m 1 Der Client kann ein Zertifikat vorlegen m 2 Der Client mu ein Zertifikat vorlegen m 3 Der Client mu ein Zertifikat vorlegen die CA mu aber nicht anerkannt sein SSLVerifyDepth gibt die maximal zul ssige Tiefe der Zertifikatsb ume an hier wird meist ein Wert von 10 verwendet SSLCACertificatePath gibt den Pfad zu einem Verzeichnis an in dem sich alle Zertifikatsdateien der von Ihnen anerkannten CAs befinden Falls dies nur ei ne ist oder Sie alle Zertifikate in einer Datei hintereinanderh ngend haben wollen geben Sie den Namen dieser Datei mit vollem Pfad bei SSLCACertificateFile ein 4 15 Die Rewrite Eng
291. en Benutzers und beim ndern des Pa worts sind nat rlich alle Felder auszuf llen beim L schen eines Users nur dessen Namen und zum Auflisten der Benutzer nichts Das Admin Pa wort ist nat rlich obligatorisch Vergessen Sie nicht nach administrativen Ar beiten den Browser zu schlie en da dieser sich ja Login User und Pa wort merkt und sonst jeder zumindest in das gesch tzte Verzeichnis gelangen kann lt html gt lt head gt lt title gt htpasswd Manager lt title gt lt head gt lt body gt lt Hl gt Passwort Manager lt Hl gt lt form action cgi bin htpasswd cgi method post gt lt table border 0 cellpadding 5 gt lt TR gt lt TD gt lt B gt Aktion lt B gt lt TD gt lt TD gt lt SELECT NAME action gt lt OPTION VALUE listusers CHECKED gt User auflisten lt OPTION VALUE adduser gt User eintragen 4 14 Sichere Kommunikation mit Apache SSL 159 lt OPTION VALUE changepw gt Passwort amp auml ndern lt OPTION VALUE deluser gt User l amp ouml schen lt SELECT gt lt TD gt lt TR gt lt TR gt lt TD gt User Name lt TD gt lt TD gt lt input type Text name username size 20 maxlength 20 gt lt TD gt lt TR gt lt TR gt lt TD gt Password lt TD gt lt TD gt lt input type password name passwordl size 20 maxlength 20 gt lt TD gt lt TR gt lt TR gt lt TD gt Password wied lt TD gt lt TD gt lt input type password name password2 size 20 maxlength
292. en Programme aufzurufen sind um z B ein Bild darzustellen Das hei t nicht da die Daten im Brief nicht codiert w rden aber ein MIME konformes Post Programm bietet die M glichkeit alle Codierungsvorg nge zu automatisieren Das erste Feld welches der MIME Standard definiert hei t MIME Version Bis lang gibt es nur die Version 1 0 so da der Eintrag 1 0 dem Standard gen gt Mit der Verwendung dieses Feldes wird dem Post Programm signalisiert da der In halt des Briefes mit dem MIME Standard konform geht 2 1 E Mail Grundlagen 67 Kannte der RFC 822 zwei Teile eines Briefes n mlich den Kopf und den Text so k nnen Briefe im MIME Format aus mehreren Teilen bestehen Die Zeile MIME Version 1 0 mu nur einmal im Kopf des Briefes auftauchen Die an deren Felder welche der MIME Standard definiert k nnen fter verwendet wer den Sie beschreiben dann jeweils die Einzelteile aus denen der Brief besteht Ein Beispiel MIME Version 1 0 Content Type MULTIPART MIXED BOUNDARY 8323328 2120168431 824156555 325 8323328 2120168431 824156555 325 Content Type TEXT PLAIN charset US ASCII Textnachricht 8323328 2120168431 824156555 325 Content Type IMAGE JPEG name teddy jpg Content Transfer Encoding BASE64 Content ID lt Pine LNX 3 91 960212212235 325B localhost gt Content Description 93 4AA0SKkZJRgABAQAAAQABAAD gBgICBJbXBvcnR1ZCBmcm9t IELURkYg aW1hZ2U6IFhO0ZWRkeQoKO1JFOVRPUJo
293. en Proxy nicht lohnt weil die Direktverbindung zu deren Webservern schneller w re als der Zugriff ber den Cache In der Regel ist das die eigene Dom ne und damit das interne Netz 7 3 2 Internet Explorer Beim Internet Explorer sind folgende Schritte n tig 3 Elektrische Laeufer Microsoft Internet Explorer Datei Bearbeiten Ansicht Eavoiten Extras 2 ab EI Bie Zur ck Varwerts Abbrechen Synchronisieren Adresse Je CATEXTEShtmi aufen final inde Abbildung 7 7 Einstellungsmen w hlen Im Men Extras des Hauptfensters w hlt man Internetoptionen aus Bild 7 7 Im Fenster Internetoptionen mu man die Karteikarte Verbindungen und anschlie fend den Knopf LAN Einstellungen im Abschnitt Einstellungen f r lokales Netz werk LAN anklicken Bild 7 8 Im folgenden Fenster w hlt man die Schaltfl che Proxyserver verwenden aus und klickt auf den Knopf Erweitert Bild 7 9 Analog zur Konfiguration von Netscape mu auf dem folgenden Fenster der Na me des Proxyservers unter http sowie wenn der Server auch FIP Zugriffe zwi schenspeichert unter FTP eingetragen werden Als Port ist der unter http_port eingestellte Wert aus der squid conf einzutragen In allen Beispielen in diesem Buch wurde 3128 als Portadresse verwendet Die einzelnen Eintr ge zeigt Bild 7 10 Auch im Internet Explorer k nnen bestimmte Subnetze angegeben werden f r die der Zugriff auf den Proxy nicht lohnt weil s
294. en Router oder Firewall ankommende Verbindungen auf den Mailport 25 smtp nur zum daf r vorge sehenen Mail Server gestatten So sch tzt er Rechner mit halb konfigurierten Mail Servern im lokalen Netz vor Mi brauch Spammer haben inzwischen Pro gramme entwickelt die ganze Domains systematisch nach offenen Relays absu chen Nachdem der Server gegen mi br uchliche Benutzung gesichert wurde beschwe ren sich gelegentlich Benutzer da sie ihn nicht mehr benutzen k nnen wenn sie zum Beispiel unterwegs ihr Notebook an ein anderes Netz anschlie en Auch wer sich ber einen anderen Provider einw hlt weil die Leitungen gerade verstopft sind kann seine Mail nicht mehr ber den Server verschicken Die technisch sau berste und f r den Betreiber einfachste L sung des Problems besteht darin die Benutzer zu bitten jeweils den Mail Server des Providers zu benutzen ber den sie ihre Verbindung herstellen Allerdings m ssen dann die Benutzer jedesmal ihren Mail Client umkonfigurieren Zum Schlu noch ein wichtiger Hinweis Bei einigen Distributionen so auch bei SuSE wird sendmail inzwischen aus Sicherheitsgr nden ber einen wrapper gestartet Daher ist in der Datei etc host allow die Zeile mit dem Eintrag sendmail ALL notwendig Kapitel 3 FTP Server 3 1 Grundlagen Ein weiterer zentraler Dienst in einem Intranet der besonders dem Transport von Dateien auf andere Systeme dient
295. en Variablen auf ihre Zul ssigkeit zu unter suchen Es werden nur jene Zeichen dem Programm zur Auswertung bergeben welche in ein vorgegebenes Zeichenschema passen Dies kann zum Beispiel in Perl mit der Negierung des Ausdrucks a zA Z0 9_ t amp geschehen Hier werden alle Zeichen in den Bereichen a z A Z 0 9 und die Einzelzeichen m nt A BI amp und Tabulator im Sche ma abgebildet Ein entsprechendes Perl Programm sieht folgenderma en aus if Variablenname a zA Z0 9 _ t amp S amp Illegale_Eingabe exit Variablenname enth lt die eingetippten bergebenen Zeichen und illegale Eingabe ist der Prozeduraufruf einer entsprechenden Fehler meldung Wenn berwiegend Perl Skripts verwendet werden sollte man das Apache Modul mod_perl mit compilieren da die Ausf hrungsgeschwindigkeit dadurch betr chtlich steigt der Perl Interpreter wird dann nicht jedesmal geladen 4 6 Common Gateway Interface CGI 137 4 6 4 Daten fiir CGI Skripte Da ber den Apache auf ein CGI Skript zugegriffen wird kann man nicht direkt mit dem Skript kommunizieren Statt dessen erh lt das Skript oder Programm Informationen in der Regel ber zwei Wege Umgebungsvariable Standardeingabe Folgende Variablen werden f r alle Anfragen gesetzt m GATEWAY INTERFACE Die Versionsnummer der CGl Spezifikation die vom WWW Server un
296. en dabei immer gro geschrieben werden Der Entwurf des HTTP Standards erlaubt leicht eine Erweiterung Kommen wir nun zur Bedeu tung der einzelnen Methoden m GET Diese Methode gibt an da alle Informationen die mit der nachfolgen den URL beschrieben werden zum rufenden Client zu holen sind Zeigt die URL auf ein Programm CGl Script soll dieses Programm gestartet werden und die produzierten Daten liefern Handelt es sich bei dem referenzierten Datum um eine Datei soll diese bertragen werden Beispiel GET http www netzmafia de index html HEAD Diese Methode ist identisch mit der Methode GET Die Antworten un terscheiden sich nur darin da die Methode GET ein komplettes Dokument bertr gt und HEAD nur die Meta Informationen sendet Dies ist n tzlich um Links auszuprobieren oder um die Erreichbarkeit von Dokumenten zu te sten Bei Anwendung der Methode HEAD wird der Kopf des referenzierten HTML Dokuments nach link und meta Elementen durchsucht m POST Diese Methode wird haupts chlich f r gr ere Datenmengen verwen det Man stelle sich vor ein HTML Dokument enth lt ein komplexes Formu lar Per POST wird dem Server angezeigt da er auch die Daten im K rper der Botschaft bearbeiten soll Verwendet wird es haupts chlich bei Datenbl cken die zu einem verarbeiten den Programm bertragen werden Die wirkliche Funktion die durch POST auf dem adressierten Rechner angesto en wird bestimmt die URL Mei
297. en die Benutzer plate und holzmann zu Mitgliedern von admins Be achten Sie beim Anlegen von eigenen Gruppen da deren laufende Nummer im Beispiel 101 auf dem Server eindeutig sein mu 9 5 Dateifreigabe und Rechte 295 m Mit browseable no sorgen Sie daf r da die Freigabe nicht in den Brow serlisten der Anwender auftaucht Das hei t nicht da es die Freigabe dann nicht gibt sondern nur da sie nicht sichtbar ist F r den normalen Benutzer w re es eher verwirrend diesen Namen zus tzlich anzuzeigen wenn er nicht zu admins geh rt kann er ohnehin nichts damit anfangen m Werden neue Dateien oder Verzeichnisse von einem der Administratoren an gelegt sollen die anderen Mitglieder der Gruppe admins diese Dateien auch berschreiben d rfen um zum Beispiel bestehende Softwarepakete upda ten zu k nnen Dazu sollten bereits beim Anlegen einer Datei die n tigen Rechte vergeben werden Dies geschieht ber force create mode und force directory mode Die Bitmaske die hinter diesen Befehlen angege ben wird entspricht der des Unix Kommandos chmod Im Beispiel erh lt ei ne Datei beim Anlegen die Schreib und Ausf hrungsrechte f r den Besitzer und die Administrator Gruppe Alle anderen Benutzer erhalten nur ein Lese recht rw rw r Ebenso verh lt es sich bei Verzeichnissen wobei dort das Ausf hrungsrecht als Recht interpretiert wird in ein Verzeichnis wechseln zu d rfen Das explizite Setzen der Rechte ist ein
298. en die E Mails zun chst zwischengespeichert und sp ter an die n chste Relaisstation weitergeleitet werden m Die E Mail wird geschrieben und landet zun chst in einem lokalen Zwischen speicher Mailspool auf dem eigenen Rechner Bei einem st ndig ans Netz an gebundenen Rechner werden die Mails in der Regel sofort verschickt Ist das nicht m glich wegen einer Leitungsst rung oder auch weil der Rechner nur zeitweise mit einem Provider verbunden wird bleibt sie so lange dort bis eine Verbindung zum Provider hergestellt ist und sie an den Mailserver des Providers bergeben wird oder bis ein Timeout abgelaufen ist und die E Mail als unzustellbar markiert an den Absender zur ckgesendet wird m Ist der Rechner mit dem Provider verbunden werden alle im Mailspool be findlichen E Mails an den Mailserver des Providers bergeben m Der Mailserver des Providers leitet die E Mail dann an den Mailserver des Providers des Empf ngers oder direkt an den Empf ngerrechner weiter m Der Empf nger holt sich die E Mail vom Spool Verzeichnis des Providers und kopiert die f r ihn bestimmten E Mails in sein lokales Eingangs Spool Verzeichnis Somit sind meist vier Schritte notwendig um eine E Mail vom Absender zum gew nschten Empf nger zu bef rdern Zwei Typen von Programmen dienen der bertragung m Programme welche die E Mails vom Provider abzuholen diverse POP und IMAP Clients m Programme um die geschriebenen E Mails beim
299. en sich ben tigte aktuelle Da ten mit Programmen automatisch per crontab aktualisieren und in statischen HTML Dateien ablegen Beim Einsatz von Apache ist die einfachste Art der Performance Steigerung der Einsatz der beiden Module mod_perl und mod_fastcgi FastCGI ist eine Alter native zu CGI Die FastCGI Programme laufen hier als eigenst ndige Prozesse 4 9 Server berwachung 141 das aufwendige Starten und Beenden entf llt Allerdings ist es notwendig beste hende CGI Programme nach FastCGl zu portieren Da die Programme st ndig laufen ist eine Schleife hinzuzuf gen Au erdem mu man auf die Initialisie rung von Variablen in der Schleife und einige andere Dinge achten Das Modul mod perl integriert den Perl Interpreter in Apache Dadurch mu der Interpre ter nicht mehr bei jedem Aufruf eines Perl Skripts neu geladen werden Wenn Sie Perl zur Programmierung zeitaufwendiger Skripts verwenden sollten Sie unbe dingt vor dem Start der Berechnung den Content Header zur ck an den Client schicken Sonst k nnen vor allem zwei Probleme auftreten Da der User keine R ckmeldung erh lt und der Bildschirm leer bleibt bricht er den Vorgang nach einigen Sekunden ab oder mutma t da ein Fehler aufgetreten ist Oder aber der Timeout des Browsers beendet die Verbindung Um dies zu vermeiden sollten Sie zuerst das Buffering unter Perl mit dem Befehl 1 ausschalten damit die Daten sofort an den Client geschickt werden Anschlie end sollte
300. en von UUCP Der Dateipfad f hrt zu einer Datei die im Fall der Abweisung des Users ausgegeben wird Leider sind derzeit zu viele Beispiel limit local 20 Any etc msgs msg toomany limit remote 100 SaSu Any1800 0600 etc msgs msg toomany limit remote 60 Any etc msgs msg toomany limit friend 10 Any etc msgs msg toomany Man kann den Zugriff auf den ftp Server fiir bestimmte Systeme auch ganz sper ren das Format der Zeile ist deny Adressangabe Dateipfad Dabei k nnen namentliche wie numerische Angaben erfolgen z B deny badguys com etc msgs not you Mit der Adre angabe nameserved kann man alle Systeme ausschlie en die nicht ber eine Nameserveranfrage identifizierbar sind Statt eines direkten Ein trags kann statt der Adre angabe auch ein Dateipfad stehen In der angegebenen Datei stehen dann die b sen Systeme in der Form adresse netzmaske oder adresse cidr z B 192 168 134 0 255 255 255 0 192 168 123 0 24 Die Sicherheit l t sich durch die Eintr ge loginfails Anzahl der Login Versuche und passwd check verbessern Das Beispiel zeigt gleich alle Optio nen loginfails 2 passwd check lt none trivial rfc822 gt lt enforce warn gt passwd check rfc822 warn Bei enforce wird der Benutzer hinausgeworfen Beachten Sie jedoch da nur das Format der angegebenen E Mail Adresse beim anonymen Login gepr ft wird nicht die Existenz eines entsprechenden Users Weiterhin lassen
301. endateien Sicherheitskopien an Am besten heben Sie mehrere Generationen der Dateien auf m Tragen Sie in die Zonen Datei der Dom ne die Zeile f r den neuen Rechner ein Zum Beispiel mirakel A 192 168 131 110 m ndern Sie die Seriennummer im Kopf der Datei und speichern Sie sie ab m Laden Sie die Reverse Datei f r Ihr Netz und tragen Sie auch dort den neuen Rechner ein Beispiel 110 PTR mirakel netzmafia de m ndern Sie die Seriennummer im Kopf der Datei Verwenden Sie denselben Wert wie in der Zonendatei der Dom ne und speichern Sie die Datei anschlie end ab Nun mu der Name Server D mon aufgefordert werden die neue Datei zu la den Dazu mu man ihm das UNIX Signal SIGHUP schicken Das geschieht ber das Hilfsprogramm rndc bzw ndc bei Bind8 x mit der Kommando zeile rndc reload Kapitel 9 Samba 9 1 Grundlagen Samba ist vereinfacht gesagt ein Programm mit dem man einen Unix Rechner als Server f r ein Windows Netz einsetzen kann Der Australier Andrew Tridgel ent wickelte es 1992 um damit von einem PC aus auf einen UNIX Rechner zugreifen zu k nnen Inzwischen ist Samba in der Lage Windows NT Server in Firmenum gebungen zu ersetzen Nicht zuletzt durch die gro e Stabilit t von Linux hat sich Samba als sichere und schnelle Serverl sung etabliert Viele Firmen und Institute setzen bereits im internen Netz auf das Programm Die wichtigsten Eigenschaften von Samba Unterst tzung a
302. ende Form ifconfig ppp0 192 168 1 1 192 168 1 2 netmask 255 255 255 240 Eine solche PPP Verbindung bildet ein eigenst ndiges Netzwerk Sollen mehrere Verbindungen kombiniert werden so mu eine Unterteilung in Subnetze erfol gen Das hei t da eine entsprechende Netzmaske gew hlt werden mu Wird als Argument f r das ifconfig Kommando nur der Name der Schnittstelle angege ben so bezieht sich das auf die aktuelle Konfiguration der Schnittstelle die dann ausgegeben wird eth0 Link encap 10Mbps Ethernet HWaddr 00 20 18 03 0B F5 inet addr 10 10 10 4 Bcast 10 10 10 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 RX packets 0 errors 0 dropped 0 overruns 0 TX packets 0 errors 0 dropped 0 overruns 0 Interrupt 11 Base address 0x340 1 5 2 Netzdienste konfigurieren 1 5 3 Systemnamen und Internet Adressen In der Datei etc hosts werden die Systeme des Netzwerks mit ihrem System namen und die dazu geh renden Internet Adressen aufgelistet Die Eintr ge in die Datei etc hosts haben die folgende allgemeine Form lt Internet Adresse gt lt Name gt lt Aliase gt Dazu ein Beispiel 27 0 0 1 localhost 92 168 0 1 1xl lbs micky 92 168 0 2 1x2 lbs minnie 92 168 0 3 1x3 1bs goofy 92 168 0 4 1x4 lbs donald 92 168 0 5 1x5 lbs dagobert 92 168 0 6 1x6 lbs daisy 92 168 0 7 1x7 lbs tick 92 168 0 8 1x8 1bs trick 92 168 0 9 1x9 1bs track Nach der Internet Adresse wird der offizielle Name des S
303. enden Sie anschlie end die komplette Konfigurations Datei zur ck newconfig liste passwort neuer Konfigurations Text 340 11 Mailing Listen mit Majordomo verwalten Bei Syntaxfehlern wird die neue Konfiguration abgelehnt also Vorsicht beim Bearbeiten Sollte die neue Konfiguration v llig falsch sein k nnen Sie mit writeconfig liste passwort eine neue Konfigurations Datei mit Standardwerten erstellen lassen Diese ist dann wieder anzupassen m Pa wort zur Listen Administration ndern Sie k nnen ein neues Pa wort zur Administration der Liste einstellen mit passwd liste passwort_alt passwort_neu Der Pa wortschutz entspricht nur sehr einfachen Anforderungen Verwen den Sie niemals Ihr pers nliches Login Pa wort als Pa wort zur Listen Administration Approval F r einige Aktionen z B Aufnahme eines neues Mitglieds in eine geschlossene Liste mu der Listen Administrator die Genehmigung erteilen Dazu erh lt er eine Mail deren Subject mit APPROVE beginnt From Majordomo netzmafia de To test approval netzmafia de Subject APPROVE test Alf de Melmac lt alf netzmafia de gt requests that you approve the following subscribe test 1 Alfons Bitmeister lt alf hrz netzmafia de gt I you approve please send a message such as the following back to Majordomo netzmafia de with the appropriate PASSWORD filled in of course approve PASSWORD subscribe Alfons Bitmeister lt alf hrz netzmafia de gt If
304. ender und Empf nger den Bed rfnissen des entsprechenden Mailers anpassen Fr her gab es nur eine M glichkeit zu einer funktionst chtigen Konfigurations datei zu kommen Man kopierte sich eine bereits bestehende Datei und bearbei tete sie dann von Hand bis sendmail das Gew nschte tat Dabei konnten sich beliebig viele Fehler einschleichen So besteht eine Regel immer aus einer linken und einer rechten Seite die durch einen Tabulator getrennt sind Wenn nun der Editor beim Abspeichern aus dem Tabulator eine entsprechende Anzahl von Leer zeichen machte war die Konfigurationsdatei f r sendmail unbrauchbar Seit der Version 8 x kann die Datei sendmail cf auch mit Hilfe eines Pr prozessors m4 und vordefinierter Module erstellt werden Damit verliert die Konfiguration von sendmail ihren Schrecken Die m4 Makros dienen der einfachen Erstellung der Datei Hier k nnen die f r sendmail ben tigten Angaben in halbwegs lesbarer Form eingetragen und bearbeitet werden Bei den meisten Distributionen sind nach der Installation von sendmail einige m4 Makros mit Beispielkonfiguratio nen vorhanden Die Makros werden sp ter durch den m4 Pr prozessor in das kryptische Format der sendmail cf umgewandelt 2 2 Sendmail 71 ankommende E Mail Datei Ablehnung Reject access db Drop OK lokale Hostnamen nicht enthalten sendmail cw OK Zuordnung E Mail Datei Adresse an Mail it Ah boxnamen oder ekskli ande
305. endung nicht ben tigt werden oder nicht von allen IP Adressen aus zug nglich sein m ssen Oft wird dieser Fehler mit der Verwendung unsicherer und abh rbarer bertragungsprotokolle f r War tungszug nge kombiniert So findet man auf Webservern oft auch POP3 Zug nge zum Abruf von Bestellmails FTP Zug nge zum Upload von neuen Webseiten oder gar Datenbankzug nge zum Upload neuer Bestandsdaten Diese Protokolle bieten vielfach nur eine unzul ngliche Verschl sselung von Benutzernamen und Pa worten an von einer Verschl sselung der eigentlichen Nutzdaten ganz zu schweigen Der msql Datenbankserver bietet zum Beispiel nur rudiment re bis gar keine Sicherung des Zugangs an FTP und POP3 bertragen Pa worte oft un verschl sselt Ein Webmaster ist gut beraten sich einen Zugang au erhalb seines eigentlichen Providers und Webmasters zu besorgen und seinen eigenen Server einmal mit den Augen und Tools eines Angreifers anzusehen Oft sind Dienste in der Default Konfiguration der Servermaschine ab Werk enthalten die vom Serverbetreiber nicht erkannt und nicht abgeschaltet wurden Beliebte Fehlerquellen sind auch Webserver mit fehlerhaften CGI Scripten oder der oben erw hnte SNMP Dienst Simple Network Management Protocol der einem potentiellen Angreifer viele Informationen ber das Zielsystem liefert Auch Dienste die nur zur Erstinstal lation ben tigt oder automatisch mit installiert wurden werden oft vergessen und f r den Wir
306. ene User ID und Pa wort einem anderen Benutzer mitteilen 13 11 Sicherheits Tools und Quellen 395 13 11 Sicherheits Tools und Quellen Die hier angesprochenen Tools dienen zum berwachen und Testen von Com putern im Netz Die Analyse Tools kann man in zwei Kategorien einteilen Die eine Gruppe testet den Rechner auf dem sie installiert ist von innen auf bekannte Sicherheitsl cken und ver nderte Dateien wohingegen die andere Gruppe von au erhalb versucht bekannte Sicherheitsl cken zu finden Zu der ersten Gruppe von Analyse Tools geh ren die Programme COPS Tiger und Tripwire Die zweite Gruppe von Tools arbeitet mit mindestens zwei Computern da sie von au erhalb ber eine Netzwerkverbindung versucht Sicherheitsl cken zu finden Mit dieser Methode arbeiten unter anderem die Programme SATAN und ISS wobei das ISS ein kommerzielles Produkt ist Im zweiten Abschnitt werden dann Links auf Informationsquellen aufgelistet 13 11 1 Programme Zum Thema Security gibt es noch eine ganze Reihe weiterer Hilfsmittel insbe sondere f r UNIX Systeme Hier eine kurze unvollst ndige Liste verschiedener Tools m COPS Computer Oracle and Password System von Dan Farmer ist ein Pro gramm das UNIX Systeme nach bekannten Sicherheitsl cken durchsucht Zu diesen Sicherheitsl cken z hlen in erster Linie unsichere Zugriffsrechte auf System relevante Dateien und Verzeichnisse ftp coast cs purdue edu pub tools cops m Tiger entwick
307. enerien und Animationen im WWW WAIS Wide Area Information Service Leistungsstarkes System zum Auffinden von bestimmten Informationen in Datenbanken ber das Internet WAN Wide Area Network Verbindet geografisch auseinanderliegende Com puter und Rechner einer Firma oder Organisation wird heute h ufig von Intranet Technologie abgel st WAV Wave Audioformat Web Kurzform fir World Wide Web Webmaster Verwalter eines Web Servers Website Online Auftritt eines Internet Anbieters im World Wide Web meist aus vielen einzelnen Webseiten bestehend Whois Programm um Namen und Adressen von E Mail Teilnehmern von spe ziellen Verzeichnissen festzustellen World Wide Web WWW Der multimediale und zweitbeliebteste Dienst nach E Mail des Internet WWW ist ein Informationssystem das einen bequemen Zugriff auf Informationen die auf vielen verschiedenen Computern gespei chert sind in der Form von Hypertext und Hypermedia Links erm glicht Der Zugriff erfolgt nach dem Prinzip von Server und Client ber das Internet mit dem HTTP Protokoll Text Informationen werden auf den WWW Servern in der Form von HTML Files gespeichert Au erdem k nnen Bilder T ne und beliebige sonstige Files mit WWW bertragen werden Weiterhin k nnen Benutzer Eingaben von Programmen die auf den WWW Servern laufen ver arbeitet werden Formulare Suchvorg nge u a W3C World Wide Web Consortium Von verschiedenen mit dem Internet eng verbundenen F
308. enetekel netzmafia de antworten k nnen Beachten Sie hierbei wiederum da die Reversed Adressbereiche auch r ckw rts geschrieben werden m ssen Um das Netz 192 168 131 0 zu beschreiben lautet die Titelzeile des Blocks zone 131 168 192 in addr arpa in Die restlichen Zeilen legen entsprechend den Namen der Datei mit der Tabellen kopie und den Rechner von dem die Daten angefordert werden fest Wird der named Proze gestartet erhalten Sie in der Datei var log messages folgen de Ausgabe Feb 17 16 24 59 aella named 1408 starting BIND 9 2 0 Feb 17 16 24 59 aella named 1408 using 1 CPU Feb 17 16 24 59 aella named 1408 loading configuration from etc named conf Feb 17 16 24 59 aella named 1408 listening on IPv4 interface lo 127 0 0 1 53 Feb 17 16 24 59 aella named 1408 listening on IPv4 interface eth0 192 168 131 100 53 Feb 17 16 24 59 aella named 1408 command channel listening on 27 0 0 1 953 Feb 17 16 24 59 aella named 1408 command channel listening on 1 953 Feb 17 16 24 59 aella named 1408 zone 131 168 192 in addr arpa IN loaded serial 2002021201 Feb 17 16 24 59 aella named 1408 zone 0 0 127 in addr arpa IN loaded serial 1 Feb 17 16 24 59 aella named 1408 zone inf private fhm edu IN loaded serial 2002021201 Feb 17 16 24 59 aella named 1408 running Feb 17 16 24 59 aella named 1408 zone 131 168 192 in addr arpa IN sending notifies serial 2001121201 Feb 17 16 24 59 aella name
309. ente date date 1 days ago b sy sche Te echo we echo Anz Datei echo grep SSUCH var log httpd access_log grep SAKT sed e s e s 2 e s HITP grep html sort unig c gt SDATEI Etwas komfortabler ist die Statistik die das folgende Perl Programm liefert Die umfangreicheren Statistikprogramme liefern oft nur Zusammenfassungen und die am h ufigsten abgerufenen Seiten Aus dem Skript unten kann man sich auch durch ein paar kleine nderungen eine ma geschneiderte Statistik f r ganz be stimmte Seiten anfertigen indem man sich das Passende herausfischt So kann man das Skript auch f r die Auswertung anderer Logfiles einsetzen Um be stimmte Dateien oder Verzeichnisse zu ber cksichtigen kann man die Variablen include und exclude mit geeigeten regul ren Ausdr cken belegen Das fol gende Listing zeigt das Hauptprogramm und die beiden wichtigsten Funktionen open_logfile und calc_access usr bin perl Die folgenden Variablen muessen an die lokale Konfiguration angepasst werden 222 6 Webserver Statistik Zeichenkette n die in der Protokollzeile auftauchen muessen Sie koennen auch mehrere Strings angeben z B Sinclude laber eins laber zwei Sinclude ALL nimmt alle Protokollzeilen mit Ausnahme der durch exclude ausgeschlossenen Sinclude ALL Protokollzeilen die diese Strings enthalten werden bei der Bere
310. entlich an der Entwicklung des Internet beteiligt war datagram Datenpaket Im Gegensatz zum Datenstrom kommt ein Paket ohne vorherige Ank ndigung an In IP werden Datagramme benutzt A Glossar 405 Datenbank Eine strukturierte Datensammlung die Informationen sind meist in Form von Datens tzen abgelegt innerhalb eines Datensatzes sind die Infor mationen bestimmten Kategorien Feldern zugeordnet DAU D mmster Anzunehmender User Spitzname f r Benutzer die sich durch besonders tolpatschiges Verhalten auszeichnen Beliebtes Gespr chsthema von altgedienten Netzadministratoren Merke Jeder ist mal DAU gewesen DDNS Dynamic Domain Name Service vergibt zus tzlich zur IP Adresse DH CP auch dynamisch einen Domain Namen innerhalb eines TCP IP Netzes DE CIX Das Deutsche Commercial Internet Exchange ist eine Vereinbarung zwischen den Service Providern hinsichtlich der kommerziellen Nutzung des Internet Sie umfa t den Betrieb eines gemeinsamen Knotenpunkts der Provider Netze in Frankfurt der das Routing von Daten zwischen deutschen Internet Teilnehmern vereinfachen und beschleunigen soll DE NIC Das Deutsche Network Information Center mit Sitz in Karlsruhe ist f r die Vergabe von Domains und IP Nummern in der Top Level Domain de zust ndig DE NIC verwaltet zus tzlich den Prim ren Namensserver der Do main de der die Namen und IP Nummern aller im deutschen Internet an geschlossenen Computer dokume
311. er Datei etc mail genericstable bzw in der zugeh rigen Datenbank genericstable db werden Zuordnungen lokaler Absenderadressen zu anderen Adressen eingetragen Auch diese Tabelle hat wieder zwei Felder je Zeile die durch Tabulator en getrennt sind Diese Tabelle sorgt also daf r da die E Mail eines Anwenders eine andere Absenderadresse erh lt Zum Beispiel user user netzmafia de user localhost user netzmafia de info info corleone netzmafia de webhanster webmaster netzmafia de Auch hier mu wieder die Datenbank angelegt werden usr sbin makemap hash etc mail genericstable db lt etc mail genericstable 2 2 7 Virtusertable In der Datei etc mail virtusertable bzw in der zugeh rigen Datenbank virtusertable db werden Zuordnungen virtueller E Mailadressen zu anderen Adressen eingetragen Sie behandelt also die eingehenden E Mails und wandelt de ren Adressen beispielsweise in lokale Adressen um Aber auch eine Weiterleitung ist m glich Es gibt also eine gewisse hnlichkeit zur Alias Datei nur da hier die M glichkeiten weiter gehen z B letzte Zeile des Beispiels mit Platzhalter f r den Usernamen Auf diese Weise ist es auch m glich alle E Mails an eine vir tuelle Domain an einen einzigen User weiterzuleiten Wie die vorhergehenden hat auch diese Tabelle zwei Felder je Zeile die durch Tabulator en getrennt sind Zum Beispiel user domain tld user info netzmafia de josef moosbichler t online de webhanster web
312. er Erstinstallation eines PCs oder einer Work station fertigt man ein Backup der Stunde Null an Das ist f r Notf lle der letzte Rettungsanker denn was n tzt einem ein zwei Wochen altes Backup wenn das System bereits vor acht Monaten gecrackt wurde Danach sollte man regelm ige Backups durchf hren z B ein vollst ndiges Backup alle zwei Wochen dazwi schen t glich inkrementelle Backups F r PCs mit Windows 95 98 eignet sich Drive Image von Powerquest bei Workstations mit Linux UNIX reichen oft tar dump und restore Eine weitere Gefahr liegt im Fehlverhalten des Netzneulings Dazu ein Beispiel Vor nicht allzu langer Zeit erschien im Bereich Managementliteratur ein Buch von Marta Siegel und Laurence Canter das sich mit Profitm glichkeiten im Internet befa t Das Autorengespann ist im Netz nicht unbekannt Die beiden Anw lte hatten es vor etlichen Jahren als erste gewagt Dutzende von Newsgroups mit kommerziellen Anzeigen Postings zu fluten in denen sie ihre rechtsberatenden 360 13 Server Sicherheit Dienste anpriesen Daraufhin wurden sie von der Internet Gemeinde mit mas sivem Mailbombing bestraft zu Recht denn die Netiquette verbietet aus gu tem Grund kommerzielle Anzeigen in nicht speziell daf r vorgesehenen News groups Viele Internet Teilnehmer m ssen n mlich f r die empfangenen News und auch E Mails aus eigener Tasche bezahlen Die Verbreitung einer Anzeige via News lie e sich also mit einer uner
313. er VirtualHost Klammer beziehen sich nur auf den virtuellen Server Innerhalb dieser Klammer werden auch die Zu griffsbeschr nkungen eingetragen Alle Angaben au erhalb der VirtualHost Klammer beziehen sich auf den realen Server und sind Standardvorgaben f r den virtuellen Server Die Standardvorgaben k nnen durch Angaben inner halb der VirtualHost Klammer berschrieben werden Wichtig ist der Eintrag ServerName ber ihn werden die virtuellen Hosts unterschieden Listen Allows you to bind Apache to specific IP addresses and or ports in addition to the default See also the lt VirtualHost gt directive Listen 192 168 253 1 80 Listen 192 168 253 2 80 Listen 192 168 253 3 80 Listen 192 168 253 4 80 Listen 192 168 253 5 80 BindAddress You can support virtual hosts with this option This directive is used to tell the server which IP address to listen to It can either contain an IP address or a fully qualified Internet domain name See also the lt VirtualHost gt and Listen directives de de Se e Se Se BindAddress xxx Virtual Host Firma 1 xxx lt VirtualHost 192 168 253 2 gt ServerAdmin webmaster netzmafia de DocumentRoot home httpd firmal ServerName www firmal de ErrorLog logs firmal error_log CustomLog logs firmal access_log common lt VirtualHost gt 4 10 Virtuelle Server 147 xxx Virtual Host Firma 2 xxx lt VirtualHost 192 168 253 3 gt ServerAdmin we
314. er auch f r einen WIDTH Parameter in einem HTML Tag verwendet werden PLURAL_MATCHES Wenn die Variable MATCHES gt 1 ist enth lt PLURAL MATCHES ein s PREVPAGE Wert der Attribute prev_page_text oder no_prev_page_text je nachdem ob es noch eine vorhergehende Seite gibt oder nicht SCORE Rangbewertung der aktuellen Fundstelle SELECTED_ FORMAT Das ausgew hlte Ausgabeformat SELECTED_METHOD Die ausgew hlte Suchmethode SELECTED_SORT Die ausgew hlte Sortiermethode SIZE Gr e des Dokuments der aktuellen Fundstelle SIZEK SIZE in Kilobytes SORT HTML Men aller verf gbaren Sortiermethoden STARSLEFT Eine Menge von HTML lt IMG gt Tags links justiert STARSRIGHT Eine Menge von HTML lt IMG gt Tags rechts justiert 5 10 Die Konfiguration von htDig 203 m SYNTAXERROR Text der den Syntaxfehler eines Booleschen Suchbegriffs beschreibt TITLE Titel der aktuellen Fundstelle URL URL der aktuellen Fundstelle VERSION Die Versionsnummer von htDig a WORDS Die eingegebenen Suchworte mit Leerzeichen dazwischen Ein Beispiel f r die Anwendung der Variablen zeigt das interne long Ausgabeformat f r eine Fundstelle lt dl gt lt dt gt lt B gt lt a href S URL gt TITLE lt a gt lt B gt STARSLEFT lt dt gt lt dd gt EXCERPT lt br gt lt a href URL gt URL lt a gt MODIFIED SIZE bytes lt dd gt lt al gt Weitere Beispiel zei
315. er beiden Kommandos mv etc sendmail cf etc sendmail cf old und m4 lt sendmail mc gt sendmail cf beliebige Formen der Datei sendmail cf erstellt werden Dazu soll ten Sie vorher das README unter usr doc packages sendmail und usr share sendmail gr ndlich studieren Nach jeder nderung mu sendmail auf jeden Fall mit dem Befehl etc rc d sendmail restart neu aufgesetzt werden 2 2 Sendmail 73 2 2 2 Beispiele Die hier aufgef hrten Beispiele wurden der SuSE Support Datenbank entnom men und sind ohne Gew hr in bezug auf ihre Funktionst chtigkeit m sendmail mc f r das Maskieren des Rechnernamens durch eine Domain die von einem Mail Server versorgt wird include m4 cf m4 VERSIONID linux for smtp only setup dnl OSTYPE linux dnl define confDEF_USER_ID daemon daemon dnl define PROCMAIL_MAILER_PATH usr bin procmail dnl define QUEUE_DIR var mqueue dnl define con fTRUSTED_USERS wwwrun dnl FEATURE local_procmail dnl FEATURE nouucp dnl FEATURE always_add_domain dnl FEATURE allmasquerade dnl MAILER local dnl MAILER procmail dnl MAILER smtp dnl m sendmail mc zum Verwenden einer Switchdatei die es erlaubt sendmail ohne DNS Server zu verwenden include m4 cf m4 VERSIONID linux for smtp only setup dnl OSTYPE linux dnl define confDEF_USER_ID daemon daemon dnl define PROCMAI
316. er machen 383 13 8 1 Ein Server bietet zu viele Dienste an 384 13 8 2 Vertrauliche Daten in zug nglichen Verzeichnissen 389 13 8 3 Eingabeparameter aus Webformularen 390 13 9 Nichts gehtmehr cocos maei a ANE 392 13 10Sicherheits Empfehlungen 393 13 11Sicherheits Tools und Quellen 2 2 22222222 395 13 11 1 Programme ie E eg Re he 4 Oda ah az 395 13 11 2 Informationen 22 2 CC En nn 397 A Glossar 401 B Literatur und Links 421 C Ausreden 425 Vorwort Normalerweise ergreifen an dieser Stelle die Autoren das Wort um sich dar ber zu beklagen wieviel Arbeit das Buch gemacht hat und wie sehr Frau Freundin Kinder Hund unter dem durch das B cherschreiben erlittenen Mangel an Zuwendung zu leiden hatten Des weiteren bedankt man sich artig bei denjenigen deren Ideen man geklaut hat und bei jenen die das Manuskript in verschiedenen Fassungen lesen mu ten Schlie lich wird auch der Verlag nicht vergessen mit dem die Zusammenarbeit in ber 90 Prozent aller von uns recherchierten F lle fruchtbar ist klar sonst h tte man sich einen anderen Verlag gesucht Wenn die Danksagung zu kurz ist und einem nichts weiter einf llt gibt es eine Inhalts bersicht Schon ist das l stige Vorwort erledigt Wir wollen von diesem Schema abweichen und ein paar Worte ber eines der phantastischsten und innovativsten Projekte des vergangenen und aktuellen Jahrhunderts verlie ren Wer
317. er machen Der wohl wichtigste Dienst ist das Login Skript Dabei handelt es sich um eine einfache Datei die direkt nach dem Anmel den ausgef hrt wird und mit Hilfe einzelner Befehle zum Beispiel das Verbinden der Netzwerklaufwerke das Stellen der Uhr des Klientenrechners oder die Aus gabe von Meldungen erledigt Jeder Benutzer erh lt dabei normalerweise seine 9 8 Login Server 303 eigene Datei die zusammen mit denen der anderen Benutzer in einem gemein samen Anmeldeverzeichnis abgelegt wird Der Name dieses Unterverzeichnisses wird ber die spezielle Share netlogon festgelegt Besteht das Netz aus Windows 95 98 Maschinen mu die entsprechende smb conf folgenderma en ge ndert werden global workgroup netzbuch security user encrypt passwords yes domain logons yes logon script U bat netlogon path home netlogon browseable no read only yes Mit Hilfe der Zeile domain logons yes wird die Abarbeitung der Skripten beim Einloggen eingeschaltet Die Variable logon script enth lt den Namen der Datei die ausgef hrt werden soll Der Schl ssel U wird dabei durch den aktuellen Login Namen ersetzt Innerhalb der Sektion net logon wird der Pfad zum gemeinsamen Verzeichnis mit den Skripten festgelegt Im obigen Beispiel wird mit read only yes zus tz lich festgelegt da die Benutzer ihr eigenes Loginskript nicht ndern d rfen Das Verzeichnis home netlogon mu der Administrator nat rlich zun chst
318. er vorsehen disziplinarisch m rechtlich Anzeige 394 13 Server Sicherheit Richtlinien f r System Administratoren m Zugang zu Servern und Hosts durch bauliche Ma nahmen eingrenzen m Zugangsberechtigung kontrollieren auf Mehrbenutzer Maschinen m Benutzerauthentifizierung Pa wort rigoros handhaben Crack anwenden Zugang von Unberechtigten zu internen Kabeln einschr nken Einschleppung von Viren auf PCs verhindern Virenscanner m Fehlerhafte Applikationssoftware durch Tests einschr nken m Fehlerhafte Betriebssoftware rasch updaten m Logging und Auditing auf Mehrbenutzer Maschinen m Keine Gruppen Accounts installieren Backup und Restore einf hren und gut dokumentieren Kryptographie Programme zur Verf gung stellen m Offizielle Liste der verf gbaren lizenzierten Software f hren m Security Test Programme regelm ig gegen Server ausf hren z B COPS SA TAN SAINT und andere Richtlinien f r End Benutzer m Sicheres Handhaben von Pa w rtern d h NICHT aufschreiben speichern in Dateien Programm INI Dateien Registry versenden per E Mail Keine Security Test Programme gegen irgendwelche Systeme ausf hren m Zugriffsrechte auf sensible Dateien kontrollieren B ros abschlie en Diebstahl Zugang zum Rechner m Arbeitsstation sichern Screen Lock etc m Niemals unbekannte Software einfach ausprobieren m Periodisch die eigene E Mail checken und l schen m Keine E Mail Anh nge ausf hren m NIEMALS eig
319. erebene oder grpquota f r Beschr nkungen von Grup pen in der Mount Tabelle etc fstab hinzuf gen Sie k nnen auch beide Be schr nkungen gleichzeitig aktivieren Das sieht dann beispielsweise so aus dev hdal boot ext2 defaults 1 2 dev hda2 swap swap defaults 00 dev hda3 ext2 defaults 11 dev hda4 home ext2 defaults usrquota grpquota 1 1 dev hdb cdrom auto ro noauto user 00 dev fdo floppy auto noauto user 0 0 none proc proc defaults 0 0 Bei der Aufz hlung defaults usrquota grpquota keine Leerzeichen einge ben Nach dem Remount der Home Partition mu die Quota Software den augenblick lichen Belegungsstand der Festplatte erfassen Dazu geben Sie ein quotacheck avug Die Parameter haben folgende Bedeutung m v ausf hrliche Ausgabe m a berpr ft alle Partitionen f r die Quotas angegeben wurden g nur f r Gruppen Quotas m u nur f r User Quotas Das Programm legt fiir jede quotierte Partition die Dateien quota user und quota group an Nach dem Abschlu der Vorbereitungen k nnen Sie die Quo tas aktivieren Dazu richten Sie eine Startdatei f r die Quotas etc rc d quota ein bin sh etc rc d quota case 1 in start 1 10 Disk Quotas 59 echo Turning on quota sbin quotaon avug echo Failed exit 1 echo Success vr stop echo Turning off quota H sbin quotaoff avug echo Failed exit 1 echo Success rr echo Usage 0 start stop
320. eren z B bei bestimmten Fehlverhalten der Browser Was fr her in der Datei srm conf stand ist nun auch in httpd conf zu finden Die Teile die bestimmten Dateiendungen spezielle Icons zuordnen z B AddIcon SRC icons c gif c h sind f r die Anzeige von Dateiverzeichnissen gedacht Jeder Dateiname wird dann mit einen kleinen Icon versehen Fancy Inde xing Wenn man keine neuen Dateitypen oder Icons hinzuf gen will kann man diese Passage ignorieren Wichtig sind dagegen folgende Eintr ge m Alias Alias icons opt www icons Alias cgi bin opt www cgi bin Alias images opt www images Alias Namen f r bestimmte Verzeichnisse Diese werden anschlie end behan delt als wenn sie sich unter Document Root befinden w rden Achtung Die Einstellungen gelten auch f r virtuelle Hosts siehe sp ter 4 4 Konfiguration des Apache 129 UserDir public_html Benutzer k nnen in ihrem Home Directory ein Ver zeichnis namens public_html anlegen und ihre Seiten selbst pflegen Die Seiten sind dann unter http servername username anzusprechen DirectoryIndex index html index htm Wird nur ein Directory angegeben wird automatisch eine Datei index htm bzw index html gesucht und an gezeigt IndexOptions FancyIndexing Wird keine Index Datei siehe DirectoryIndex gefunden wird der Inhalt des Verzeichnisses als Verzeichnisbaum angezeigt sofern diese Option nicht gesperrt wurde IndexIgnore z B IndexIgnore bak
321. erkehr ist es sinn voll die maximale L nge einer via Liste verteilten E Mail zu beschr nken m Archivierung Wenn erw nscht k nnen die Mails der Liste aufgehoben werden Mails eines Monats in einer Datei die mittels get Kommando an gefordert werden k nnen 11 4 2 Zugriffs Regeln Mit diesen Kommandos kann man die Dienste des Listenservers ausw hlen Informationen ber die Liste Bestimmte Listen Informationen wie Beschreibung intro oder info Kommando Aufz hlung der Listen Mitglieder who Kommando Feststellung der Zugeh rigkeit einer Adresse zu einer Liste which Kommando stehen den Listenmitgliedern zur Verf gung Es kann festgelegt werden wel che dieser Infos auch ffentlich gemacht werden m Anmeldung Wer darf die Liste abonnieren subscribe ffentlich auto open Jeder kann die Liste abonnieren der Listen Administrator wird nur informiert Kontrolliert closed Jede Anmeldung bedarf der Zustimmung des Listen Administrators approve Kommando m Abmeldevorgang Wer darf sich aus der Liste abmelden unsubscribe Sie he Anmeldevorgang ffentlich oder kontrolliert 342 11 Mailing Listen mit Majordomo verwalten m Listenbenutzung Wer darf Nachrichten an die Liste schreiben ffentlich Jeder darf das Listenmitglieder Nur die Mitglieder der Liste d rfen das Das setzt vor aus da alle Mitglieder immer die registrierte E Mail Adresse verwenden Best
322. ern ber Schulungsfirmen Uni versit ten Forschungszentren bis hin zu kommerziellen Anwendern und Firmen die in Linux eine echte Alternative zu anderen Betriebssystemen sehen Derzeit erf hrt Linux seine gr ten Zuwachsraten im gesamten Internet Server Bereich in dem es inzwischen aufgrund seiner hohen Netzwerkperformance und gro en Sicherheit eine Spitzenposition eingenommen hat Linux wurde von Anfang an unter die GPL die General Public License gestellt Diese Pseudo Lizenz garantiert jedem den kostenlosen Zugang zum Quellcode des Linux Betriebssystems Linux kann frei und kostenlos verteilt eingesetzt und erweitert werden Einzige Bedingung Jeder Entwickler mu den Quellcode offen legen Alle Entwickler haben so Einblick in s mtliche Quellcodes und k nnen da durch sehr einfach neue Funktionen integrieren bzw Programmierfehler schnell Vorwort 15 finden und eliminieren Um ein h ufiges Mi verst ndnis gleich auszur umen Je der Entwickler mu den Quellcode offenlegen aber nicht automatisch mit dem lauff higen Bin rprogramm verteilen Es gen gt beispielsweie in der Dokumen tation auf einen FTP Server hinzuweisen von dem die Quelle bezogen werden kann Auch bedeutet frei nicht automatisch kostenlos Ein Entwickler darf mit seiner Software Geld verdienen soviel er will Da trotzdem der berwiegen de Anteil der Linux Software kostenlos ist spricht f r das Engagement und den Gemeinsinn der Entwic
323. erst bei einem bestimmten Ereignis zu tage z B werden alle Daten zwei Jahre nach Entlassung des Programmierers gel scht 13 6 Sicherheitsl cken des Betriebssystems 371 m Trap doors sind Programmfunktionen die einen nicht autorisierten Zugang zum System erm glichen Dies mu nicht von einer b sen Absicht bestimmt sein auch Programmteile die zur Fehlersuche dienten und dann in der Ver kaufsversion nicht entfernt wurden oder Wartungsaccounts k nnen zu trap doors werden In Netzen gibt es dann noch Formen der Tarnung z B spoofing bei der ein Rechner vorspiegelt ein anderer zu sein In vielen Betriebssystemen gibt es den Begriff des trusted host Vereinfacht gesagt sind dies Rechner denen gegen ber der eigene Rechner offen ist Tarnt sich ein fremder Rechner als vertrauensw rdiger Host wird das Eindringen erleichtert Neben diesen von au en kommenden Gefahren gibt es Probleme die durch das Betriebssystem selbst oder durch seine Administration hervorgerufen werden Dazu einige Beispiele m Dienste werden ohne weitere berpr fung als vertrauensvoll anerkannt R Kommandos Excel und Word Applikationen im MS Explorer uvm m Historische L cken in Diensten Fr her waren Netzwerkverbindungen sehr st ranf llig Aus diesem Grund vertrauen Serverrechner anderen Servern und k nnen bei Ausfall deren Dienste bernehmen Die Gefahr besteht darin da ein Server auch einem Hackerrechner vertraut und i
324. ertifikatbeantragenden Nutzer eingehend pr ft und das eigene CA Zertifikat an mehreren Stellen publiziert so da jeder die Korrektheit des Zertifikats berpr fen kann Findet nun ein Verbindungsaufbau statt so verifizieren beide Seiten die bermit telten Zertifikate mit Hilfe des CA Zertifikats Es wird also gepr ft ob die digitale Signatur der CA unter dem Zertifikat des Kommunikationspartners korrekt ist Zu Beginn einer SSL Verbindung werden Zertifikate zwischen Server und Client ausgetauscht um auf elektronischem Wege die Kommunikationspartner zu iden tifizieren Um eine Verbindung mit SSL zu verschl sseln gen gt es bereits wenn der Server sein Zertifikat an den Client schickt Dieser kann nun feststellen ob das Zertifikat auch von dem Server stammt zu dem er eine Verbindung w nscht Im Gegenzug kann jedoch auch der Server ein Zertifikat vom Client verlangen um diesen zu authentifizieren Die Informationen zum Inhaber des Zertifikats werden als distinguished name DN bezeichnet Hierbei werden in vorgegebene Felder die Merkmale des Inhabers eingetragen Diese Zertifikate sind nach dem Standard X 509 standardisiert Daher werden die Bezeichnungen X 509 Zertifikat SSL Zertifikat oder einfach nur Zertifikat oft synonym verwendet brigens k nnen Sie sich beim Netscape Navigator unter Communicator Extras Sicherheitsinformationen ber vom Browser gespeicherte Zertifikate informieren Es gibt vier Gruppen
325. es kein Sternchen kann der angegebene String irgendwo in der URL auftauchen Auf www netzmafia de w rden die Parameter netz aber auch mafia de oder www netz passen Hier ein Da teiauszug HideURL gif HideURL GIF HideURL jpg HideURL JPG HideURL ra 230 6 Webserver Statistik Weiterhin stecken hier einige Gruppierungsfunktionen mit denen man bestimmte Parameter gruppieren kann Ein Spielen mit den Gruppierungsfunktionen kann gegebenenfalls die Ausgabe bersichtlicher machen Weitere Einstellungen sind aber in der Regel nicht n tig Speichern Sie die Datei webalizer conf 6 4 3 Ausf hren Die einfachste Methode ist der Start von Hand Damit wird die Logdatei ausgele sen und die HTML Dateien mit der Serverstatistik in dem von Ihnen angegebenen Verzeichnis erstellt Webalizer sucht seine Konfigurationsdatei zuerst im aktuellen Verzeichnis und dann in etc Der Aufruf zum Test k nnte dann lauten webalizer c etc webalizer conf Der manuelle Aufruf ist auf Dauer nat rlich nicht besonders praktisch Bes ser ist da ein Eintrag f r den Cron Mechanismus Man kann z B in die Datei etc crontab folgenden Eintrag aufnehmen 30 4 x x root opt www bin webalizer gt dev null 2 gt 81 Gegebenenfalls sind noch die Parameter p f r den inkrementellen Modus oder c file zur Angabe der Konfigurationsdatei n tig Weitere Parameter listet die Manualpage auf Ihre Statistik rufen Sie mit Hilfe der Date
326. estet werden Dazu einige Beispiele 2 3 Mail filtern und verteilen mit Procmail 85 sendmail bt Ist die Domain in der Klasse w S w Funktioniert das Virtusertable Mapping map virtuser plate netzmafia de map virtuser foobar netzmafia de map virtuser netzmafia de Funktioniert das Rewriting 3 0 plate netzmafia de Falls beim letzten Test oder im Logfile festgestellt wird da sendmail an scheinend versucht E Mail f r einen lokalen Empf nger mit verdoppeltem Do mainanteil zuzustellen die Domain wird mit einem Punkt angeh ngt z B user domain de domain de sollte gepr ft werden ob der MX Record des Nameservers auf diesen Host zeigt Mit Hilfe des Schalters X logfile wird die komplette ein und ausgehende SMTP Kommunikation in die Datei logfile geschrieben Das erzeugt ein sehr hohes Datenaufkommen und sollte daher nur f r die Dauer der Fehlersuche ein gesetzt werden 2 3 Mail filtern und verteilen mit Procmail Ein Mail Filter erm glicht es da der Benutzer seine Mails nach selbstdefinier ten Kriterien vorsortieren lassen kann und diese gleich im richtigen Folder im User Directory abgespeichert werden Hierbei ist es sinnvoll die E Mail durch den Filter erst grob vorsortieren zu lassen z B nach privater Mail Mailvertei ler bestimmten Absendern usw Sp ter kann man die Mails dann in verschie denen Foldern archivieren Auf diese Weise mu man nicht die in der Regel sehr zahlreichen Folder dur
327. et Die empfangene Quittung enth lt die Nummer des Bytes das als n chstes vom Empf nger erwartet wird womit auch alle vorhergehenden Bytes quittiert sind Die Fenstergr e richtet sich zun chst nach der maxima len Gr e eines IP Datagramms sie kann aber dynamisch mit der Quittung des Empf ngers ge ndert werden Werden die Ressourcen knapp wird die Fenster gr e verringert Beim Extremfall Null wird die bertragung unterbrochen bis der Empf nger erneut quittiert Neben einem verl lichen Datentransport ist so 1 3 TCP IP 35 auch die Flu kontrolle gew hrleistet Die TCP bertragungseinheit zwischen Sender und Empf nger wird als Seg ment bezeichnet Jedem TCP Block ist ein Header vorangestellt der aber we sentlich umfangreicher als die bisherigen ist Bild 1 8 m Source Port Identifiziert den sendenden Proze m Destination Port Identifiziert den Proze des Zielknotens m Sequence Number TCP betrachtet die zu bertragenden Daten als numerier ten Bytestrom wobei die Nummer des ersten Bytes beim Verbindungsaufbau festgelegt wird Dieser Bytestrom wird bei der bertragung in Bl cke TCP Segmente aufgeteilt Die Sequence Number ist die Nummer des ersten Da tenbytes im jeweiligen Segment richtige Reihenfolge ber verschiedene Ver bindungen eintreffender Segmente wiederherstellbar Acknowledgement Number Hiermit werden Daten von der Empf ngersta tion best tigt wobei gleichzeitig Daten
328. etazeichen im Programmaufruf 4 6 1 Exec Rechte Das Recht ein ausf hrbares Programm im Web System zu installieren sollte auf den Web Master beschr nkt sein Die Skripte sollten alle im vorgesehenen Stan dardverzeichnis des Servers abgelegt sein Jegliche weitere Exec Rechte sollten im System unterbunden werden CGl Scripte werden unter der User ID des WWW Servers ausgef hrt Unter Umst nden kann ein CGI Programm mehr Rechte besitzen als dies f r den WWW Betrieb vorgesehen ist Unsauber programmierte oder manipulierte Pro gramme k nnen auf Systemressourcen zugreifen und Schaden anrichten Sicherer w re es hier wenn man diese Programme unter einer einzelnen in den Rechten sehr beschr nkten User ID aufrufen k nnte Es ist fters n tig da CGI Programme unter der Kennung einer Arbeitsgruppe etc laufen um diese Programme ungehindert auf deren Daten lesend schreibend zugreifen zu lassen Auch hier w re es vorteilhaft wenn CGI Programme lo kal mit einer variablen Nutzerkennung abgelegt werden k nnten Apache bietet zur L sung dieser Probleme die Servererweiterung SuExec Wrapper an wel che einen Wechsel der User ID beim CGI Programmaufruf zul t Dies erfordert aber eine erh hte Aufmerksamkeit des WWW Administrators Ein Anwender der mit diesem Tool volle CGI Rechte besitzt sollte umbedingt ber das erforderliche Programmier und System Know how verf gen 136 4 WWW Server Apache 4 6 2 Programmqualitit B
329. etc httpd access conf Datei zur Definition der Funktionen und Zugriffsrechte bestimmter Verzeichnisse optional ResourceConfig etc httpd srm conf Diese Datei enth lt Angaben zur For matierung und dem Aussehen der automatisch erzeugten Verzeichnisindizes FancyIndexing sowie Angaben zu den einzelnen Dateitypen optional TypesConfig etc httpd mime types Enth lt die Zuweisungen Datei Endung zu Mime Typ PidFile var run httpd pid Datei in der sich die Proze ID des Httpd Daemons befindet LockFile var locks httpd lock Spezifiziert das Lock File ErrorLog opt www logs httpd error Datei zur Aufnahme von Fehlermel dungen und sonstigen Info Meldungen ohne gilt ServerRoot als Basis LogLevel warn LogLevel m gliche Werte sind debug info notice warn er ror crit alert emerg LogFormat LogFormat Sh 1 Su St Sr S gt s Sb Referer i User Agent i combined par LogFormat Sh 1 Su St Sr gt s b common par LogFormat Referer i gt U referer par LogFormat User agent i agent par Legt das Format der Logdatei en fest z B f r combined Hostname Remo te Logname User ID Zeit erste Zeile der Client Anfrage HTTP Statuscode Gr e der vom Server ausgelieferten Datei ohne Header Wert des Referer Headers Wert des User Agent Headers CustomLog opt www logs access log combined Erzeugt die Datei httpd access im Combined Log Format Timeout 3
330. eter von einer Seite zur n chsten als lt INPUT TYPE HIDDEN gt mitzuschleppen Dabei wird ein interner Zustand der Anwendung im Browser des Anwenders gehalten also jen seits der Vertrauensgrenze F r den Anwender ist es ein leichtes den Zustand einer solchen Anwendung zu manipulieren und jeden gew nschten Effekt zu er zielen Korrekt w re es eine Plattform zu verwenden die Sessionvariablen bietet und den Zustand der Anwendung auf dem Webserver halten kann Ein weiterer Angriffspunkt wird durch die Speicherung unerw nschter Daten auf dem Server geboten Dazu ein Beispiel Viele Webseiten bieten G steb cher an in die jeder etwas eintragen kann Der Hacker tr gt neben normalem Text auch HTML Code z B eine URL ein Javascript Programm oder eine Referenz auf ein Active X Control ein Leser der G stebuchseiten erleiden durch diese Abschnitte der Webseite Schaden auch wenn sie nur beleidigt werden Es gab den Fall da irgendwelche Spa v gel im G stebuch von McDonalds Links auf Porno Sites hinterlassen haben Um auch bei Fehlern in den Skripts m glichst wenig Angriffsfl che zu bieten darf der WWW Server nur unter einer Benutzerkennung mit m glichst wenig Rechten laufen z B nobody Alle CGI Skripte geh ren in ein spezielles Ver zeichnis etwa serverhost cgi bin in das nichts anderes kommt Nur dieses Ver zeichnis wird in der Datei httpd conf als CGI Verzeichnis freigegeben Auch d rfen die CGI Pro
331. etriebssysteme automatisch den Client Dienst sowie NetBEUI und IPX SPX als bertragungsprotokoll sobald eine Netzwerkkarte erkannt und konfiguriert wurde Also m ssen Sie nur noch das TCP IP Protokoll hinzuf gen und die Einstellung der Arbeitsgruppe nachtr glich durchf hren Windows 95 und 98 verhalten sich in bezug auf die Netzwerkeinstellungen sehr hnlich daher wird im folgenden nur die Konfiguration von Windows 98 be schrieben Netzwerk Client f r Microsoft Netzwerke Realtek RTL8029 45 PCI Ethernet NIC 3 TCP IP ENUemen Eigenschalten Client f r Microsoft Netzwerke Abbildung 9 2 Hinzuf gen des TCP IP Protokolls m Starten Sie Windows und anschlie end die Systemsteuerung mit Start Ein stellungen Systemsteuerung und einem Doppelklick auf das Symbol Netzwerk m Im Fenster Netzwerk kann nun mit den Schaltern Hinzuf gen Protokoll Mi crosoft TCP IP das TCP IP Protokoll nachinstalliert werden sofern es noch nicht vorhanden ist m Verf gen Sie in Ihrem Netz ber einen DHCP Server ist die Konfiguration von TCP IP f r Sie jetzt schon abgeschlossen denn die Standardeinstellung 9 3 Installation der Klienten 283 von Windows 95 und 98 legt fest da die IP Nummer automatisch von einem solchen Server bezogen wird Andernfalls ist jetzt der richtige Zeitpunkt um sich Gedanken dar ber zu machen ob nicht ein Rechner im Netz diese Auf gabe bernehmen sollte Dies k nnte der glei
332. eweils letz ten Stelle von IP Nummer und Netzmaske wird ein ganzes Klasse C Subnetz im Beispiel der Bereich von 192 168 1 1 bis 192 168 1 254 definiert Um nun das lokale Netz von allen anderen zu unterscheiden mu ein symboli scher Name f r alle Netze hier all vergeben werden Dies geschieht mit Hilfe der Adresse 0 0 0 0 und der Maske 0 0 0 0 Um den Proxy Zugriff zu beschr nken kann nun auf die oben definierten Namen zugegriffen werden Mit den folgenden Zeilen wird der Zugriff f r das lokale Netz erlaubt und f r alle anderen verboten 248 7 Proxy Cache http_access allow intranet http_access deny all 74 2 ACL Anweisungen Die wichtigsten Typ Anweisungen aus der squid conf sind m src Syntax acl Name src IP Adresse Netzmaske Definiert Klienten IP Adressen Dabei kann eine einzige Adresse bestimmte Adrefsbereiche oder ein komplettes Subnetz angegeben werden Dazu einige Beispiele acl meinpe src 192 168 2 34 255 255 255 255 acl kleinesnetz src 192 168 3 1 192 168 3 31 255 255 255 255 acl meinclasse sre 192 168 1 0 255 255 255 0 acl meinclassb src 192 168 0 0 255 255 0 0 Die erste Zeile definiert lediglich einen Klienten Rechner mit der IP Adresse 192 168 2 34 In der zweiten wird ein Bereich von IP Nummern hier alle Adressen zwischen 192 168 3 1 und 192 168 3 31 angegeben Dazu ist einfach ein Minuszeichen zwischen die h chste und die niedrigste Nummer zu setzen Beachten Sie dabei da bei den beiden obe
333. ewertung einer Datei als fresh oder stale sind m Datum der letzten Modifikation last_modified Dieser Wert wird von den meisten WWW Servern im Kopf des Dokuments vermerkt m Objekt Datum ob ject_date Zeitpunkt zu dem die Datei geholt wurde m Aktuelles Datum now Alter age Bisherige Verweildauer der Datei im Cache age now object_date m Alter beim Holen 1m_age Im_age object_dat last modified m Altersfaktor factor Dient zum Vergleich mit dem in der Konfigurations datei einstellbaren Prozentwert percent Je h her der Faktor desto h her die Wahrscheinlichkeit da das Dokument ge ndert wurde factor age lmage 236 7 Proxy Cache m Minimale Verweildauer min_age In der Konfigurationsdatei einstellbare mi nimale Lebensdauer eines Cache Objektes m Maximale Verweildauer max In der Konfigurationsdatei einstellbare maxi male Lebensdauer eines Cache Objektes m client_max_age Mit diesem optionalen Parameter kann der Klient ein Ma ximalalter f r Dokumente festlegen Dieser Wert hat oberste Priorit t Mit diesen Werten berechnet squid den Zustand einer Datei nach den folgenden Regeln so lange bis ein Ergebnis vorliegt if client_max_age if age gt client_max_age return stale if age lt min_age return fresh if expires if expires lt now return stale else return fresh if age gt max_age return stale if lm_factor lt percent return fresh return stale
334. exec bin rm f clean up tmp and usr tmp usr bin find tmp type f atime 7 exec bin rm f usr bin find usr tmp type f atime 7 exec bin rm f find accounts without password echo echo Accounts without password echo 2222222222 388 13 Server Sicherheit usr bin grep etc shadow find accounts with UID 0 and or GID 0 echo echo Accounts with ID 0 echo LE usr bin grep 00 etc passwd echo SUID files echo usr bin find perm 4000 type f exec ls 1 Y echo echo SGID files echo usr bin find perm 2000 type f exec ls 1 Y Find world writable files echo echo World writable files echo eegene ee usr bin find perm 2 type f o type d Y exec ls 1 Y Find files without owner echo echo Files without owner echo usr bin find nouser exec ls 1 Y cat etc passwd awk F print 6 grep home uniq gt tmp space homedirs echo echo Plattenbelegung in home echo FF a a ee es ee es ee era du s cat tmp space homedirs sort nr Print sulog echo echo var adm sulog echo cat var adm sulog 2 gt amp 1 mailx s Sulker root 2 gt 41 Alle Systemlogs liegen im Verzeichnis var log Standardm ig hat Linux eine her vorragende Logfunktion au er f r den FTP Dienst Man
335. exit 1 ri esac exit 0 Dann werden noch die entsprechenden Links in den Verzeichnissen rc2 d und rc3 d gesetzt z B S12quota und K32quot a damit die Quotierung beim Boo ten aktiviert wird F r den ersten Test starten Sie quotaon von Hand Um die Funktion Ihrer Quotas zu testen richten Sie als root f r einen Ihrer Be nutzer eine Beschr nkung ein usr sbin edquota u plate Daraufhin starten Sie Ihren Lieblingseditor mit folgendem Text Quotas for user plate dev hda3 blocks in use 7107 limits soft 20000 hard 30000 inodes in use 925 limits soft 10000 hard 15000 dev hda4 blocks in use 1428 limits soft 250000 hard 500000 inodes in use 19 limits soft 50000 hard 100000 Ver ndern Sie die Einstellungen f r dev hda4 Quotas for user plate dev hda3 blocks in use 7107 limits soft 20000 hard 30000 inodes in use 925 limits soft 10000 hard 15000 dev hda4 blocks in use 1428 limits soft 500000 hard 1000000 inodes in use 19 limits soft 50000 hard 100000 Der Wert O bedeutet immer keine Beschr nkung Ein Hard Limit ist eine Gren ze die auf keinen Fall berschritten werden kann ein Soft Limit kann man f r eine einstellbare Dauer berschreiten einstellbar mit usr sbin edquota t Meldet sich der Benutzer an kann er seine eigenen Werte mit dem quota Kommando abfragen Disk quotas for user plate uid 401 Filesystem blocks quota limit g
336. f jeder Plattform realisiert Zum Lieferumfang des Apache Webservers geh ren derzeit folgende MPMs m perchild Dieses MPM verwendet eine feste Anzahl von Prozessen die mehre re Threads benutzen um Anfragen zu bearbeiten Dabei ist es m glich virtu ellen Hosts einen eigenen Prozess zuzuordnen der die Bearbeitung der die sen Host betreffenden Anfragen bernimmt Die Verwendung unterschied licher Sicherheitskontexte f r Prozesse verschiedener virtueller Hosts ist da bei m glich Das Wechseln der Sicherheitskontexte funktioniert nur wenn der Webserver mit root Berechtigungen gestartet wurde m prefork Dieses MPM nutzt ein Pre Forking Prozessmodell ohne Threading das z B auf UNIX Plattformen zur Verf gung steht hnlich der Standard arbeitsweise von Apache 1 3 unter UNIX Dieses MPM ist die Standardein stellung f r UNIX Systeme Die Kommunikation des Vaterprozesses mit den Kindprozessen ber das ScoreBoard die Konfigurationsoptionen und die Kon trolle des laufenden Webservers ber das Senden von Signalen an den Va terprozess sind hier analog zur Architektur des Apache Webservers 1 3 im standalone Modus worker Dieses MPM bietet eine variable Anzahl von Prozessen mit einer fe sten Anzahl von Threads pro Kindprozess HTTP Anfragen werden dabei von den Threads bearbeitet Es ist besonders f r Webserver vorgesehen die eine hohe Skalierbarkeit ben tigen Es verbraucht bei gleicher Anzahl an Anfra gen aufgrund der geringere
337. fehler abzufangen Die einzelnen Unterprogramme sind einander recht hnlich zuerst wird die komplette Userdatei auf ein Array eingelesen wobei grunds tzlich alle Zugriffe auf die Datei so kurz wie m glich gehalten werden um den Zugriff auf das Verzeichnis nicht zu behindern wenn der Admin aktiv ist Danach werden die entsprechenden Aktionen ausgef hrt Anzumerken ist noch da das System nicht super sicher ist da sowohl Benutzer Pa wort als auch Admin Pa wort im Klartext bertragen werden Abhilfe br chte hier eine gesicherte bertragung zwischen Browser und Server mit tels SSL siehe unten Auch hier sind einige Anpassungen an die lokalen Gegebenheiten n tig m Der volle Systempfad zur Datei htpasswd einschlie lich des Dateinamens selbst Diese Datei sollte aus Sicherheitsgr nden au erhalb des per Browser zugreifbaren Bereichs liegen z B SAuthUserFile opt www etc htpasswd m Der volle Systempfad zum Standard Mailprogramm meist sendmail wird ben tigt wenn bei Eingabe eines falschen Admin Pa wortes eine Mail an den Webmaster geschickt werden soll meist ist dies Smailprog usr lib sendmail m Die E Mail Addresse des Webmasters wird nat rlich auch ben tigt z B yourmail webmaster netzmafia de m Wenn Sie wollen schickt das Skript eine E Mail wenn jemand ein falsches Admin Passwort eingegeben hat Nein alert n Ja alert y usr bin perl full system path to the u
338. ffe lt B gt lines lt BR gt n print lt B gt Gesamtvolumen in Bytes lt B gt totalbytes lt BR gt n sub by_hour 224 6 Webserver Statistik Stunden Statistik berechnen print lt H2 ALIGN CENTER gt Zugriffsstatistik nach Tageszeit lt H2 gt n print lt TABLE BORDER 1 CELLPADDING 3 ALIGN CENTER gt lt TR gt lt TD gt n print lt TABLE BORDER 0 CELLPADDING 3 ALIGN CENTER gt n lt TR gt Shighest 0 ermittle maximale Anzahl von Zugriffen zu einer Stunde foreach key keys Shours if Shours key gt Shighest Shighest Shours key foreach key keys hours Sbarsize Skey int Shours key 250 Shighest foreach key 0 23 if Sbarsize Skey lt 2 Sbarsize Skey 2 print lt TD ALIGN CENTER VALIGN BOTTOM gt n print lt I gt Shours Skey lt I gt lt BR gt n als einspaltige Tabelle mit variabler Hoehe realisiert print lt TABLE BORDER 0 BGCOLOR scolor n print HEIGHT Sbarsize key WIDTH 10 gt n print lt TR gt lt TD gt amp nbsp lt TD gt lt TR gt lt TABLE gt n print lt TD gt n print lt TR gt n lt TR gt n foreach key 0 23 print lt TH ALIGN CENTER gt Skey lt TH gt n print lt TR gt n lt TR gt n print lt TH ALIGN CENTER colspan 24 gt Uhrzeit lt TH gt n print lt TR gt n print lt TABLE gt n print lt TD gt lt TR gt lt TABLE gt n lt P gt n sub by
339. finden sich verschiedene Icons die folgende Bedeutung ha ben m Home Hier haben Sie Zugriff auf die mitgelieferten Hilfedateien zu den ein zelnen Samba Programmen Globals Alle Parameter der Sektion global aus der smb conf k nnen hier schnell per Mausklick ver ndert werden Neben jedem Einstellknopf befindet sich zus tzlich ein Feld mit der passenden Hilfestellung Sobald man auf den Knopf commit changes am Anfang der Seite klickt werden die Einstellun gen in die smb conf geschrieben und sind ohne Neustart der Samba Server Prozesse sofort verf gbar m Shares Wie der Name schon sagt k nnen hier einzelne File Shares ver ndert oder neu angelegt werden um den Windows Benutzern Plattenplatz des Samba Servers zur Verf gung zu stellen m Printers Hier wird der Zugriff auf die erreichbaren Drucker geregelt Benutzername und Kennwort erforderlich ES Benutzernamen eingeben f r SWAT bei aella 901 Benutzemame muster Abbrechen Abbildung 9 17 Benutzer Login bei SWAT Status Dieser Men punkt gibt dem Administrator die M glichkeit sich schnell ber den Status seines Samba Servers zu informieren Unter anderem wird hier angezeigt welche Dateien gerade ge ffnet sind und wie viele Benut zer von welchen Rechnern derzeit auf den Samba Service zugreifen View Mit diesem Punkt kann man jederzeit kontrollieren wie die smb conf derzeit aussieht Dazu gibt es zwei Einstellungsmodi Standardm ig wird
340. fo die zu senden w re m R ckmeldungen im Bereich 3xx weisen auf Aktionen hin die der Client nor malerweise automatisch ausf hren mu um eine Anforderung zu erf llen 301 Moved Den angeforderten Daten wurde auf Dauer eine neue URL zugewiesen Die Antwort enth lt eine Headerzeile der Form URL neue url 302 Temporarily_Moved Den angeforderten Daten wurde zeitweise ei ne neue URL zugewiesen Die Antwort enth lt eine Headerzeile der Form URL neue url 303 Method Entweder eine andere Netzwerkadresse oder eine andere Methode als GET verwenden Im Body befinden sich weitere Infos zu den Parametern 122 4 WWW Server Apache 304 Not Modified Antwort auf bedingte GET Anweisung wenn das Dokument unver ndert ist m R ckmeldungen im Bereich 4xx weisen auf scheinbare oder echte Fehler beim Client hin Der Body kann ein HTML Dokument enthalten das den Fehler n her beschreibt 400 Bad Request Anforderung hat falsche Syntax oder kann nicht be dient werden 401 Unauthorized Unzul ssige Zugriffsberechtigung falscher Hea der 402 Payment Required Ung ltiges Verrechnungsschema 403 Forbidden Anforderung verboten 404 Not Found Der Server hat nichts gefunden was der angegebenen URL entspricht Tippfehler Seite gel scht m R ckmeldungen im Bereich 5xx verweisen auf Fehler beim Server Der Body kann ein HTML Dokument enthalten das den Fehler n her beschreibt 500 Internal Error In
341. form method get action CGI gt lt input type hidden name config value CONFIG gt lt input type hidden name restrict value RESTRICT gt lt input type hidden name exclude value EXCLUDE gt Treffer METHOD Anzeige Format FORMAT Sortiert nach SORT lt br gt Suche nach lt input type text size 30 name words value WORDS gt lt input type submit value Suche gt lt select gt lt hr noshade size 1 gt lt a href http www htdig org gt lt img src htdig htdig gif border 0 gt ht Dig VERSION lt a gt lt body gt lt html gt 210 5 Die lokale Suchmaschine COMMON DIR syntax html Beispiel HTML Dokument das ausgegeben wird wenn der User einen ung lti gen logischen Ausdruck angibt Sie enth lt einen Hilfe Text Beispiel lt html gt lt head gt lt title gt Resultate der Suche nach WORDS lt title gt lt head gt lt BODY TEXT 000000 BGCOLOR FFFFFF LINK 0000FF VLINK FFOOFF ALINK FF0000 gt lt h2 gt lt img src devil gif gt Fehler bei der Suche nach LOGICAL_WORDS lt h2 gt lt p gt Der eingegebene Ausdruck ist leider fehlerhaft Der logische Ausdruck muzlig lt b gt wahr lt b gt ergeben damit die Suchmaschine ihn verwenden kann lt p gt Es k amp ouml nnen die Operatoren AND OR oder NOT sowie runde Klammern verwendet werden Die Anzahl der amp 0uml ffnenden und schliesszlig enden Klammern mu
342. ft bildet die Netzwerk oder Internet Anbindung den Performance Flaschenhals des Webservers Setzen wir einmal den Datenflu eines Webservers in Bezug zur Bandbreite so lassen sich mit einer 128 KBit Standleitung gerade einmal sieben bis acht Requests pro Sekunde bedienen wenn pro Request zwei KByte gesendet werden sollen Der Wert vermindert sich noch durch den TCP IP und Netzwerk Overhead Selbst mit einer 2 MBit Leitung sind nach dieser Rechnung lediglich ca 100 Hits pro Sekunde beantwortbar das sind 360 000 Requests pro Stunde Diese Zahl stellt aber keinen Mittelwert dar sondern das Maximum Wenn ein Webserver tats chlich mehr als 300 000 Requests in einer Stunde beantworten mu k nnen die Spitzenwerte das Zwei oder Dreifache betragen Man mu also die Leitungskapazit t genau einsch tzen 4 8 1 Hardware Tuning Der wichtigste Punkt bei der Hardwareausstattung des Webservers ist nicht der verwendete Prozessor Ein Pentium II mit 300 MHz d rfte f r die meisten Sites mehr als ausreichen Viel wichtiger ist der Hauptspeicher Die Server Performance l t sich durch den Ausbau des RAM oft wesentlich effektiver steigern als durch ein Prozessor Upgrade Der Grund daf r liegt darin da Zugriffe auf den Haupt speicher etwa um den Faktor 1000 schneller sind als Festplattenzugriffe Erstes Ziel sollte es also sein daf r zu sorgen da der Webserver niemals anf ngt zu swappen Der genaue Wert des ben tigten Speichers h ngt von der
343. ftpd o o o o o ooo 110 3 4 8 Die Verwaltungswerkzeuge o o 113 3 5 Der oftp Daemon se s arois 4 ru wi aaa dee ee 114 Inhaltsverzeichnis 7 4 WWW Server Apache 117 4 1 HTTP Hypertext Transfer Protocol 117 4 1 1 Struktur der HTTP Botschaften 118 4 1 2 Allgemeinfelder des Botschaftskopfes 118 4 1 3 Anfragen EE NR E A Oe EE NEE IT A as 119 4 1 4 Felder einer komplexen Anfrage 119 4 1 5 Fragemethoden 120 4 1 6 Return Codes eines WWW Servers e 121 42 Apache als WWW Server 2 222222 een 122 4 3 Installation des Apache 123 44 Konfiguration des Apache 126 4 5 Access Control List File htaccess 2222 00 131 4 6 Common Gateway Interface CGI 2 2 2 2 134 4 6 1 Exec Rechte e 135 4 6 2 Programmqualit t 136 4 6 3 Shell Metazeichen im Programmaufruf 136 4 6 4 Daten f r CGl Skripte oo oo 137 4 7 Server Side Includes Gi 138 4 8 Server TUNING oe wea EN ET en e en 139 4 8 1 Hardware Tuning 2 eede a aE ee 139 4 8 2 Server Konfiguration 2 2 0 0 000000 0004 140 4 9 Server Uberwachung sie ih ah AOS eh Gets tes at eae E 141 4 10 Virtuelle Server oeieo eeg e 142 4 10 1 Rechnerkonfiguration o oo e 143 4 10 2 Schon wieder Sendmail 145 4 10 3 Virtuelle WWW Server o o o 0 146 ATI Server infos
344. g Z besitzen komprimiert wenn sie es noch nicht sind Die Tabelle 3 3 gibt eine bersicht der einzelnen Felder aus denen die Zeilen der Datei aufgebaut sind Die formale Syntax der Eintr ge in der ftpconversions Datei sieht folgender ma en aus feld 1 feld 2 feld 3 feld 4 feld 5 feld 6 feld 7 feld 8 Tabelle 3 3 Felder der Datei FTPCONVERSIONS Feld Bezeichnung Erkl rung 1 strip prefix Das Pr fix des ausgew hlten Dateinamens das die Konvertierung triggert derzeit nicht unterst tzt 2 strip postfix Das Suffix des ausgew hlten Dateinamens das die Konvertierung triggert 3 addon prefix Das der konvertierten Datei hinzugef gte Pr fix derzeit nicht unterst tzt 4 addon postfix Das der konvertierten Datei hinzugef gte Suffix 5 externalcommand Der auszuf hrende Befehl mit s mtlichen Optio nen entsprechend dem Pr fix oder Suffix das vom Benutzer zum gew nschten Dateinamen hinzu gef gt oder von ihm entfernt wird s wird durch den Namen der gew nschten Datei ersetzt 6 types Die Art des Objekts die durch den Dateinamen be stimmt wird einschlie lich T ASCII f r eine Text ASCH Datei T DIR f r ein Verzeichnis und T REG f r eine nicht aus Texten bestehende Datei 7 options St tzt sich auf ftpaccess um die Art des aus gef hrten Befehls zu definieren und um zu bestim men ob der Benutzer das Recht hat solch einen Be fehl auszuf hren 8 description
345. g besonders gesichert sind sich oder einem anderen beschafft wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft Paragraph 263a Computerbetrug 1 Wer in der Absicht sich oder einem Dritten einen rechtswidrigen Verm gensvorteil zu verschaffen das Verm gen eines anderen dadurch besch digt da er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms durch Verwendung unrichtiger oder unvollst ndiger Daten durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beinflu t wird mit Freiheitsstrafe bis zu f nf Jahren oder mit Geldstrafe bestraft 13 1 Grundlegendes 361 m Paragraph 303a Datenver nderung 1 Wer rechtswidrig Daten l scht unterdr ckt unbrauchbar macht oder ver ndert wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe be straft m Paragraph 303b Computersabotage 1 Wer eine Datenverarbeitung die f r einen fremden Betrieb ein fremdes Unternehmen oder eine Beh rde von wesentlicher Bedeutung ist dadurch st rt da er 1 eine Tat nach Paragraph 303a Abs 1 begeht oder 2 eine Datenverarbeitungsanlage oder einen Datentr ger zerst rt besch digt oder unbrauchbar macht beseitigt oder ver ndert wird mit Freiheitsstrafe bis zu f nf Jahren oder mit Geldstrafe bestraft Bundesgesetz ber den Datenschutz DSG vom 19 Juni 1992 Verordnung zum Bundesgesetz ber den Datenschutz VDSG vom 14 Juni 1993
346. gWFYgVmVyc21vbiAzLjAwICBSZXY6 Les se78SaxeW70z3zeW33tgqgqu7 AHtv3qyaKmOGox 96MSeSTUUUVUUFFFFABRRR RZAFFFFABRRRTAKKKKACiiigAooooA 2Q 8323328 2120168431 824156555 325 Mit dem Feld Content Type wird der Inhalt eines Briefes beschrieben Im Kopf des Briefes legt das Feld Content Type den Aufbau des ganzen Briefs fest Das Stichwort Multipart signalisiert da der Brief aus mehreren Teilen besteht Der Untertyp von Multipart Mixed liefert den Hinweis da der Brief aus heteroge nen Teilen besteht Der erste Teil dieses Beispiels besteht denn auch aus Klartext und der zweite Teil enth lt ein Bild Die einzelnen Teile des Briefes werden durch eine Zahlenkombination eingegrenzt die im Kopf des Briefes im Feld Bounda ry festgelegt wurde Diese Grenze Boundary ist nichts weiter als eine eindeutig identifizierbare Zeichenfolge anhand derer die einzelnen Teile einer E Mail un terschieden werden Ein MIME konformes Post Programm sollte anhand dieser Informationen jeden einzelnen Teil ad quat darstellen k nnen Im Feld Content Type k nnen sieben verschiedene Typen festgelegt werden die jeweils bestimm te Untertypen zur genaueren Beschreibung des Inhalts umfassen m text plain enriched html multipart mixed alternative parallel digest message rfc822 partial m image jpeg gif m audio basic 68 2 E Mail Server m video mpeg m application octet stream PostScript active Die Typen
347. geben Die Datei root fetchmailrc darf und soll nur f r den Benutzer lesbar sein der die Mails abholt da sie die Pa w rter im Klartext enth lt also chmod 600 root fetchmailrc Wenn man auf mehreren POP3 Servern seine Post hat ist es kein Problem mit einem weiteren Eintrag von den anderen Rechnern die Post zu holen und an denselben lokalen Benutzer weiterzuleiten F r alle Benutzer auf dem lokalen System wird jeweils ein weiterer Eintrag in der fetchmailrc angelegt Jetzt k nnen Sie die Mails mit dem folgenden Kommando testweise abholen fetchmail v a keep nosyslog gt gt var log fetchmail 2 gt amp 1 Die keep Option sorgt beim Test daf r da die Mails auf dem Server nicht gel scht werden In var log fetchmail wird entsprechend protokolliert ohne v wird nur das Allerwichtigste eingetragen 2 4 Mail holen mit Fetchmail 93 Fetchmail l t sich mit folgenden Optionen starten a Es werden alle noch beim Provider befindlichen E Mails bertragen Stan dardeinstellung ist nur die neuen E Mails zu bertragen k Alle bertragenen E Mails werden als Kopie auf dem Mailserver beim Pro vider belassen Normalerweise werden alle abgeholten E Mails entfernt K Alle bertragenen E Mails werden auf der Serverseite gel scht F Alle alten bereits fr her bertragenen E Mails werden auf dem POP IMAP Server gel scht Vorsicht Wird fetchmail unterbrochen werden beim n chsten Programmstart eventuell
348. gel wird ausgef hrt wenn die vorangegangene Regel nicht aus gef hrt wurde m e Diese Regel wird ausgef hrt wenn die vorangegangene Regel zwar aus gef hrt aber mit einem Fehler abgebrochen wurde 88 2 E Mail Server b Der Rumpf der Nachricht wird an den Befehl weitergegeben m f Der Befehl wird als Filter interpretiert m c Generiert eine Kopie von der Nachricht m w Wartet auf den Befehl finish um dann das Programm zu verlassen m W Wie die vorhergehende Option gibt aber im Falle eines Fehlers keine Nach richten aus m i Ignoriert m gliche Tippfehler m h Die Kopfzeile wird an den Befehl weitergegeben m r Schreibt die Nachricht so wie sie ist Pr ft nicht ob sie mit einer Leerzeile endet Es lassen sich auch mehrere Optionen zusammen anwenden In der zweiten Zeile einer Regel folgt die Bedingung beginnend mit einen Stern 7 gefolgt von re gul ren Ausdr cken die festlegen nach welcher Zeichenkette in der E Mail ge sucht werden soll Es d rfen mehrere Bedingungen angegeben werden die dann UND verkn pft werden Nach den Bedingungen folgt die Aktion die ausgef hrt wird wenn die Bedin gungen zutreffen Hier gibt es nur vier M glichkeiten m E Mail Adresse Leite die Nachricht an die angegebene Adresse weiter m Programm Starte das Programm oder Skript mit der Nachricht als Standar deingabe m Dateiname Speichere die Nachricht in der angegebenen Datei m dev null Versen
349. gen der Mailagent kann sich dann die echte Adresse besorgen und die Nachricht zustellen Animated GIF GIF Variante bei der mehrere Einzelbilder in einer Datei gespei chert sind und film hnlich hintereinander ablaufen Anonymous Anonymer Zugriff auf einen Server z B ftp WWW oder News ohne speziellen Account 402 A Glossar Anonymous FTP Form von FTP bei der es nicht n tig ist da der Benutzer beim Host angemeldet ist Meistens gen gt auch die Angabe der E Mail Adresse anstelle eines Pa worts ANSI American National Standards Institute Organisation in Amerika die Standards herausgibt hnlich wie das DIN Institut in Deutschland Applet In Java geschriebenes Programm das der Browser automatisch vom Ser ver l dt und ausf hrt Archie Ein Archie ist ein Internetserver der eine Datenbank von verf gbaren Dateien auf ftp Servern im Internet bereith lt ARP Address Resolution Protocol In einem Netzwerk liefert ARP die Zuord nung zwischen einer IP Adresse und der Hardwareadresse einer Netzwerk schnittstelle ARPAnet Ein Vorl ufer des heutigen Internet benannt nach der Abk rzung der Advanced Research Projects Agency einer Unterbeh rde des US Verteidigungsministeriums ASCII American Standard Code for Information Interchange amerikanischer Zeichencode zum Informationsaustausch Der meistverwendete Code in der Datenkommunikation ASCII ist ein 7 Bit Code Da heutzutage die Parit t bei Daten bertra
350. gen die er nicht be antworten kann an den Server der Dom ne irgendnedomain de weiterleiten soll Dazu kennt er dessen Adresse die in unserem Beispiel 192 168 13 15 lau ten soll Auch dieser Server kennt die gew nschte Adresse nicht also beginnt er die Zieladresse von hinten her zu zerlegen Am Ende des Namens steht die Top Level Domain de also wird einer der Server am Stamm des DNS Baumes Root Server gefragt wer f r die Verwaltung der de Domain zust ndig ist Der Root Server liefert daraufhin die passende Adresse des Top Level Servers Der Server von irgendnedomain de kann nun diesen Rechner pers nlich nach der Adresse von http www VereinGegenZuLangeDomainnamenEV de fragen Der Top Level Server hat seinerseits die gew nschte Information nicht vorr tig und liefert lediglich die Adresse des DNS Rechners der f r vereingegenzulangedomainnamenev de verantwortlich zeichnet Auch dieser Rechner wird nun nach der gew nschten Adresse gefragt Er besitzt eine Tabelle in der der Computer namens www verzeichnet ist und liefert schlie lich dessen IP Nummer Diese Nummer wird nun an den Klienten rechner pc0815 subdomain irgendnedomain de weitergegeben und die entsprechende HTML Seite kann im Browser des Anwenders geladen werden Um unn tzen Netzwerkverkehr zu vermeiden besitzt jeder DNS Server einen ei genen Zwischenspeicher f r vorangegangene Abfragen der als DNS Cache be zeichnet wird Im obigen Beispiel sind im Cac
351. gen die HTML Dateien im common Verzeichnis siehe unten 5 10 Die Konfiguration von htDig Alle wichtigen Programme also htdig htmerge htsearch htfuzzy und htnotify greifen auf die Konfigurations Datei htdig conf zu Alle nderun gen Einstellungen von Variablen Werten und Attributen wirken sich also unmit telbar auf die Funktionalit t der Search Engine aus und beeinflussen ma geblich ihr Verhalten 5 10 1 Die Datei htdig conf htdig conf ist eine ASCH Datei Jede Zeile in dieser Datei ist entweder ein Kommentar oder ein Befehls Attribut Kommentar Zeilen sind entweder Leerzei len oder beginnen mit einem Zeichen Attribute bestehen aus dem Variablen Namen und einem dazugeh rigen Wert lt Name gt lt Whitespace gt lt Wert gt Name besteht aus einer Folge alphanumerischer Zeichen oder Underlines _ Wert kann eine beliebige Zeichenfolge sein Beispiel start_url http www netzmafia de Attribut Werte k nnen sich ber mehrere Zeilen erstrecken wenn die Zeile mit einem Backslash abgeschlossen wird Beispiel start_url http www fh muenchen de http www netzmafia de 204 5 Die lokale Suchmaschine Wenn ein Programm einen bestimmten Parameter ben tigt ihn aber in htdig conf nicht vorfindet dann greift dieses Programm auf die eincom pilierten Voreinstellungen Quelldatei default cc zur ck htdig conf erlaubt das Einbinden einer externen Datei unter Verwendung des include Attributes Beispiel
352. glisten einrichten 339 listenname archive erstellen nkdir listenname archive Eigent mer und Gruppe des Verzeichnisses sind mdon und mdom Nun ist alles fertig Nach einem Test k nnen Sie die Liste allgemein bekanntma chen 11 3 6 Listen Administration per E Mail Beim Anlegen Ihrer Liste haben Sie eine Beschreibung eine Kurz Info admini strative Eigenschaften der Liste und das Pa wort zur Listen Administration fest gelegt Sind im Verlauf des Listen Lebens nderungen n tig k nnen Sie diese per E Mail veranlassen Beschreibung ndern Diese Informationen erhalten Teilnehmer beim Sub skribieren der Mailing Liste oder beim Anfordern via intro liste Diese Beschreibung k nnen Sie ndern mit newintro liste passwort Neue Beschreibung Als neue Beschreibung wird der Text bis zum Ende der Mail oder bis zur Zei chenkette EOF in einer eigenen Zeile verwendet Kurz Info ndern Die Information erhalten Benutzer mit dem Kommando info liste Diese Info k nnen Sie ndern mit newinfo liste passwort Neue Info Als neue Kurz Info wird der Text bis zum Ende der Mail oder bis zur Zeichen kette EOF in einer eigenen Zeile verwendet m Eigenschaften ndern Sie fordern die aktuelle Konfiguration Ihrer Liste an config liste passwort Sie erhalten per E Mail die kommentierte Konfigurations Datei Speichern Sie diese in einer Datei und bearbeiten Sie diese entsprechend Ihren W nschen S
353. graded to vii Weitere Ausreden finden Sie unter http ausredenkalender informatik uni bremen de kalender Index Symbole fetchmailrc 2222c22ccee nn 90 Forward unser eat 77 htaccess ans 129 148 215 procmailre nenn ANEREN ees 85 Profile unseren 288 etc aliases 75 327 329 336 349 ete at allow oooooommo 384 Fetc at deny enee eeneg 384 etce cron allow 384 a unse nen 384 Fetc dhep conf dessen 316 Fetcfexpotts sul 59 Fete ftpacceess nn nie 106 etc ftpconversions 105 eic ftpusers unseren 104 Jetc hostS cece eee eee 43 44 etc hosts allow 384 felc hipd u euer 123 ete inetd conf 22222222 100 ete inittab oooooooooo 387 etc mail userdb 80 ete named conf 265 267 ete networks 44 fete printcap care 294 etc protocols ee EEN 47 fete re config anna nenn 141 etc resolv conf ooooooooooooo 44 etc sendmail cf 68 70 71 etc sendmail mc 70 Jete Services 44 fete shutmsg ee 110 Fete ske l u a 287 ete smb conf 222222222 278 sendmail rc config 70 usr lib majordomo 329 var lib majordomo 329 var log mail 2 2 82 var named ccc cece eee 262 var named 127 0 0 rev 264 ete named conf 270 A ACCESS CONE sar een 124 127 access db ooooooo
354. gramme nur unter geringen Rechten laufen niemals als Root Programme Wenn dennoch die Notwendigkeit besteht da CGI Programme mit h herer Be rechtigung laufen m ssen sollte man sich berlegen ob es nicht ausreicht vom CGI Programm aus eine Auftragsdatei zu erzeugen die dann von einem privi legierteren Programm per cron Mechanismus regelm ig abgearbeitet wird Zum einen sind nur wenige Aktionen die per Web Interface ausgel st werden so zeit kritisch da es nicht f nf Minuten sp ter fr h genug w re Zum anderen kann das eigentliche Bearbeitungsprogramm die Eingaben nochmals vielleicht genau er pr fen und gegebenenfalls strittige Auftr ge per E Mail an einen Bearbeiter verweisen Eine andere M glichkeit CGI sicherer zu machen ist ein sogenannter Wrapper Dabei handelt es sich um ein Programm das es erm glicht Programme in einer Skript Sprache Shell Perl etc mit h herer Priorit t auszuf hren Skripte lassen sich aus Sicherheitsgr nden nicht mit einem SUID oder SGID Bit versehen Das Wrapper Programm wird in C geschrieben und liegt als Executable vor In ihm sind alle Pfade und Skript Aufrufe fest eincompiliert In der einfachsten Form be steht ein Wrapper nur aus wenigen Programmzeilen Der system Aufruf erledigt die eigentliche Arbeit Der darauffolgende syslog Call nimmt Ihnen die Arbeit ab eine eigene Protokolldatei f r das Wrapper Programm zu f hren include lt stdio h gt include lt
355. gspunkt BASE angepa t werden usr bin perl use strict Init Variable Basis Verzeichnis ist die DOCUMENT ROOT my SBASE SENV DOCUMENT_ROOT des WWW Servers Logdatei wird im Basisverzeichnis angelegt oder wo man will Wichtig Sie muss Schreibrecht fuer die User ID besitzen unter welcher der WWW Server laeuft z B wwwrun my SLOGFILE SBASE search log Variablen der Suchmaschine my listdirs 0 1 dirs Parameter wurde angegeben my Sexdirs 0 1 exdirs Parameter wurde angegeben my Snumberreturned 0 Anzahl Fundstellen my directories in dirs aufgefuehrte Directories my excldirs in exdirs aufgefuehrte Directories my search Suchbegriff e my Sdir aktuelles Directory aus directories my i 0 Schleifenzaehler my sein Hash fuer Formulareingaben my input Eingabestring my Sname name value Paar aus dem EIngabestring my value Eingabestring lesen POST Methode read STDIN input SENV CONTENT_LENGTH Splitten der name value Paare foreach split amp Sinput Sname 1 Svalue 2 value s g value s a fA F0O 9 a fA F0 9 pack C hex 1 eg Sein name value Parameters bearbeiten Suchbegriffe search split Snumberreturned 0 Sein searchvalue angegebene Directories im Array directories speichern gegebene
356. gt ist Schaden anzurichten Oft reicht eine fehlende Sicherheits abfrage auf die unabsichtlich oder aus Bequemlichkeit vergessen wurde Deshalb sollten bei CGI Programmen grunds tzlich alle Eingaben als b se betrachtet werden Zu bedenken ist auch da der Angreifer nicht unbedingt das entworfe ne Formular ausf llen mu Er kann seine Eingaben f r das CGI Programm auch direkt in der URL Zeile des Browsers t tigen Dazu geh ren alle Parameter die dem CGI Skript bergeben werden also alle GET POST oder COOKIE Parameter der HTTP_REFERER der HTTP_USER_AGENT und alle weiteren Werte von au en Alle diese Werte m ssen vor der Verwendung durch ein CGlI Skript eine G ltigkeitspr fung durchlaufen in der sichergestellt wird da die Daten auch das erwartete Format haben und g ltige Werte besitzen Zum Beispiel ist es g ngige Praxis da bestimmte Skripte Werte nur dann akzeptieren wenn bei der bergabe der HTTP_REFERER des Aufrufes korrekt ist Auf diese Weise versucht sich das Skript gegen gef lschte Aufrufe zu sch tzen Nat rlich ist es f r einen poten tiellen Angreifer berhaupt kein Problem au er den Skriptparametern auch noch jeden gew nschten HTTP_REFERER mit zu bergeben der Schutz ist 13 8 Den Server sicherer machen 391 also wirkungslos Korrekt w re wenn das Skript jeden bergebenen Parameter einzeln pr ft Eine andere h ufig verwendete Technik besteht darin Param
357. gten HTML Dateien geschrieben werden Ist das Verzeichnis nicht vorhanden wird es angelegt sofern Hyper mail die entsprechenden Rechte besitzt Wird nichts angegeben wird ein Ver zeichnis erzeugt das den gleichen Namen wie die Mailbox hat Zum Beispiel d opt www htdocs hypermail iis c gibt die Lage einer Konfigurationsdatei an Diese ist nicht unbedingt n tig da die Voreinstellungen von Hypermail ganz brauchbare Ergebnisse liefern Will man nur wenige Voreinstellungen ndern kann man auch entsprechende Umgebungsvariablen setzen Fehlt die Angabe versucht Hypermail auf eine Datei namens hmrc im Homedirectory des Benutzers zuzugreifen Archiveigenschaften Sieben weitere Parameter legen die Daten des erzeugten Archivs fest m l legt den Namen des Archivs fest Der Name taucht auch in den erzeugten HTML Dateien auf Zum Beispiel 1 Linux Serverbuch Archiv m a erlaubt die Angabe eines Hyperlinks der als Other mail archives in den erzeugten HTML Dateien auftaucht Hier kann auf eine HTML Datei verwie sen werden in der sich Links auf andere angebotene Mailarchive befinden m b erlaubt die Angabe eines Hyperlinks der als About this archive in den er zeugten HTML Dateien auftaucht Hier kann auf eine HTML Datei verwiesen werden in der sich eine Beschreibung des Archivs Sinn und Zweck befindet m s legt das Suffix der erzeugten HTML Dateien fest Voreingestellt ist html Eventuell will man aber mit s
358. gungen nur noch selten benutzt wird bleibt das achte Bit frei Deshalb wird der Code h ufig um landesspezifische Umlaute erweitert ATM Asynchronous Tranfer Mode Sehr schnelles auf ISDN basierendes ber tragungsverfahren bei dem der Datenstrom in Pakete unterteilt wird Attachment Anhang bin re Datei die als Anlage mit einer E Mail mitgeschickt wird AU Audioformat urspr nglich von Sun definiert Backbone Der Backbone engl f r R ckgrat ist die Hauptstra e eines Netz werks ber das B werden einzelne Teilnetze miteinander verbunden Im Ge gensatz zu den einzelnen Teilnetzen werden im B keine Stationen angeschlos sen Backslash R ckw rts Schr gstrich auf der Tastatur Bandbreite Ein Kommunikationskanal hat eine bestimmte Bandbreite das heift es kann nur eine begrenzte Menge von Daten pro Zeiteinheit und auch absolut bertragen werden Datenmengen die ber dieses Limit hinausge hen verkraftet ein Kanal nicht Kommunikation wird dann nur noch schwer m glich oder bricht v llig zusammen Banner Werbebalken auf einer Webseite es gibt aktive Banner mit Hyperlink zum Angebot eines Werbetreibenden im Internet sowie statische Banner ohne Link A Glossar 403 Baud Anzahl der Statusver nderungen eines Mediums bei der Daten bertra gung Ein Modem mit 14 400 Baud ver ndert das Signal das es an die Tele fonleitung abgibt 14 400 mal pro Sekunde Jede Ver nderung kann die bert ragung
359. h rigkeit einen DNS Reverse Lookup vornimmt Das hei t er versucht mit einer Named Server Abfrage die IP Nummer des Klienten den Rechnernamen und Dom nennamen zu holen Das funktioniert nat rlich nur wenn es berhaupt einen DNS Server f r die lokale Dom ne gibt und der ent sprechende Rechner auch in dessen Tabellen eingetragen ist F r viele klei ne Netze ist das nicht der Fall Entweder gibt es keinen DNS oder nicht alle Rechner sind im DNS eingetragen Daher sollte man in solch einem Fall den Typ src statt sredomain verwenden um sicher alle Rechner im lokalen Netz angeben zu k nnen m dstdomain Syntax acl Name dstdomain Dom nenname Dieser Typ entspricht dst mit dem Unterschied da hier statt IP Nummern Dom nennamen angegeben werden m ssen Diesen Typ k nnen Sie beson ders gut zum Sperren des Klienten Zugriffs auf einschl gige Server verwen den Ist Ihr Proxy in eine Firewall integriert und damit kein Direktzugriff der lokalen Rechner auf das Internet m glich kann damit jeglicher Zugang zur angegebenen Dom ne verhindert werden Viele Administratoren gro er Fir menproxies f hren lange Listen von Dom nen Namen in dieser Form auf um damit insbesondere an Freitagnachmittagen die Netzlast wesentlich zu mini mieren Beispiel acl boesesnetz dstdomain einschlaegig com Alle Server der Dom ne einschlaegig com werden unter dem Namen boesesnetz zusammengefa t Mit der Zeile http_access deny boesesnetz wird der Z
360. h t wichtige Servereinstellungen z B Servertyp stand alone inetd Portnummer Server Root Verzeichnis Servername vir tuelle Hosts usw m srm conf Hier geht es um die Darstellung der Daten z B Dokumenten Root Verzeichnis User Directories Verzeichnis Aliase etc m access conf In dieser Datei werden Zugriffsbeschr nkungen vorgenom men z B auf bestimmte IP Nummern oder Benutzer Gruppen mit Pa wort m mime types Zuordnung von Dateitypen Endungen zu MIME Typen Diese Datei wird nur ge ndert wenn neue Typen hinzukommen Die Dreiteilung in httpd conf srm conf und access conf hat historische Gr nde Man kann auch alle Angaben in der Datei httpd conf unterbringen Wir empfehlen nur eine Konfigurationsdatei zu verwenden deren Wartung dann einfacher und bersichtlicher ist Basisdateien f r die Konfiguration finden Sie im Apache Quellbaum im Verzeich nis conf als httpd conf dist srm conf dist und access conf dist Dort ist auch die Datei mimie types zu finden Kopieren Sie alle Dateien in das Konfigurationsverzeichnis etc httpd und benennen Sie diese dann um Dann k nnen Sie auch gleich die Inhalte von srm conf und access conf in httpd conf einverleiben sem conf und access conf k nnen dann gel scht werden oder bleiben leer Abh ngig von den eingebundenen Modulen stehen eine Vielzahl von Eintr gen zur Verf gung Da ein Aufz hlen aller M glichkeiten den Rahmen dieses Buchs sprengen w rde werden hier nur die wi
361. h Schreibrecht darf nirgendwo existieren Nachdem nun die Verzeichnisstruktur erzeugt ist m ssen noch einige Dateien angelegt werden die Unix zum Betrieb ben tigt Im Verzeichnis bin mu sich von den ausf hrbaren Programmen nur der Is Befehl befinden Im etc Verzeichnis befinden sich die Pa wortdatei und die Gruppendatei Die Dateien passwd und group sind Spieldateien in der lediglich die Eigent mer der Dateien im FTP Verzeichnis eingetragen sind damit beim ls Kommando nicht nur numerische User und Gruppen IDs angezeigt werden In passwd sollen nur diejenigen Eintr ge erscheinen die f r den Anonymous Betrieb sinnvoll sind root 0 0 bin false bin x 2 2 bin false ftp 40 100 bin false 3 4 Konfiguration 105 ftpadm 99 100 bin false Auch etc group hat nur wenige Eintr ge users x 100 root bin 2 root root 0 root In das 1ib Verzeichnis kommen alle ben tigten Libraries was bei manchen Dis tributionen nicht immer vollst ndig geschieht Sie k nnen mit dem Komman do ldd lt Programmname gt feststellen welche dynamischen Bibliotheken ge braucht werden Diese kopieren Sie dann nach 1ib Deutliches Zeichen da noch etwas fehlt ist z B keine Dateianzeige bei 1s Abschlie end sind f r den gesamten Verzeichnisbaum noch geeignete Zugriffs rechte und Eigent mer zu setzen Die Dokumentation schl gt hier Vorgabewerte vor die in der folgenden Tabelle 3 2 aufgelistet sind und die man
362. h make und make install Vor dem endg ltigen Umstieg m ssen Sie auch auf jeden Fall pr fen ob die bis her verwendeten Zusatzmodule bereits stabil f r die Version 2 des Webindianers verf gbar sind oder ob eine passende Alternative existiert Bei Apache eigenen Modulen sollte es keine Probleme geben da hier die gesamte Funktionalit t der alten Module ggf unter neuem Namen zur Verf gung steht Es sind sogar neue Module hinzugekommen Fremdanbieter sind da oft noch nicht so weit Insbe sondere die beliebten Module mod_perl und mod_php befanden sich bei Druck legung dieses Buchs noch im Betastadium Tabelle 4 2 Unterschiede zwischen Apache 1 3 und 2 0 Version 2 0 Version 1 3 e Apache 1 3 ist sogenannter Preforking Server der gestartete Prozess legt zu Beginn eine in der Konfigurationsdatei festgelegte An zahl Kopien von sich selbst an welche dann auf Anfragen warten e Seit der Version 1 3 wurde der Apa che auf die Windows Plattform por tiert e Das Kopieren laufender Prozesse ist unter Windows nicht m glich daher laufen unter Windows zwei Prozes se einer ist f r die Beantwortung der HTTP Anfragen zust ndig der ande re berwacht diesen um ihn im Fall ei nes Absturzes neu zu starten e Innerhalb des ersten Prozesses lau fen mehrere Threads die die Anfragen bearbeiten e Um dieses zu realisieren wurde im Code durch ifdef Anweisungen zwischen den beiden Versionen unter schieden und so
363. hUserFile or amp error Unable to open AuthUserFile flock data Sexlock data lt data gt flock data Sunlock close data foreach dat data chomp dat user pass split dat last if user eq admin Spass2 crypt input apassword JP unless pass eq pass2 print Falsches Administrator Passwort lt br gt print lt body gt lt html gt if Salert eq y 158 4 WWW Server Apache Stimenow localtime time open MAIL mailprog t or amp error Unable to open the mail program print MAIL To yourmail n print MAIL From yourmail n print MAIL Subject htpasswd Falsches Passwort n print MAIL Falsches Passwort fuer Htpasswd Admin eingegeben n print MAIL Information n n print MAIL SENV REMOTE_ADDR n print MAIL Password Srequest password n print MAIL Stimenow n close MAIL exit sub checkpasswd if input passwordl or Sinput password2 print Passwortfelder nicht leer lassen print lt body gt lt html gt n exit if Sinput passwordl ne Sinput password2 or input passwordl Sinput password2 print Die Passw amp ouml rter sind unterschiedlich print lt body gt lt html gt n exit Zum Skript geh rt das folgende HTML Formular Es m ssen nicht alle Daten f r jede Aktion eingegeben werden beim Anlegen eines neu
364. hat zwei M glichkeiten FTP mitzuloggen Man editiert die Datei etc ftpaccess oder die Datei etc inetd conf Letzteres ist einfacher ndern Sie die Datei wie folgt ftp stream tcp nowait root usr sbin tcpd in ftpd 1 L i o Die Option l sorgt daf r da jede FTP Sitzung im syslog protokolliert wird Wird das L Flag gesetzt werden bei Aufruf des ftp Servers alle USER Befehle mitpro tokolliert Die Option i bewirkt da alle Dateien die der FTP Server empf ngt in der Datei xferlog mitprotokolliert werden Durch die letzte Option o werden alle vom Server gesendeten Dateien in der Datei xferlog mitprotokolliert 13 8 Den Server sicherer machen 389 Server sch tzen Steht der Server nicht in einem verschlossenen Raum sollte man auch noch Floppy Laufwerk und CD ROM Laufwerk abklemmen Der Eindringling bringt m glicherweise seine eigene Boot Diskette oder Boot CD mit Dann hilft kein Pa wort und auch sonst nichts Wem das An und Abklemmen zuviel Stre bereitet der kann als High Tech L sung die Stromversorgung von beiden Ger ten ber einen zweipoligen Schl sselschalter f hren rotes und gelbes Kabel Dann lassen sich beide Ger te nach Bedarf aktivieren Wenn Sie gerade beim Abklemmen sind setzen Sie auch die Reset Taste au er Betrieb Ctrl Alt Del abschalten Auch der Affengriff Ctrl Alt Del mu abgeschaltet werden Ersetzen Sie in der Datei etc inittab die Zeilen what to do when CTRL ALT DEL is p
365. he des Name Servers der Dom ne irgendnedomain de die Adressen des Top Level Servers von de die des Servers von vereingegenzulangedomainnamenev de und schlie lich die des Computers mit dem Namen www innerhalb dieser Domain gespeichert wor den Tritt innerhalb eines gewissen Zeitraums eine weitere Abfrage nach der Adresse eines dieser Rechner auf wird sie nicht mehr an den zust ndigen DNS Server weitergeleitet sondern anhand der Eintr ge im Cache beantwortet 8 2 Installation und Konfiguration 263 Grunds tzlich unterscheidet man bei Name Servern drei Typen Cache Only Dieser Servertyp ist nicht f r die Verwaltung einer bestimmten Dom ne zust ndig Er besitzt keine eigenen Tabellen mit Rechnernamen au er einer Liste bergeordneter Name Server Seine einzige Aufgabe besteht darin berfl ssigen Netzverkehr zu minimieren Innerhalb des Caches speichert der Rechner alle Adressen zwischen nach denen innerhalb eines bestimmten Zeit raumes gefragt wurde Trifft eine erneute Abfrage nach diesen IP Nummern auf kann der Server schnell antworten ohne einen bergeordneten Rechner zu kontaktieren Wegen dieser Organisation wird ein solcher Server h ufig eingesetzt wenn nur eine sehr langsame Leitung zum Provider und damit ins Internet besteht Durch die Vermeidung doppelter Abfragen wird Bandbrei te auf der Zuleitung eingespart und steht f r echten Netzwerkverkehr zur Verf gung Damit lassen sich nebenbei auch Ko
366. heken m etc f r Pa wort und Gruppendatei pub f r das eigentliche Archiv m dev f r Ger tedateien m msgs f r Meldungsdateien Dar ber hinaus ist es m glich da bestimmte Betriebssysteme noch weitere Ver zeichnisse ben tigen Unter Linux stellt sich der Vezeichnisbaum folgenderma en dar total 7 S X X 2 root root 1024 Jan 25 18 01 bin dr xr xr x 2 root root 1024 Jan 25 18 01 dev d x x x 2 root root 1024 Jan 25 18 01 etc dr xr xr x 2 root root 1024 Jan 25 18 01 lib AESAF ALX 2 root root 1024 Jan 25 18 01 msgs 104 3 FTP Server dr xr xr x 2 root root 1024 Feb 3 15 58 pub d x x x 3 root root 1024 Nov 11 1999 usr bin total 1012 r xr xr xX 1 root root 233736 Nov 11 1999 compress r xr xr xX root root 366272 Nov 11 1999 1s r xr xr xX root root 427792 Nov 11 1999 tar dev total 0 crw rw rw 1 root root S 3 Nov 11 1999 null etc total 2 e e eg 1 root root 31 Apr 21 1996 group D 1 root root 38 Apr 21 1996 passwd lib total 0 msgs total 2 SIEHE 1 root root 61 Mai 7 1996 msg dead 1r r r 1 root root 661 Feb 3 16 13 welcome msg pub total 0 usr total 1 d X x xX 2 root root 1024 Jan 25 18 01 bin usr bin total 722 r xr xr xX 1 root root 365652 Nov 11 1999 gzip E E 1 root root 366272 Nov 11 1999 1s Gerade bei anonymem Zugriff spielen auch die Zugriffsrechte eine wichtige Rolle Keines der Verzeichnisse und keine der Dateien sollten dem User ftp geh ren Auc
367. hert F r den lokalen Server kann man die manuelle Methode als sogenannte Site map realisieren die den Benutzer zur entsprechenden Information f hrt F r die automatische Indizierung von Webseiten gibt es zahlreiche Programme von de nen wir Ihnen einige kurz vorstellen und eines ausf hrlich behandeln wollen m Intermediate Search ein in Perl geschriebenes CGI Skript das bei einer Anfra ge die Verzeichnisse des Webservers durchsucht und die Ergebnisse ausgibt Dieses System eignet sich nur f r geringe Dokumenten Best nde da bei jeder Anfrage alle Dateien erneut durchsucht werden m ssen Homepage http www xav com scripts search 186 5 Die lokale Suchmaschine m ICE Indexing Gateway Das ICE System besteht aus zwei Perl Skripts dem CGI Skript iceform pl f r die Suchanfrage und einem Skript zur Erstellung einer Indexdatei die dann von dem Suchskript als Basis f r die Suche benutzt wird Homepage http www informatik th darmstadt de neuss ice ice html WebGlimpse WebGlimpse besteht aus mehreren in Perl geschriebenen Skrip ten die zum einen das CGI Interface f r Glimpse GLobal IMPlicit SEarch zur Verf gung stellen und zum anderen die Indizes verwalten Das System selbst besteht aus einem Programm zur automatischen Indexierung glimpseindex sowie einem Suchprogramm Homepage http glimpse cs arizona edu webglimpse m Isite Information System Isite ist ein vollst ndiges Internet Informations
368. hm seine Dienste zur Verf gung stellt Dazu zwei Beispiele Unix Mailserver enthalten heute noch Funktionen um bei Ausfall eines an deren Mailservers dessen Funktion zu bernehmen Das bedeutet Man kann einem Mailserver von einem beliebigen Rechner aus Post zur Zustellung ber geben Relay Funktion Im Adre kopf steht als Absender immer der Mailser ver der die Post abgesendet hat M gliche Attacke auf den Server Ein B se wicht bergibt dem Server eine Mail mit Zigtausenden Adressaten zur Wei terversendung Massen Werbemails Im Kopf der Mail steht als Absender der unschuldige Mailserver dessen Administrator den rger bekommt Auch DNS Server stufen alle anderen DNS Server als vertrauensw rdig ein Damit ist DNS Spoofing m glich m Fehler und Sicherheitsl cken im Betriebssystem und den Serverprogrammen Ein typischer Betriebssystemfehler der ein Eindringen erm glicht ist der Buffer Overflow Dabei passiert folgendes Bild 13 1 Ein Server Programm legt seine Daten vor der Verarbeitung in einem Puffer Speicher ab Ein berlauf des Speichers wird aber nicht getestet und verhindert Das Programm des Angreifers berflutet gezielt den Puffer und ber schreibt damit die angrenzenden Speicherdaten Das Server Programm st rzt ab und hinterl t das aufrufende Programm das meist mit Administrator Berechtigung l uft 372 13 Server Sicherheit Puffer angrenzender Speicher Ich bin w
369. hnitt keine Spezialzeichen wird also genau so genommen wie er in der Datei steht Die eigentliche Macht von mod_rewrite liegt in den regul ren Ausdr cken Des halb nun ein etwas komplexeres Beispiel lt IfModule mod_rewrite c gt RewriteEngine on RewriteRule warengruppen gr 0 9 cgi bin shop cgi action show amp kat 1 lt IfModule gt Ein Dateipfad wie warengruppen 321 wird durch die Regel bersetzt in cgi bin shop cgi action show amp kat 321 Der Ausdruck erkennt Dateipfade bei denen warengruppen am Anfang steht und eine beliebige Anzahl von Zahlen da hinter Letzteres erreicht man mit dem Ausdruck 0 9 Auf Dinge die in ei ner Klammer stehen kann sp ter wieder zugegriffen werden Im Ersetzungs Teil geschieht dies mit 1 f r die erste Klammer im regul ren Ausdruck mit 2 f r die zweite Klammer usw Die folgende Regel f hrt dazu da beim Zugriff auf das Verzeichnis tralala ein HTTP Fehler 403 Forbidden kein Zugriff zur ckgeschickt wird RewriteRule tralala tralala forbidden Es gibt nicht nur forbidden u a sind auch die folgenden Optionen m glich m forbidden um den Zugriff zu verweigern wie schon gezeigt m gone f r nicht mehr existierende Seiten Sendet den Header 410 m redirect um einen Redirect Header an den User zu senden Weiterleitungsziel ist der Ersetzungs Teil m last um die Verarbeitung weiterer Regeln zu unterbinden m next bewirkt einen Neusta
370. htdig keywords Die Belegung dieser Eigenschaft im content Feld ist eine durch Leerzeichen getrennte Liste von Schl sselw rtern Bei einer Suchanfra ge nach einem dieser Keywords erh lt das betreffende Dokument eine beson ders hohe Gewichtung m htdig noindex Bei diesem Tag wird kein Wert im content Feld erwartet Do kumente die dieses Meta Tag enthalten werden von htDig nicht indiziert m htdig email Im content Feld wird die E Mail Adresse eingetragen an die eine Benachrichtigung geschickt werden soll Mehrere E Mail Adressen k nnen durch Kommas getrennt angegeben werden Wird keine E Mail Adresse angegeben so wird auch keine Benachrichtigung verschickt Dieses Tag wird zusammen mit den beiden folgenden verwendet Die drei Tags erlauben das automatische Versenden einer E Mail wenn das Verfallsdatum eines HTML Dokuments erreicht wurde 5 14 htDig mit gesch tzten Verzeichnissen 217 m htdig notification date Das content Feld enth lt ein Datum ab welchem eine Benachrichtigung verschickt werden soll Das Format ist einfach Mo nat Tag Jahr englisches Datumsformat Die Jahresangabe mu das Jahrhun dert beinhalten Wird kein Datum angegeben so wird auch keine Benachrich tigung verschickt m htdig email subject Der content enth lt das Subject der Benachrichtigung Dieser Tag ist optional Nat rlich verarbeitet htDig auch alle anderen Meta Tags und das Programm ber cksichtigt auch den Robots Exclusion Standard
371. i index html im durch OutputDir spezifizierten Verzeichnis ab 6 4 4 FTP und Proxy Statistik mit Webalizer Der Webalizer ist auch in der Lage die Informationen aus der Datei var log transferlog auszuwerten Die Schritte dazu sind relativ ein fach Zuerst richten Sie analog zum Verzeichnis f r die Webstatistiken ein weiteres Verzeichnis ein z B opt www htdocs ftpstats Nun wird eine zweite Konfigurationsdatei erzeugt die f r die Analyse der FTP Daten angepa t ist Dazu kopieren Sie einfach die originale Datei etc webalizer conf auf etc ftpstats conf und ndern diese Datei ab Dabei sind nur drei Zeilen zu modifizieren LogFile var log xferlog LogType ftp OutputDir opt www htdocs ftpstats Wichtig ist dabei besonders der LogType damit Webalizer auch alles richtig macht Das Programm kennt zwei Typen web und ftp wobei web die Vor einstellung ist Mit dem Aufruf webalizer c etc ftpstats conf kann dann die FTP Statistik abgerufen werden 6 5 Weitere Protokollierungs Tools 231 Wenn Sie auch noch die Logdatei des Squid analysieren wollen funktioniert auch dies nach dem gleichen Schema wie f r FTP Zuerst richten Sie analog zum Ver zeichnis f r die Web und FTP Statistiken ein weiteres Verzeichnis ein z B opt www htdocs squidstats Nun wird eine weitere Konfigurationsdatei erzeugt die der Analyse der Squid Daten angepa t ist Dazu kopieren Sie einfach die originale Datei etc webalizer
372. ia de 8 5 Primary Server W hrend die Installation von Cache Only oder sekund ren Servern noch eine relativ einfache und wartungsarme Angelegenheit ist kann man das Aufsetzen und den Betrieb eines prim ren Servers guten Gewissens als die Hohe Schule der DNS Administration bezeichnen Prim re Server setzen nicht nur ein hohes Ma an Know how voraus sie sind auch wartungsintensiv und somit teuer Sollten Sie dennoch in die Verlegenheit geraten einen solchen Rechner aufsetzen zu m ssen k nnte Ihnen dieser Ab schnitt einen ersten Anhaltspunkt liefern Ein intensives Einarbeiten und das Stu dium weiterer Literatur kann er nicht ersetzen Die etc named conf des prim ren Servers unterscheidet sich nicht wesent lich von der des sekund ren nur da die Typbezeichnung eben master statt Slave lautet Die komplette Datei f r unsere Beispiel Dom ne netzmafia de lau tet options Arbeitsverzeichnis fuer die DNS Daten directory var named zone in type hint file root servers Tabelle mit den Root Servern zone 0 0 127 in addr arpa in fuer Reversed Loopback type master file 127 0 0 rev 8 5 Primary Server 273 y zone netzmafia de in Domaene netzmafia de vorwaerts aufgeloest type master Primaerer Server file netzmafia zone Name der Tabelle zone 131 168 192 in addr arpa in Domaene netzmafia de rueckwaerts type master primaerer Server file
373. ich auf Seiten in denen zumindest die Kenntnis der elementarsten UNIX Befehle n tig ist Upload Kopieren von Daten von einem Client auf einen Server etwa zum Ak tualisieren eines Web Servers URL Uniform Resource Locator standardisiertes Darstellungsverfahren von Internet Adressen Beginnt immer mit dem zust ndigen Protokoll etwa http www bla de foo oder ftp ftp netzmafia de pub linux User Authentication berpr fung von Benutzer Account und Zugriffsrech ten um bestimmte Serverbereiche vor nicht erlaubten Zugriffen zu sch tzen Usenet User Network Weltweites Netz von oft reichlich informellen News groups Diskussionsgruppen die sich ber eine Art elektronisches Schwarzes Brett miteinander ber bestimmte Themen austauschen UUCP Familie von Protokollen die Daten bertragung auch ber W hlleitun gen zwischen Unix Systemen erm glicht UUCP steht f r Unix to Unix copy und bezeichnete urspr nglich das Unix Programm uucp VBscript Abgespecktes Visual Basic hnlich Javascript zur Steuerung von ActiveX Controls Virtueller Server Einer von mehreren Servern die gleichzeitig auf einem Rech ner beim Provider laufen Visits Anzahl der Besuche auf einem Web Server Nach den Richtlinien der deutschen Werbeindustrie gilt ein Visit als beendet wenn 30 Minuten lang kein Zugriff mehr erfolgt ist 420 A Glossar VRML Virtual Reality Modeling Language Sprache zur Beschreibung von vir tuellen Sz
374. icht unterhalb von var liegen m ssen nach var umziehen An die alte Position kommt stattdessen ein Symlink auf die Datei m Datenverzeichnisse der verschiedenen Dienste WWW FTP Mailing Listen etc sollten auch innerhalb einer gemeinsamen Dateihierarchie befinden Man legt die entsprechenden Verzeichnisse normalerweise unterhalb von home an da sich auf einem Serversystem sowieso nur wenige reale Benutzer tum meln Auch home bekommt eine eigene Partition Eine andere Alternative ist die Verwendung des Verzeichnisses opt f r alle Server Daten Der Vor teil liegt hier darin da bei Betriebssystem Updates und hnlichen Aktionen die Partition abgeh ngt und somit nichts versehentlich berschrieben werden kann und beim Vollwerden dieses Datenbereichs die Funktion des Systems nicht beeintr chtigt wird Damit ergeben sich vier Partitionen f r unseren Server Speicherbedarf in Klam mern m die Linux Swap Partition ca 2 x Arbeitsspeicher m die Root Partition ca 1 2 GByte m eine Partition f r home je nach Bedarf und m eine Partition f r var Rest der Platte min 2 5 GByte Diese erste Vorsorgema nahme entbindet nat rlich keineswegs vom regelm i gen Backup 1 10 Disk Quotas Ein Server sollte eigentlich nur wenige Accounts haben Neben den Standard accounts root bin usw nur noch Benutzeraccounts f r den oder die Admini strator en Wenn es sich um WWW oder FTP Server handelt kommen even
375. ichtig Puffer fast leer 1234567890132345 Ich bin wichtig Puffer voll Puffer berlauf 1234567890132345 1234bin wichtig Buffer Overflow Einschleusen eisen des Shell Aufrufs 1234567890132345 Abbildung 13 1 Erzeugen eines Buffer Overflow Am Ende der gesendeten Daten wird der Aufruf einer Shell bertra gen z B bin sh Beispiel aus dem Programm qpop Hack f r POP3 Server char shellcode xeb x22 x5e x89 xf3 x89 xf7 x83 xc7 x07 x31 xc0 xaa x89 xf9 x89 xf0 xab x89 xfa x31 xc0 xab xb0 x08 x04 x03 xcd x80 x31 xdb x89 xd8 x40 xcd x80 xe8 xd9 xff W stt xtt bin bash i me Damit hat der Hacker Zugriff auf alle Funktionen des Betriebssystems m Probleme mit Standarddiensten und Standard Einstellungen Bei der Installation von Betriebssystemen werden oft Standarddienste ak tiviert GB FTP Server oder Apache Webserver bei Linux Oft werden installierte Dienste vergessen Ich installiere das Programm mal und probiere es bei Gelegenheit aus Viele der sogenannten netzwerkf higen Software Produkte sind nur f r kleine lokale Netze ausgelegt und nicht f r gro e Netze mit potentiellen Hackern Nicht selten wird Schreibrecht f r alle Benutzer auf ein bestimm tes Verzeichnis verlangt Viele Systeme besitzen Standardzug nge mit Standard Pa w rtern Wartungs Accounts Gast Accounts Router Passw rter Demo User Bei vielen Serverprogrammen ist nach der Installa
376. ider von RIPE als Local Internet Registry f r die Top Level Domain de anerkannt ist Au erdem mu die Firma Mitglied im IV DENIC sein und mit mindestens zwei weiteren Anbietern einen kostenlosen Datenaustausch ver einbaren IP Internet Protocol Verbindungsloses Protokoll f r die blockweise Daten ber tragung zwischen zwei Rechnern im Internet IP Pakete tragen als Absender und Empf ngeradressen IP Adressen IP Adresse Eindeutige Adresse eines Internet Rechners z B 192 168 0 1 Sie wird vom Provider entweder fest oder dynamisch DHCP vergeben Eine IP Adresse besteht aus vier Bytes Zahlen zwischen 0 und 255 die durch Punkte getrennt sind zum Beispiel 193 96 28 72 Die Zahlen identifizieren nicht direkt ablesbar das Netz und die Unternetze sowie den Computer selbst blicher weise adressiert man nur programmintern mit IP Nummern An der Ober fl che erscheinen statt dessen Klartextnamen Die Zuordnung von Namen zu Adressen bernimmt der DNS IP Adressen werden f r verschiedene Netz klassen vergeben IRC Internet Relay Chat IRC erlaubt einem User mit anderen Benutzern in sogenannten chat rooms zu kommunizieren Alles l uft in Echtzeit und ist nur auf die jeweilige Schreibgeschwindigkeit und die Regeln des jeweiligen Raumes beschr nkt Es gibt room operators d h Aufsichtspersonen die einen User aus dem Raum entfernen k nnen wenn er die Regeln nicht befolgt ISDN Integrated Service Digit
377. ie Anforde rung der IP Adresse l uft dann automatisch ab dem n chsten Bootvorgang Kapitel 11 Mailing Listen mit Majordomo verwalten 11 1 R ckblick Mailinglisten Im zweiten Kapitel haben wir die Mailinglisten schon kurz erw hnt hier sollen sie etwas ausf hrlicher behandelt werden Wie gesagt sie funktionieren immer nach dem gleichen Muster Ein Brief an die Adresse der Liste wird an s mtli che Abonnenten der Liste weitergeleitet Sie eignen sich beispielsweise auch f r Rundschreiben Da bei Mailinglisten jeweils nur ein Empf nger im Mail Header steht sind sie bei Rundschreiben auch professioneller als ellenlange Cc Listen In der Welt der Mailinglisten unterscheidet man prinzipiell zwischen moderier ten und unmoderierten Listen Im ersten Fall mu der Moderator der Liste jede einzelne der von den Mitgliedern ausgehenden Nachrichten oder Reaktionen ge sondert absegnen Bei den unmoderierten Listen gelangt jede Nachricht gleich aus welcher Quelle automatisch an alle Mitglieder der Liste Die n chste Unterscheidung betrifft die Art und Weise wie man einer Liste bei treten kann Eine offene Liste kann jeder ohne Einschr nkungen per Subscribe Befehl abonnieren Wenn es etwa um heikle Informationen geht m chte man je doch manchmal etwas Kontrolle walten lassen Geschlossenen Mailinglisten kann man erst beitreten wenn der Listeneigent mer seine Erlaubnis erteilt hat F r einfache Mailinglisten reicht auch ein
378. ie Konfigurati on dazu erfolgt in der Datei etc mail userdb Diese enth lt die ben tigten Informationen im ASCII Format Aus ihr wird mittels makemap die Datenbank Datei etc mail userdb db erzeugt welche sendmail zum Header Rewriting verwendet Zun chst werden f r jeden Benutzer zwei Zeilen in der Datei etc userdb bzw etc mail userdb mit folgender Syntax angelegt lt Loginname gt tt mailname lt E Mail Adresse gt lt E Mail Adresse gt tt maildrop lt Loginname gt Beispiel klara mailname klara musterfrau provider de klara musterfrau provider de maildrop klara Nachdem diese Datei angelegt wurde mu nun noch userdb db erzeugt wer den welche von sendmail als Basis f r das Header Rewriting verwendet wird Dies geschieht mit folgenden Befehlen 2 2 Sendmail 83 usr sbin makemap btree etc mail userdb db lt etc mail userdb Nun sollte sendmail das Header Rewriting wie gew nscht vornehmen Achten Sie darauf da in der Datei sendmail mc der Eintrag define confUSERDB_SPEC etc mail userdb db nicht fehlt 2 2 10 Sendmail testen Die Konfiguration des Mailversands kann mit Hilfe des Sendmail Programms berpr ft werden Es lassen sich u a folgende Schalter nutzen m bv Zustellbarkeit mailer der Adresse pr fen m bt Testmodus f r die Rulesets m bi Alias DB neu konvertieren wie newaliases bp Mailqueue anzeigen wie mai 1q m v Verbose Anzeigen was er gerad
379. ie Serverkonfiguration auch funktioniert mu es f r jeden Servernamen einen Nameserver Eintrag geben In einem ersten Schritt wird dazu im DNS jedem WWW Server eine andere IP gege ben z B 192 168 253 1 f r www firmal de und 192 168 253 2 f r www firma2 de Als n chstes mu das Netzwerkinterface auf mehrere IP Adressen reagieren Damit mehrere logische Netzwerkinterfaces auf ein physikalisches Interface ab gebildet werden k nnen m ssen die entsprechenden Optionen in den Kernel eingebaut worden sein Es handelt sich um die Networking Options Network aliasingund IP aliasing support Nach der Installation des neuen Ker nels stehen jedem physikalischen Netzwerkinterface z B eth0 weitere logische Netzwerkinterfaces zur Verf gung deren Namen sich aus dem Namen des rea len Netzwerkinterfaces ableiten der Name des realen Interfaces gefolgt von ei nem Doppelpunkt und einer beliebigen Zahl also z B ethO 0 eth0 1 etho 2 etc Diese Netzwerkinterfaces k nnen dann genauso wie das echte Interface mit ifconfig und route konfiguriert werden Bei der SuSE Distribution findet sich alles in der Datei etc rc config die auch von jedem Start Skript eingebun den gesourced wird Bei anderen Distributionen mu man sich ein Shell Skript schreiben Bei etc rc config sieht das dann folgenderma en aus networking number of network cards NETCONFIG _0 _1 _2 _3 _4 IP Adresses IPADDR_0 192 168 253 1 IPADDR_1 192 1
380. ie best tigt da das Abonnement funktioniert hat Um sp teren Problemen vorzubeugen sollte diese Information aufbewahrt werden Die zwei haupts chlich verwendeten Programme f r Mailing Listen hei en listserv bzw majordomo Um Auskunft ber die Funktionsweise dieser Programme zu erhalten etwa wenn das Archiv der Liste durchge sehen werden soll gen gt ein Brief an listserv rechner domain bzw majordomo rechner domain mit dem Text help im Body F r einfache Mailinglisten reicht auch eine Include Anweisung in der Mail Alias Datei etc aliases die vom Administrator oder auch einem Benutzer gewar tet wird Hier fehlt nat rlich der Komfort dem ein Listen Server dient F r Rund schreiben innerhalb des Hauses oder hnliches reicht das aber allemal Wir gehen in Kapitel 11 auf diese M glichkeit ein 2 1 3 Was ist MIME Der erste Mail RFC 822 legte in erster Linie den Standard f r Kopfzeilen in der elektronischen Post fest Dort wurde unterstellt beim Inhalt des Briefes handele es sich um reinen ASCII Text Wer Dateien versenden wollte die Zeichen enthielten welche nicht unter den 128 Zeichen des ASCII Alphabets vorkamen mu te die Datei so codieren da sie nur noch aus ASCII Zeichen bestand MIME Multipurpose Internet Mail Extensions f gt diesem Standard vier weite re Felder hinzu die genauer den Inhalt des Briefes spezifizieren Diesen Feldern kann das Post Programm so es diese ber cksichtigt entnehmen welche ande r
381. ie direkt schneller erreicht werden k nnen Zumindest das lokale Netz sollte man unter Ausnahmen eintragen 246 7 Proxy Cache is Allgemein Sicherheit Inhalt Verbindungen programme Erweitert verwenden Sie den Assistenten f r den Internetzugang um den Computer mit dem Internet zu verbinden m DF Einstellungen Hinzuf ge n een Era Keine Verbindung w hlen Nur w hlen wenn keine Netzwerkverbindung besteht Immer Standardverbindung w hlen Aktueller Standard Keine Als Standard m Einstellungen f r lokales Netzwerk LAN A EE OK Abbrechen Gibernetmen Abbildung 7 8 Lokale Netzwerk Einstellungen anklicken Einstellungen f r lokales Netzwerk LAN ax r Automatische Konfiguration Die automatische Konfiguration k nnte die manuellen Einstellungen berlagern Deaktivieren Sie sie wenn Sie die Verwendung der manuellen Einstellungen garantieren m chten J7 Automatische Suche der Einstellungen JT Automatisches Konfigurationsskript verwenden Adresse m Proxyserver IV Proxyserver verwenden Adresse Anschluss J Proxyserver f r lokale Adressen umgehen OK Abbrechen Abbildung 7 9 Proxyserver und Erweitert anklicken 7 4 Zugriffsrechte 74 1 Grundlagen Mit Hilfe sogenannter Access Lists innerhalb der squid conf l t sich der Zu griff auf den Cache einschr nken Damit kann der Proxy vor unberechtigter Nut zung
382. ie eigenen Dateien l schen 9 7 Sicherheitsmodi 299 9 7 Sicherheitsmodi F r einen Samba Server gibt es vier verschiedene Sicherheitsmodi die in der smb conf eigestellt werden k nnen share user server und domain Diese Modi k nnen in der global Sektion ber den Befehl security zugewiesen wer den 9 7 1 Freigabe Ebene security share ist die einfachste und unsicherste Option die wenn m glich in keinem realen Netzwerk verwendet werden sollte Allenfalls wenn es um die Vernetzung von Rechnern in der eigenen Wohnung geht kann man diesen Modus einsetzen Der Begriff Share stammt aus den Zeiten von Windows for Workgroups das kei ne echten Benutzer kannte sondern Freigaben mit einer Art Netzwerk Kennwort versah Genau hier liegt das Problem Mit nur einem Kennwort kann man alle Shares des Sambaservers erreichen Wenn man einen Gastbenutzer einrichtet und ihm den Zugriff erlaubt sogar ohne jegliches Pa wort Dazu ein Beispiel smb conf mit Share Level Security und Gast Zugang global workgroup HEIMNETZ guest account gast security share unsicher comment Unsichere Share ohne Pa wort path export unsicher guest ok yes read only no Im obigen Beispiel wird ber die Zeile guest account gast festgelegt da Gastzugriffe unter der Berechtigung des Benutzers gast auf der Unix Seite erfol gen Diesen Benutzer m ssen Sie vorher unter Unix anlegen unsicher ist eine File Share die das Verzeich
383. ie sie zum Beispiel bei Campus Installationen vorkommen die Proxies sogar mit einem eigenen Netzwerk ber einen gemeinsamen Switch zu verbinden Ein weiterer kritischer Punkt ist die Festplatte des Servers Statistische Messun gen an Proxy Installationen haben ergeben da die durchschnittliche Gr e eines Dokuments im Cache nur circa 12 KByte betr gt Daher ist es weniger wichtig welche Datenrate die eingesetzte Festplatte hat Da aber im laufenden Betrieb vie le Dateien geschrieben und viele alte Objekte aus dem Cache entfernt werden m ssen l ft sich die gesamte Arbeitsgeschwindigkeit am besten steigern indem man mehrere Festplatten verwendet die ber getrennte Controller parallel an gesteuert werden k nnen Dabei sollte man nicht vergessen da auch die Log Dateien bei jedem Zugriff erweitert werden Daher ist es zweckm ig auch die access log store log und cache log auf getrennte Platten zu verlagern Dazu ein Auszug aus der squid conf eines Systems mit drei getrennten 10 Gigabyte Cache Festplatten 7 6 Performance Aspekte 259 Cache Groesse und Lage cache_dir squid cachel 10000 16 128 cache_dir squid cache2 10000 16 128 cache_dir squid cache3 10000 16 128 Log Files cache_access_log squid cachel access log Cache Log squid cache2 cache log Cache store Log squid cache3 store log Unix Dateisysteme haben f r schnelle Zwischenspeicher die unangenehme Ei genschaft f r jede Datei das Datum des letzten
384. ieler Betriebssysteme nutzen TCP und das dar unterliegende IP als Transportprotokoll weshalb man die gesamte Protokollfa milie allgemein unter TCP IP zusammenfa t TCP l t sich in lokalen und weltweiten Netzen einsetzen da IP und die darunterliegenden Schichten mit den unterschiedlichsten Netzwerk und bertragungssystemen arbeiten k nnen Ethernet Funk serielle Leitungen Zur Realisierung der Flu kontrolle wird ein Fenstermechanismus sliding windows hnlich HDLC verwendet variable Fenstergr e TCP Verbindungen sind vollduplex Wie bei allen verbindungs orientierten Diensten mu zun chst eine virtuelle Verbindung aufgebaut und bei Beendigung der Kommunikation wieder abgebaut werden Verbindungs aufbau bedeutet hier eine Vereinbarung beider Stationen ber die Modalit ten der bertragung z B Fenstergr e Akzeptieren eines bestimmten Dienstes usw Ausgangs und Endpunkte einer virtuellen Verbindung werden wie bei UDP durch Ports identifiziert Allgemein verf gbare Dienste werden ber well known Ports fest zugeordnete Portnummern erreichbar Andere Portnummern werden beim Verbindungsaufbau vereinbart Sequence Number Acknowledgement Number Data Code Offs R F S I T N Data Abbildung 1 8 TCP Protokollkopf Die Fenstergr e gibt an wie viele Bytes gesendet werden d rfen bis die ber tragung quittiert werden mu Erfolgt keine Quittung werden die Daten noch mals gesend
385. iese Gruppe geh ren auch Viren und Trojanische Pferde 13 7 Angriffe ber das Netz 381 m Portscan Auf dieser Ebene kann ein Angreifer auch versuchen allgemeine Informationen ber seine Opfer einzuholen Eine erste M glichkeit ist das Abscannen eines Netzes auf aktive IP Adressen d h IP Adressen unter denen ein Rechner ansprechbar ist Dazu gen gt das ping Kommando Ein kleines Shell Skript erledigt die Arbeit in Sekunden unter Solaris liefert ping als Default nur xxx is alive oder xxx unreachable Gegebenenfalls ist ping mit geeigneten Parametern zu versehen for VICTIM in seq 1 254 do ping 192 168 1 VICTIM done Jetzt kennt der Angreifer alle in Frage kommenden Opfer auch wenn sie kei nen Nameservereintrag besitzen Die n chste Stufe k nnte der Einsatz eines Portscanners sein Oder man sucht nach Benutzern auf dem Rechner Finger Das finger Kommando erlaubt es Informationen ber Benutzer zu er langen weshalb es aus Gr nden des Datenschutzes oft auch gesperrt wird Mit dem Kommando finger userGhost kann man sich ber einen bestimm ten Benutzer informieren Die Ausgabe sieht beispielsweise folgenderma en aus Login plate Name Juergen Plate Directory home plate Shell bin sh No unread mail On since Sun Aug 13 19 36 MET on ttyp3 No Plan Die Informationen werden einigen Standarddateien des Rechners entnommen Eine weitere M glichkeit bietet das fingern
386. ig hat C berl t das Abholen der Datei von www veryfar comnicht dem Cache A sondern der Parent holt die Datei selbst Mit anderen Worten Ein Parent Cache liefert immer eine Datei wenn er gefragt wird Wann Proxies zueinander in Sibling oder Parent Beziehung stehen sollten l t sich am besten anhand eines konkreten Beispieles nachvollziehen 7 5 Proxy Verb nde 253 www veryfar com A 3 Parent holt Datei vom Server Cache C N 2 A fragt C Cache A N Klient fragt nach abc html Abbildung 7 12 Parent Beziehung In einem gro en Unternehmen besitzen die einzelnen Abteilungen eigene Proxy Server Vor der Leitung zum Provider sitzt ein weiterer Proxy der unn tigen Da tenverkehr von der teuren Leitung ins Internet fernhalten soll Bild 7 13 Abteilungs Proxies Cache A Zum Provider Cache B Parent C interna gt CA entfernter Server Cache C Abbildung 7 13 Parent Beziehung In dieser Situation ist es sinnvoll die einzelnen Abteilungs Caches so zu konfigu rieren da sie zueinander in Sibling Beziehung stehen Fragt ein Klient seinen Ab teilungscache nach einem Dokument das nicht im Speicher vorhanden ist dann werden zun chst alle anderen Abteilungsserver nach der Datei gefragt Konnte keiner das Dokument liefern wird zuletzt der Parent kontaktiert Diese Posit
387. il Header steht sind sie bei Rundschreiben auch pro fessioneller als ellenlange Cc Listen Mailing Listen erreichen im Gegensatz zu 66 2 E Mail Server Nachrichtengruppen in der Regel nur die Abonnenten Sie befassen sich oft mit Themen die enger umgrenzt sind als Nachrichtengruppen und sprechen ein klei neres Publikum an Sie unterscheiden sich von Nachrichtengruppen dadurch da es einen Koordinator geben mu und da sie unter Umst nden privaterer Natur sein k nnen als es in den Nachrichtengruppen der Fall ist Genau wie im Fall der Nachrichtengruppen kann es einen Moderator geben mu es aber nicht Abonnenten von Mailing Listen sollten sich dar ber im klaren sein da ihr Brief zwar nur an einen kleinen Kreis gerichtet ist aber trotzdem ein gro es Publikum erreichen kann auch Mailing Listen sind ffentliche Foren und Briefe k nnen ohne technische Umst nde weitergeleitet werden Zudem werden viele Listen ar chiviert und deren Archiv kann wiederum allen Netzteilnehmern zur Verf gung gestellt werden In der Regel stehen f r eine Mailing Liste drei Adressen zur Verf gung Die erste gilt f r Briefe die an die Liste gehen und verteilt werden sollen Die zweite Adres se dient der Verwaltung der Liste hier kann man sich an bzw abmelden Eine dritte Adresse wird normalerweise zur Verf gung gestellt um einen Ansprech partner f r Probleme zu bieten Diese Adressen kommen im Normalfall mit der ersten Post von der Liste d
388. ilft das folgende Programmpaket 5 3 ht Dig Mit ht Dig vereinfacht geschrieben htDig wollen wir uns etwas intensiver befassen Es ist im Gegensatz zu webGlimpse Freeware und erlaubt wie schon erw hnt nicht nur das Indizieren der eigenen Site sondern auch das Abscannen beliebiger WWW Server im Internet Sie k nnen also einen Index von s mtlichen Servern einer Firma oder Hochschule erstellen und auch Server von Kooperati onspartnern oder Lieferanten mit einbinden htDig istjedoch nicht als Globalsuch maschine f r ein Angebot wie bei Fireball oder Altavista geeignet eben klein aber fein Die Features von htDig k nnen sich sehen lassen m Ein Index kann f r beliebige Web Sites bzw verschiedene Bereiche von Web Sites angelegt werden m Der Bereich des Index der durchsucht werden soll kann im HTML Formular spezifiziert werden Einschr nkung auf bestimmte Server m Es k nnen verschiedene Filter angegeben werden mit denen bestimmte URLs oder Dateitypen ein oder ausgeschlossen werden k nnen m Die Abfragem glichkeiten sind umfangreich Die angegebenen Suchbegrif fe lassen sich ber Boolean Operatoren miteinander verkn pfen Es k nnen mehrere verschiedene Suchalgorithmen komplette W rter Wortteil Synony me etc verwendet und gegebenenfalls miteinander kombiniert werden 5 3 ht Dig 193 m Das Suchergebnis wird nach Relevanz sortiert ausgegeben In erster Linie wird die Anzahl der Treffer pro
389. ilprog usr lib sendmail oi t Username oder Alias der die Mail bekommt Srecipient infoboard your site here Ab hier muss eigentlich nichts mehr geandert werden Hae EEE EE aE FE FE HH HE EE EE E a a EE EE ER EE EEE HE EH HE Dokumenten Kopf print Content type text html n n print lt Html gt lt Head gt lt Title gt Formular Antwort lt Title gt lt Head gt print lt Body gt lt Hl gt Danke lt H1 gt Get the input read STDIN Sbuffer SENV CONTENT_LENGTH Split the name value pairs pairs split amp Sbuffer foreach Spair pairs Sname value split pair Svalue tr value s a fA F0O 9 a fA F0 9 pack C hex 1 eg SFORM Sname value 12 3 WWW Interface f r Hypermail 357 Falls die Antwort leer ist if SFORM comments eq print Sie haben leider nichts geschrieben Deshalb wird auch keine n print E Mail verschickt lt P gt else print Vielen Dank f amp uumlr Ihren Kommentar n print ans Infoboard geschickt lt P gt Jetzt E Mail an recipient senden open MAIL mailprog die Can t open mailprog n print MAIL To recipient n print MAIL Subject Formular Mail vom Webserver n n print MAIL Mime Version 1 0 n print MAIL Content Type text plain charset iso 8859 1 n print MAIL Content Transfer Encoding 8bit n print MAIL Reply to SFORM username n pr
390. im Provider reser vieren Au erdem werden sie nicht geroutet Durch Adre umsetzung im Router k nnen sich solche Intranets per Router auch ans Internet anbinden lassen Fol gende Adre bereiche sind zum Aufbau privater Netzwerke freigegeben m A Netz 10 0 0 0 10 255 255 255 m B Netz 172 16 0 0 172 31 255 255 m C Netze 192 168 0 0 192 168 255 255 Zus tzlich hat die IANA auch das folgende Class B Netz f r private Netze reser viert das schon von Apple und Microsoft Clients verwendet wird sofern kein DHCP Server zur Verf gung steht Das Verfahren hei t APIPA Automatic Priva te IP Addressing m 169 254 0 0 169 254 255 255 1 3 TCP IP 1 3 6 ICMP Internet Control Message Protocol ICMP Bild 1 6 erlaubt den Austausch von Fehlermeldungen und Kontrollnach richten auf IP Ebene ICMP benutzt das IP wie ein ULP ist aber integraler Be standteil der IP Implementierung Es macht IP nicht zu einem Reliable Service ist aber die einzige M glichkeit Hosts und Gateways ber den Zustand des Net zes zu informieren z B wenn ein Host tempor r nicht erreichbar ist Die ICMP Nachricht ist im Datenteil des IP Datagramms untergebracht sie enth lt ggf den IP Header und die ersten 64 Bytes des die Nachricht ausl sen den Datagramms z B bei Timeout Datagram ICMP Message Header Data im IP Datagram ME ES Identifier Sequence Number Optional Data Abbildung 1 6 ICMP Protokollkopf Die f nf Felder
391. image audio video sprechen fiir sich selbst Der Typ messa ge sollte dann verwendet werden wenn der Brief einen anderen Brief enth lt z B einen weitergeleiteten Brief Der Typ application ist f r die Beschreibung ausf hrbarer Programme gedacht Dem Typ text kann noch der Parameter charset beigef gt werden Die Vor gabe der Programme lautet in der Regel charset us ascii Anstelle von us ascii kann hier auch iso 8859 1 eingetragen werden Inzwischen werden auch vielfach E Mails markiert durch text html wie HTML Seiten codiert beim Netscape Browser ist sogar Klartext und HTML Darstellung voreingestellt man bekommt den Brief also doppelt ber kurz oder lang st t wohl jeder Benutzer der elektronischen Post auf fol gende Zeichen E4 F6 FC C4 D6 DC DF im Klartext a 6 A O U amp F r den Fall da der Brief Zeilen enth lt die l nger als 76 Zeichen sind erscheint ein Zeichen am Ende der Zeile f r den automatischen Zeilenum bruch Verantwortlich f r dieses Ph nomen ist der Eintrag quoted printable im Feld Content transfer encoding Mit der Vorgabe quoted printable soll ein MIME konformes Post Programm alle Zeichen deren Wert gr er als 127 ist hexadezimal mit einem vorangestellten Gleichheitszeichen darstellen und es soll Zeilen die l nger als 76 Zeichen sind umbrechen Unter Umst nden wer den noch einige andere
392. immter Personenkreis Ein festgelegter Personenkreis darf Nachrich ten an die Liste senden Leider schwer zu realisieren Zugriff auf archivierte Listen Mails Haben Sie das Archivieren der Listen Mails veranla t sollten Sie auch festlegen wer Zugriff auf diese Daten hat index und get Kommando ffentlich Jeder darf sich die archivierten Listen Mails beschaffen Listenmitglieder Nur Listenmitglieder d rfen das 11 5 Befehle zu Majordomo Mailinglisten Diese Befehle lassen sich per E Mail an den Majordomo schicken Weisen Sie die Benutzer auf jeden Fall darauf hin da diese Befehle nicht an die jeweilige Liste sondern an majordomohost domain zu schicken sind 11 5 1 Befehle die Listenmitglieder nutzen k nnen Die Befehle geh ren in den Body der Mail und zwar an den Anfang das Sub ject wird ignoriert Majordomo akzeptiert nur einzeilige Befehle Bei mehrzeiligen Befehlen mu man ein 1 an das Ende jeder Zeile setzen m help zeigt eine Zusammenfassung der Majordomo Kommandos m info Listenname zeigt die Beschreibung der Liste Datei liste info lists zeigt alle Mailinglisten die vom jeweiligen Server angeboten werden m subscribe Listenname Adresse Dieser Befehl tr gt den Benutzer in die Liste ein Bei Angabe einer zus tzlichen Adresse wird diese Adresse eingetra gen Ist die Liste als open closed confirm konfiguriert wird an den Einzuschreibenden eine confirm message geschickt u
393. in anderer Server im Netz diese Option aktiviert hat Gibt es keinen weiteren wird der Samba Rechner wirklich Master Browser Kritisch wird es wenn man auf zwei oder mehr Systemen diesen Schalter setzt Der entstehende Broadcast Verkehr zwi schen den nun konkurrierenden Master Kandidaten kann den gesamten Netz verkehr erheblich verlangsamen Unser Tipp ist deshalb Kontrollieren Sie vor dem Start des Samba PDC die anderen Server im Netz und deaktivieren Sie bei diesen die Option Preferred Master local master yes Auch mit dieser Option kann man Samba eine bessere Aus gangsposition f r den Kampf um die Position des lokalen Master Browsers in einer Dom ne verschaffen Wie beim vorhergehenden Schalter ist das aber bei mehreren Servern im Netz keine Garantie f r einen Sieg Die Konfigurationszeilen die sich mit dem Login besch ftigen lauten logon script lt Dateiname gt Beim Login soll das angegebene Skript aus gef hrt werden Im obigen Beispiel ist das f r alle Benutzer eine gemeinsame Datei namens logon bat M chte man f r jeden Benutzer eine eigene Datei dann kann man die Variable U verwenden die den Loginnamen enth lt Beispiel logon script u bat Das Skript mu auf dem Samba Server in jenes Verzeichnis gelegt werden das in der Sektion netlogon angegeben ist logon path lt Verzeichnisname gt In diesem Verzeichnis werden die Profi le des Windows 2000 oder NT Benutzers abgelegt Dabei enthalten die
394. in im Klartext weitergegeben werden besteht die M glich keit da jemand an diese Information kommt Zum Erschnuppern der Daten dienen Programme die man Sniffer nennt Eigenschaften m Abh ren des Netzwerkverkehrs Einsatz des Promiscous Mode der Netzwerk Karten um alle Pakete zu emp fangen Meist Filterung bestimmter Adressen und Ports m glich m Speicherung der abgeh rten Daten auf Platte oder Weiterverarbeitung mit ex ternen Filtern und Programmen m glich Sie dienen den bad guys zum m Abh ren aller unchiffrierten Verbindungen m Aussp hen von Pa w rtern m Mitlesen der Post die an einen bestimmten Rechner gerichtet ist Bekannte Vertreter sind SniffIt Etherload Netman LinkView oder LANWaAatch Beispiele f r den Einsatz von Sniffern Abh ren von Pa w rtern sniffit p 23 A t 1x1 1bs een Gal bea Deeg A LE EE EE Se 9600 9600 1x2 1bs 0 0 PRINTER 1lp DISPLAY 1x2 1bs 0 0 XTERM testuser geheim 374 13 Server Sicherheit Auch in diesem Fall verschafft Verschl sselung Abhilfe Die gleiche Session aber mit Einsatz der Secure Shell SSH 1 9 1 2 2 A Sah ae e bere K2 i KE Bass u Des VOR A A N DE athe TE u Va m 2 u 2 PA Arles EE A 1 A g v j e 1 A eee ee ET le di OxM Lists Os eae pS _ ZJ N amp x Lese REH k Mba v EXI NP7 S iw SR eg SID dd Mitlesen der Mail S snitfit p25 t Ix1 1
395. include common conf Die Liste aller Attribute finden Sie auf http www htdig org sie umfa t dort 44 Druckseiten es lassen sich an dieser Stelle also unm glich alle Steuerbefehle auflisten Deshalb folgt hier eine Auswahl derjenigen deren nderung zwingend notwendig ist oder die uns allgemein als wichtig erschienen sind m allow_virtual_hosts Falls dieses Attribut auf true bzw yes gesetzt wird werden die URL Hostnamen der virtuellen Server beibehalten Andernfalls wird der Name ver wendet den man bei einer Reverse DNS Abfrage mit der IP Nummer erh lt m bad word bet Spezifiziert eine Datei in der Stopworte stehen die nicht in den Index sollen Dies k nnen F llworte sein wie z B der die das und etc Es las sen sich aber auch unerw nschte Worte in diese Datei aufnehmen z B Fl che oder Kraftausdr cke Beispiel bad_word_list common_dir stopworte txt m database_dir Spezifiziert den Pfad unter dem die Datenbanken erreichbar sind Stellen Sie sicher da sich auf der entsprechenden Partition gen gend Speicherplatz be findet common_dir Spezifiziert den Pfad zu den gemeinsamen Dateien a start_url Legt die Start URL s des der zu durchsuchenden Server s fest die htDig in diziert Man kann auch mehrere URLs gleichzeitig angeben die dann durch Leerzeichen getrennt werden Wie in der UNIX Shell kann das Newline Zeichen auch mit maskiert werde
396. ine Das Apache Modul mod_rewrite erm glicht es URLs intern umzuschreiben rewrite Das bedeutet da der Surfer auf eine nicht real existierende URL zu greift Er erh lt jedoch keine Fehlermeldung sondern der Apache verarbeitet die se URL anhand bestimmter Regeln greift dann mit Hilfe des modifizierten Pfades auf eine Datei zu und schickt diese an den Browser Der Client merkt davon nichts Erst einmal ein Beispiel dazu Sie benutzen ein Shop System Um alle Computer Produkte anzuzeigen lautet die URL http www mafiashop de cgi bin shop cgi action show amp kat 351 Das ist re lativ unpraktisch m Die URL kann man sich schlecht merken m Manche Suchmaschinen indizieren URLs in cgi bin oder solche die auf Skripte verweisen nicht 4 15 Die Rewrite Engine 171 B swillige Benutzer haben so einen direkten Zugriff auf Ihr Skript und k nn ten versuchen es zu hacken Sch ner w re es wenn die URL stattdessen http www mafiashop de computer html hei en w rde Alle drei oben genannten Nachteile w rden dann verschwinden Genau darum geht es bei mod_rewrite wenn computer html aufgerufen wird soll ein interner Transformationsproze gestartet werden der diese Dateiangabe zu cgi bin shop cgi action show amp kat 351 umschreibt Zur ckgeschickt werden sollen die Daten aber unter dem Deckmantel der urspr nglichen Anfrage so da es f r den Client keine M glichkeit gibt Einblick in Ihre internen Prozesse zu neh me
397. iner Privatfirma betriebenes Computer Netzwerk wird als Begriff meist zur Unterscheidung von kommerziellen Systemen wie T Online oder AOL gegen ber dem offenen Internet verwendet OSI Open Systems Interconnection Sammlung von Standards der ISO zur Kom munikation zwischen Computersystemen OSI ISO Modell Modell zur Daten bertragung zwischen Computersystemen Es beschreibt sieben aufeinander aufbauende Schichten mit definierten Aufga ben und Schnittstellen Pageviews Anzahl der Abrufe einer bestimmten Seite eines Web Servers packet switching Siehe Paketvermittlung 414 A Glossar Paketvermittlung Eine Technik zum Weiterleiten von Daten in einem Netz Hierbei werden die Daten in Bl cken Paketen einer bestimmten L nge bertragen Spezielle Steuerpakete dienen dem Aufbau der Verbindung Die Abfolge und der Bestimmungsort der Daten wird durch Steuerinformationen festgelegt die zusammen mit der Nutzinformation im selben Paket bertra gen werden Dadurch k nnen die Daten bertragungseinrichtungen gleichzei tig von mehreren bertragungen genutzt werden die einzelnen Paketstr me werden ineinander geschachtelt Im Gegensatz zur Leitungsvermittlung wird zwischen den Partnern keine feste Leitung geschaltet vielmehr werden die Daten je nach Auslastung des Netzes ber verschiedene Wege bertragen Dabei k nnen durchaus Pakete des gleichen Datenstroms verschiedene Wege nehmen Page Views Anzahl von Abrufen einer Webs
398. ingegangen Die Umsetzung der h chsten Ebene Domain Namen in IP Adressen erfolgt durch das oben erw hnte DNS worauf die Dienst programme der Schichten 5 7 zur ckgreifen 1 3 2 Das Internet Protocol IP Daten werden im Internet paketweise bertragen d h l ngere Datenstr me wer den in kleinere Einheiten eben die Pakete zerlegt Der Vorteil besteht unter ande rem darin da sich Pakete verschiedener Absender zeitlich hintereinander ber eine Leitung schicken lassen Das Internet Protokoll ist ein verbindungsloser Dienst mit einem Unreliable Datagram Service d h es wird auf der IP Ebene weder die Richtigkeit der Daten noch die Einhaltung von Sequenz Vollst ndigkeit und Eindeutigkeit der Datagramme berpr ft Ein zuverl ssiger verbindungsori entierter Dienst wird in der dar berliegenden TCP Ebene realisiert Die Adressierung der Rechner erfolgt derzeit ber eine 32 Bit lange Adresse die kommende IP Generation IPv6 wird 128 Bit verwenden Zur besseren Lesbarkeit wird die Adresse als Folge von vier Bytes getrennt durch Punkte dargestellt z B 141 39 253 254 Diese Adressen bestehen aus einem Anteil der ein Netz charakterisiert und ei nem der einen bestimmten Rechner in diesem Netz spezifiziert wobei unter schiedlich viele Bytes f r beide Adressen verwendet werden Die Bereiche f r die Netzwerkadresse ergeben sich durch die Zuordnung der er sten Bits der ersten Zahl a die eine Erkennung der Netz Klassen m
399. inger 79 tcp WWW 80 tcp http WorldWideWeb HTTP 1 5 TCP IP unter UNIX und Linux 47 WWW 80 udp HyperText Transfer Prot link 87 tcp ttylink kerberos 88 tcp krb5 Kerberos v5 kerberos 88 udp supdup 95 tcp 00 reserved hostnames 01 tcp hostname usually from sri nic iso tsap 02 tcp tsap part of ISODE csnet ns 05 tcp cso ns csnet ns 05 udp cso ns rtelnet 07 tcp Remote Telnet rtelnet 07 udp pop2 09 tcp postoffice POP version 2 pop2 09 udp pop3 10 tcp POP version 3 pop3 10 udp sunrpc 11 tep sunrpc 11 udp auth 13 tep tap ident authentication sftp 15 tcp uucp path 17 tcp nntp 19 tcp readnews untp News Transfer Protocol ntp 23 tcp ntp 23 udp Network Time Protocol netbios ns 37 tcp NETBIOS Name Service netbios ns 37 udp netbios dgm 38 tcp NETBIOS Datagram Service netbios dgm 38 udp netbios ssn 39 tcp NETBIOS session service netbios ssn 39 udp imap2 43 tcp Interim Mail Access Prot v2 imap2 43 udp 1 5 5 Netzdienste starten Es gibt bei UNIX zwei M glichkeiten einen Netzdienst anzubieten m Starten eines eigenen Server Daemons beim Systemstart m Starten des Server Daemons ber den Netzwerk Daemon inetd Die erste M glichkeit wird bei stark frequentierten Diensten z B http smtp verwendet da hier gleich der Server angesprochen werden kann und nicht erst gestartet werden mu Bei allen anderen Diensten nimmt man in der Regel den Netzwerk Daemon inetd Dieser Proze hat eine Tabel
400. instellungen ndern N tzlich ist dieser Modus aber allemal denn der Punkt password erm glicht einem Benutzer ohne Telnet Login sein Pa wort per Webbrowser zu ndern Dabei ist es allerdings wichtig da Sie als Administrator zuvor die beschriebene Pa wort Synchronisation zwi schen Samba und Unix Pa w rtern aktiviert haben Der Benutzer mu n mlich bei der Login Maske von SWAT sein Unix Pafswort angeben ber das Men wird aber immer sein Sambapafswort ge ndert Ohne aktivierte Synchronisation sperrt sich jeder User nach der ersten Pa wort nderung aus was wohl wenig sinnvoll ist Kapitel 10 DHCP 10 1 DHCP Grundlagen Um in einem IP basierten Netzwerk Kontakt mit anderen Rechnern aufneh men zu k nnen ben tigt jeder Computer eine eigene eindeutige IP Nummer Je gr er das Netzwerk wird und je mehr verschiedene Rechnerplattformen darin vereint sind desto h her ist der Aufwand f r den Administrator Wann immer ein neuer Rechner in das Netzwerk integriert wird mu er zuerst konfiguriert werden ndert einer der zentralen Server seine Adresse oder wird er auf eine andere Maschine verlegt m ssen alle Netzwerk Klienten umkonfiguriert werden Eine L sung f r dieses Problem bietet DHCP Dynamic Host Configuration Pro tocol Dieser Dienst erm glicht es einem Klienten dynamisch eine IP Nummer und andere Netzwerkparameter wie den Netzwerknamen zuzuweisen ohne da der Administrator den Rechner berhaupt zu
401. int MAIL n print MAIL SFORM comments close MAIL print Zur amp uuml ck zur lt A HREF index html gt Homepage lt A gt lt P gt print lt Body gt lt Html gt n Kapitel 13 Server Sicherheit 13 1 Grundlegendes Was verbirgt sich eigentlich hinter dem Begriff Sicherheit Ganz allgemein kann man darunter das Recht auf die Vertraulichkeit und Unversehrtheit seiner Daten bezeichnen Sicherheit in Netzen ist ein Thema das mit der steigenden Benutzer zahl im Internet zunehmend Interesse findet Bis vor kurzem war man im Inter net unter sich und Sicherheit nur ein Thema weniger Au enseiter Da seit gerau mer Zeit jedoch das Internet von Menschenmassen verschiedenster Kulturkreise gest rmt wird sollte man sich mit diesem Thema auseinandersetzen Jeder der seinen Rechner an das Internet anschlie t sich eine Internetadresse so wie die TCP IP Software besorgt und installiert mu sich dar ber im klaren sein da er damit seinen Rechner potentiell mit einigen Millionen anderer Rechner in Verbindung bringt So wie man selbst alle m glichen fremden Rechner erreichen kann ist man auch f r jedermann kontaktierbar Das Internet ist offen und um den Individualismus auf dem Netz sowenig wie m glich einzuschr nken m ssen Sicherheitsvorkehrungen an den Endger ten vorgenommen werden Zu einem guten Sicherheitskonzept geh rt als erste Maf nahme ein vern nftiges und regelm iges Backup Nach d
402. ion ist f r den Proxy vor der Providerleitung sinnvoll Er wird zuletzt angesprochen und wenn er die Datei liefern kann ist kein einziges Bit ber die Providerleitung bertragen worden Die Kommunikation der Proxies untereinander wird ber ein eigenes Proto koll namens ICP Internet Cache Protokoll realisiert Das Verfahren und der 254 7 Proxy Cache Einsatz werden in den RFCs 2186 und 2187 beschrieben ICP befindet sich im ISO OSI Schichtenmodell auf Ebene 5 und setzt auf das Protokoll UDP auf Um den Zugriff auf andere Caches innerhalb einer Hierarchie freizuschalten mu zun chst in der squid conf ein Port f r die bertragung von ICP Nachrichten freigeschaltet werden Dies geschieht ber die Zeile icp port 3130 Die Definition der Parents und Siblings geschieht ber die Konfigurationszeile cache_peer Name oder IP Nummer Typ Proxy Port ICP Port Optionen Dabei haben die einzelnen Parameter folgende Bedeutungen m Typ parent oder sibling Legt die Position in der Hierarchie fest m Proxy Port Portnummer auf der der jeweilige Cache von seinen Klienten an gesprochen wird Hier ist die Nummer einzusetzen die in seiner squid conf unter http_port angegeben ist Standardwert ist 3128 aber viele Betreiber verwenden 8080 ICP Port Portnummer auf der der jeweilige Cache ICP Meldungen empfan gen kann Hier ist die Nummer einzusetzen die in seiner squid conf unter icp port angegeben ist Standardwert ist 3130
403. ipt zum Starten des Samba Servers 9 3 Installation der Klienten 281 case 1 in start echo Starte den Samba Server Dienst startproc usr local samba bin nmbd D startproc usr local samba bin smbd D vr stop echo Beende den Samba Server Dienst killproc usr local samba bin nmbd killproc usr local samba bin smbd echo Aufruf 0 start stop esac Anschlie end m ssen noch zwei Links erzeugt und das Skript ausf hrbar ge macht werden damit Samba beim n chsten Booten selbst startet zum Beispiel mit folgenden Kommandos In s etc init d smb etc init d rc2 d S20smb In s etc init d smb etc init d rc2 d K20smb chmod x etc init d smb Nun kann Samba f r einen Test gestartet werden in dem man eingibt etc init d smb start Die beiden Serverprogramme smbd und nmbd schreiben ihre Status und Fehler meldungen in Logdateien Mit den Befehlen tail f usr local samba var log smb und tail f usr local samba var log nmb kann man die aktuellen Ausgaben berwachen und sich davon berzeugen da die Programme ordnungsgem gestartet wurden 9 3 Installation der Klienten Ein Windows Klient der auf einen Samba Server zugreifen m chte mu drei Vor aussetzungen erf llen m eine korrekt installierte und konfigurierte Netzwerkkarte m den Dienst Client f r Microsoft Netzwerke m das konfigurierte Protokoll TCP IP 282 9 Samba Ab Windows 95 installieren alle Microsoft B
404. ird er zeugt man ein Skript oftpd im Directory etc rc d und zus tzlich Links f r Start und Stopp im Verzeichnis etc rc d rc3 d z B S25oftpd und K25oftpa Die Startdatei stellt sich dann so dar bin sh etc rc d oftpd Lage von Server Binary und Datendatei SERVER usr local sbin oftpd USER oftpd HOME home oftpd case 1 in start echo n Starting oftpd 7 if f S SSERVER then SERVER USER HOME echo running else echo failed Ei D I stop echo n Shutting down oftpd killall oftpd echo stopped else echo failed 116 3 FTP Server Er D I restart 0 stop amp amp sleep 10 amp amp 0 start esac exit 0 Anwerfen kann man den Daemon dann mit dem Kommando oftpd start ohne den Rechern neu booten zu mu ssen Danach testen Sie nochmals die Funk tion des Daemons mit ftp localhost Jetztmu nur noch das Heimatverzeich nis des oftpd mit Dateien gef llt werden Kapitel 4 WWW Server Apache 4 1 HTTP Hypertext Transfer Protocol HTTP ist ein Protokoll der Applikationsschicht das alle M glichkeiten der ber tragung von Hypermedia Informationen bietet HTTP ist nicht Hardware oder Betriebssystem abh ngig Seit 1990 ist dieses Protokoll im Einsatz und wird der zeit meist in der Version HTTP 1 0 verwendet HTTP 1 1 ist zwar schon defi niert wird aber noch nicht so h ufig eingesetzt Die Adressierung von Ressourcen erfolgt bein HTTP Pr
405. irmen und Konzernen gegr ndete Interessensvereinigung die die zuk nftige Entwicklung des World Wide Web beeinflussen soll W30 World Wide Web Organization Steuerorgan der k nftigen WWW Entwicklung Anhang B Literatur und Links 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 J Dederichs Der Umstieg auf LINUX Hanser K Petzke Linux verstehen und anwenden Hanser A Badach S Rieger M Schmauch Web Technologien Hanser Michael Kofler Linux Addison Wesley David Pitts Bill Ball Linux Kompendium Markt amp Technik Fuhs Hasenbein Linux f r Windows Anwender dpunkt Jochen Hein Linux Systemadministration Addison Wesley Henze Hondel M ller Kirch Linux Anwenderhandbuch Lunetix Jessica Heckman Linux in a Nutshell O Reilly Michael D Bauer Building secure Servers with Linux O Reilly Michael Renner Linux f r Onliner O Reilly Olaf Kirch Linux Netzwerkadminstration O Reilly D J Barrett R E Silverman SSH Secure Shell O Reilly Olaf Borkner Delcarlo LINUX im kommerziellen Einsatz mit Samba Hanser Rainer Krienke UNIX f r Einsteiger Hanser Peter Kuo UNIX Kompendium Markt amp Technik Arne Burmeister Der Einstieg in UNIX Hanser Levine Young UNIX f r Anf nger iwt Helmut Herold UNIX Grundlagen Addison Wesley 422 B Literatur und Links 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
406. ise folgenderma en aus ls l opt www htdocs hypermail rw r r 1 root root 289 Apr 10 16 56 index html drwxr sr x 2 daemon daemon 1024 Apr 10 17 06 iis drwxr sr x 2 daemon daemon 1024 Sep 6 13 16 sicherheit drwxr sr x 2 daemon daemon 1024 Sep 7 10 15 test 12 2 Aufrufoptionen und Konfiguration 351 Werfen wir einen Blick in das Verzeichnis test so finden wir index html sortiert nach thread sowie jeweils einen Index nach Autoren Datum und Sub ject Je nach Wahl der Voreinstellung kann auch beispielsweise author html zuindex html werden daf r wird dann index html zuthread html Man sieht an der Ausgabe da bisher sechs Beitr ge vorhanden sind ls l opt www htdocs hypermail test total 32 drwxr sr x 2 daemon daemon 1024 Sep 7 10 15 drwxr xr x 5 root root 1024 May 9 13 36 rW r r 1 daemon daemon 2417 Sep 7 10 10 0000 html LW r r 1 daemon daemon 2187 Sep 7 10 10 0001 html EW E E 1 daemon daemon 2275 Sep 7 10 13 0002 html IW Y Y 1 daemon daemon 2315 Sep 7 10 15 0003 html EM 1 daemon daemon 2311 Sep 7 10 15 0004 html LW r r 1 daemon daemon 2083 Sep 7 10 15 0005 html EW E r 1 daemon daemon 2099 Sep 7 10 15 author html rW r r 1 daemon daemon 2230 Sep 7 10 15 date html LW r r 1 daemon daemon 2231 Sep 7 10 15 index html LW r r 1 daemon daemon 2102 Sep 7 10 15 subject html 12 1 2 Einrichten einer Mailadresse mit WWW Interface Folgende Eintr ge m ssen in der D
407. iste sind nicht nur die oben beschriebenen Dateien sondern auch einige Zeilen in der etc aliases erforderlich Sie k nnen den folgenden Mu sterblock bernehmen Achtung Die Zeilen bei test und test Outgoing wurden aus satztechnischen Gr nden umbrochen und einger ckt Im Original sind die f nf Zeilen nur zwei Mailingliste test Letzte Aenderung 09 12 2001 test usr lib majordomo wrapper resend 1 test h mail netzmafia de test outgoing test outgoing include var lib majordomo lists test usr lib majordomo wrapper archive2 pl a m f var lib majordomo archives test archive test test request usr lib majordomo wrapper request answer test owner test postmaster owner test outgoing owner test test approval owner test Ende test Normalerweise reicht es test jeweils durch den Listennamen zu ersetzen Statt postmaster kann auch eine andere Mailadresse eingesetzt werden falls die Li ste nicht durch den Postmaster verwaltet wird Soll die E Mail an die Liste nicht archiviert werden l t man die einger ckten Zeilen bei test outgoing weg Nach jeder nderung an der Datei etc aliases ist der Befehl newaliases erforderlich damit diese nderungen auch f r sendmail wirksam werden Sofern die Liste archiviert wird mu man noch das Verzeichnis des Majordomo Archivs erstellen d h in das Archiv Verzeichnis wechseln cd var lib majordomo archives und darin ein Verzeichnis namens 11 3 Mailin
408. it t Datenqualit t Datenintegrit t bezeichnet den Umstand da die gespeicherten Daten die Realit t exakt widerspiegeln sollen Es d rfen da her weder Unf lle noch Eingriffe von au en Unstimmigkeiten zwischen den gespeicherten Daten und der Realit t hervorrufen m Datengeheimnis Die Daten des Systems k nnen nur von den Personen gele sen und benutzt werden die dazu berechtigt sind Die Wahrung des Datenge heimnisses ist f r die Konkurrenzf higkeit des Unternehmens von Bedeutung aber auch in bezug auf externe Umst nde wie z B die Gesetzgebung Mangelnde Datenzug nglichkeit Datenqualit t integrit t und mangelndes Da tengeheimnis k nnen schwerwiegende Folgen haben Geldverlust Imagever lust Verletzung gesetzlicher Vorschriften gestiegene Betriebskosten verlorene Gesch ftsm glichkeiten Nachteile gegen ber der Konkurrenz oder irref hrende Bilanzen Wo ein oder mehrere der drei Sicherheitsaspekte verletzt werden mu nicht zwangsl ufig Sabotage vorliegen Es kann sich beispielsweise auch um unver schuldete Unf lle wie Benutzerfehler Brand oder Wasserschaden handeln Die Konsequenzen k nnen jedoch f r das betroffene Unternehmen genauso sch dlich sein Jeder der seinen Rechner an das Internet anschlie t mu sich dar ber im klaren sein da er ihn damit potentiell mit einigen Millionen anderer Rechner in Verbin dung bringt So wie man selbst alle m glichen fremden Rechner erreichen kann ist man au
409. it wird angek ndigt da es sich bei der Deklaration um einen Bereich von IP Nummern handelt steht f r alle Adressen die berhaupt m glich sind Das Wort in legt fest da es sich um Internet Adressen handelt Bind l t auch andere Adrefstypen zu die aber in der Praxis kaum noch von Bedeutung sind Mit type wird festgelegt welche Zust ndigkeit der Server in bezug auf den Adre bereich hat Im Fall der Root Server ist hier immer als Typ hint also so viel wie Hinweis oder Tip einzutragen Was noch fehlt ist der Name der Datei aus der die Adressen der Server entnommen werden k nnen Er folgt im An schluf an den Befehl file Das Netz 127 0 0 0 wird mit der Anweisung zone 0 0 127 in addr arpa in eingeleitet Beachten Sie dabei folgende Eigenheit der DNS Server Beim Loopback handelt es sich um eine r ckw rts aufzul sende Adresse Statt die IP Nummer zu einem bestimmten Namen zu liefern dient sie dazu zur Adres se 127 0 0 1 den Namen localhost zu liefern Damit man auf einen Blick sieht da es sich um eine solche Adresse handelt werden r ckw rts adressierte Zo nen aus historischen Gr nden auch r ckw rts geschrieben und mit dem K rzel in addr arpa erg nzt Statt Definition f r Netz 127 0 0 0 schreibt man also 0 0 127 in addr arpa Auf die Problematik der r ckw rts aufzul senden Adres sen gehen wir im Abschnitt ber prim re Server noch ausf hrlicher ein Innerh
410. iter Interessantes Mitglieder E Ein tellungen Abbildung 7 4 Einstellungsmen ausw hlen 244 7 Proxy Cache Zum Einstellen wird Netscape zun chst wie gewohnt gestartet Im Men Bearbei ten klickt man auf Einstellungen wie in Bild 7 4 gezeigt x Y Gesamtbild en 7 Navigator wird aufgerufen mit arben Themes O Leerer Seite Inhaltspakete Anfangsseite D Navigator For D Composer O Zuletzt Sa D eMails und Diskussionsforen D Instant Messenger Anfangsseite D Privatsph re und Sicherheit klicken auf die Schaltfl che Anfang l dt die folgende Seite t Adresse http www netemafia de Offline Arbeit und Speiche r Wahlen Sie die Schaltfl chen aus die in den Symbolleisten angezeigt werden sollen Lesezeichen 7 Suchen EI Netscape de O sehe EI Symbolleistensuche Z Net2Phone EI Anfang E Drucken EI Shopping Abbildung 7 5 Das Einstellungsmen Im Fenster Kategorien werden durch einen Mausklick auf das Dreieck neben Erwei tert links zwei neue ste in der Baumdarstellung sichtbar Bild 7 5 Durch einen Klick auf Proxies wird rechts das Fenster Proxies f r den Internetzugriff konfigurieren ge ffnet Dort w hlt man Manuelle Proxy Konfiguration aus Einstellungen xi 7 Proxies f r den Internet Zugang konfigurieren Farbe an Ein Netzwerk Proxy bietet h here Sicherheit zwischen Ihrem Computer und dem Internet Proxies erh hen auch die Leistung zwischen
411. itet Beide Schl ssel sind zusammen f r das Entschl sseln von Daten erforderlich die mit einem der beiden Schl ssel kodiert worden sind 416 A Glossar Putzdienste Neben Netzwerk Administatoren s 0 die zweith ufigste Ursache f r den Ausfall von Netzen und Servern Zitat Wir brauchen eine Steckdose f r den Staubsauger Quote Zitieren Bei der Beantwortung eines E Mails wird h ufig die betreffen de Passage oder der gesamte Text zur ck bertragen und mit Anmerkungen versehen QuickTime Von Apple definierter Standard zur bertragung von Bild und Ton daten wird meist f r kleine Filme verwendet RealAudio Technik von Progressive Networks ber die sich Audiodaten Ion in Echtzeit via Internet bertragen lassen Redundanz Zum Verst ndnis einer Nachricht unn tige Information Redun danz dient der Ausfallsicherheit und Fehlererkennung Wenn auf einem bertragungsweg Teile der Information verlorengehen k nnen diese Teile durch redundante aber korrekt bertragene Daten rekonstruiert werden Die Vokale des Alphabets stellen solche Redundanzen dar Dsr Stz st ch hn Vkl Isbr Dieser Satz ist auch ohne Vokale lesbar Bei der bertragung von Daten wird eine minimale Redundanz mitgesendet die Fehlererkennung und korrektur zul t Repeater Ger t zur Verbindung zweier oder mehrerer Netzwerksegmente Re peater regenerieren elektrisch die bertragenen Datenbits RFC Request For Comments Eine F
412. kbetrieb nicht abgeschaltet Dies bedeutet da der Server nach der Installation des Linux Systems erst einmal zugemacht werden mu Die wichtigsten Schritte hierbei sind Installieren Sie nur die Softwarepakete die zum Betrieb des Servers notwendig sind Je weniger Programme dem Hacker zur Verf gung stehen desto schwe rer tut er sich Falls Sie dann sp ter wirklich noch Software ben tigen l t sich diese rasch und in aktueller Version nachinstallieren Installieren Sie in jedem Fall auch alle Sicherheits Patches 13 8 Den Server sicherer machen 385 Alle nicht ben tigten Netzdienste in der Datei etc inetd conf auskom mentieren indem Sie ein davor setzen Dann sind diese Dienste von au en nicht mehr ansprechbar Daneben gibt es aber noch Standalone Serverprogramme die ber Start Skripts in den rc Verzeichnissen unterhalb von etc rc d bzw etc init d beim Hochfahren des Rechners gestartet werden Auch hier m ssen die entsprechenden Startm glichkeiten unterbunden werden Sie k nnen dazu die entsprechenden Links in den einzelnen Verzeichnissen f r die Runlevels l schen Wenn Ihnen das zu m hsam erscheint oder Sie bef rchten etwas zu bersehen gen gt auch eine nderung des Skripts in etc rc d Sie f gen einfach die beiden Zeilen echo 0 disabled exit 0 am Anfang des Skripts ein Alternativ k nnen Sie das Skript auch einfach um benennen beispielsweise durch Anh ngen von disabled
413. ke die Nachricht im elektronischen Nirwana 2 3 2 Beispiele Hier noch einige einfache Beispiele F r weiterreichende W nsche sei auf die Manpage procmailex verwiesen Alle Mails an eine andere Adresse weiterleiten Sollen alle Mails an eine Adresse plate netzmafia de weitergeleitet werden so lautet die Eintragung 0 plate netzmafia de 2 3 Mail filtern und verteilen mit Procmail 89 Alle Mails speichern und an eine andere Adresse weiterleiten Falls Sie die Kopien der weitergeleiteten Mails in der Incoming Mailbox belassen wollen lauten die Eintragungen De FORWARDADRESSE z B 0c plate netzmafia de Das c in 0c bewirkt dabei die voreingestellte Ablage in der Incoming Mailbox Sollen die lokalen Kopien nicht in der Incoming Mailbox abgelegt werden son dern in einem anderen Ordner im Beispiel im Mailordner mail_backup so lauten die Eintragungen Ue MAILFOLDER 0 FORWARDADRESSE z B 0c mail_backup 0 plate netzmafia de Alle Mails speichern und nur kleine Mails an eine andere Adresse weiterleiten Im Beispiel werden nur Mails kleiner als 5000 Bytes weitergeleitet 0c lt 5000 plate netzmafia de Weiterleitung an einen anderen User Die an den User max adressierte Mail wird direkt an moritz weitergeleitet 8 To max moritz 90 2 E Mail Server Ablegen in einer Mailbox Datei Das folgende Beispiel speichert alle Mails von der Freundin i
414. ker zugreifen kann Im obigen Fall ist das Ip Die Direktive sd legt fest wo die Druckauftr ge zwischengespeichert wer den sollen Spool Directory Es ist sinnvoll hier f r jeden einzelnen Drucker ein eigenes Verzeichnis anzulegen mx 0 gibt an da die Druckjobs beliebig gro sein d rfen und 1 benennt eine Datei in der Status und Fehlermeldungen pro tokolliert werden Ist die printcap fertig eingerichtet sollten Sie zuerst testen ob auf der Unix Seite das Ausdrucken einwandfrei funktioniert Als einfacher Test reicht eine ASCII Datei wie zum Beispiel die etc printcap selbst Mit dem Kommando lpr Plp etc printcap wird sie an den Drucker namens lp ausgegeben War dieser erste Test erfolgreich kann es in der smb conf mit der Konfigurati on f r Windows Klienten weitergehen Eine typische printers Sektion sieht folgenderma en aus printers comment All Printers 298 9 Samba read only yes printable yes create mode 0700 directory tmp Die einzelnen Befehle bedeuten m comment Wie bei allen anderen Shares l t sich hier ein Kommentar angeben der in der Browserliste des Klienten angezeigt wird m readonly yes Auf die Share haben die Benutzer nur Leserecht Damit sie trotzdem eine Drucker Spooldatei anlegen k nnen folgt in der n chsten Zeile printable yes Mit diesem Parameter wird dem Benutzer erlaubt eine Drucker Spooldatei anzulegen Genauer gesagt bekommt er damit die
415. ketten er zeugt mit denen man autark booten und das Imaging durchf hren kann ZIP Laufwerke werden ebenfalls unterst tzt m Standard Backup Wenn der Server l uft mu auf jeden Fall eine regelm ige Datensicherung aller beweglichen Daten erfolgen Bevor Sie den Server in Betrieb nehmen testen Sie ob Backup und Restore auch funktionieren Fest zustellen da die Backup Medien unlesbar sind erh ht im Notfall nur noch den Stre Mehr braucht es nicht um der Katastrophe gelassen zu begegnen brigens wenn Sie einen Hacker im System finden sofort den Server herunterfahren und vom Netz trennen Erst danach untersuchen Sie das System auf Sicherheitsl cken Wenn Sie glauben alles analysiert zu haben wird die Kiste komplett neu in stalliert also Platte neu formatieren und nat rlich werden auch die erkannten L cken geschlossen Dank Standard Installation und Backup sollte das recht flott gehen 13 10 Sicherheits Empfehlungen Sicherheitsverantwortliche bestimmen Ausarbeitung Implementation und Durchsetzen einer organisationsweiten Sicherheits Policy Richtlinien f r die Benutzung von Unix Windows NT Windows 95 98 m Regelm ige Treffen der System Administratoren organisieren m Update mit den neuesten Sicherheits Informationen m Aufbauen von Vertrauen untereinander Koordination aller Aktivit ten f r Fragen der Sicherheit m System Administrator en m Netzwerk Administrator en Ma nahmen gegen interne Hack
416. kler Das Betriebssystem wird mittlerweile von mehr als 10 Millionen Anwen dern genutzt Und die Linux Welle scheint nicht abzuebben Nach Erhebun gen des US Marktforschungsunternehmens International Data Corporation http www idc com erreichte das Betriebssystern 1997 bei Servern einen weltweiten Marktanteil von knapp sieben Prozent Im Jahr darauf waren es bereits gut zehn Prozent mehr Zum Vergleich Microsoft hielt mit Windows NT einen Marktanteil von 36 Prozent Novell kam mit Netware auf 24 Prozent Laut IDC waren Anfang 2000 mindestens 7 5 Millionen Linux L sungen installiert Gro unternehmen wie Siemens oder Compaq liefern Rechnersysteme mit Linux aus Bei Linux kommen Bug Fixes innerhalb weniger Tage manchmal sogar innerhalb von Stunden Und wer gen gend Erfahrung hat nimmt sich die Quelle vor und beseitigt den Fehler selbst Das alles macht Linux zu einem idealen Server Betriebssystem das zudem sehr schonend mit den Rechner Ressourcen umgeht F r einen kleinen WWW Server im Intranet reicht normalerweise ein alter Pentium mit 90 MHz Taktfrequenz und 64 MByte Speicher aus In diesem Buch haben wir die Erfahrungen nieder geschrieben die wir beim Betrieb verschiedener Linux Server an der Fachhoch schule M nchen sammeln konnten Deshalb steht die Praxisorientierung auch an erster Stelle Wir beschreiben detailliert wie ein Linux System zum vollwertigen und stabilen Server f r alle ben tigten Intranet und Internetdienste in der Fi
417. l PATH sollte immer vorhanden sein Damit werden die Pfade aufgez hlt die Proc mail implizit verwenden darf MAILDIR stellt den Defaultpfad f r alle relativen Mailboxen ein LOGFILE definiert den Namen des Logfiles in den Procmail inter essante Informationen schreibt LOGABSTRACT definiert den Logmode N heres dazu sollte man der Manpage von Procmail entnehmen Es gibt noch viele weite re Variablen die man hier setzen kann dies sind nur die wichtigsten Sie sollten eigentlich in jedem procmailrc vorhanden sein und werden in den folgenden Beispielen nicht mehr explizit erw hnt In der Regelliste legt man die Kriterien fest nach denen die Mails sortiert werden Die Regeln werden nacheinander abgearbeitet Sobald eine der Regeln zutrifft wird die Abarbeitung der Datei beendet Trifft keine Regel zu wird die Mail im DEFAULT Verzeichnis abgelegt Eine Regel besteht meist aus drei Zeilen Die erste Zeile beginnt immer mit 0 oder 0 Der zweite Doppelpunkt sorgt daf r da die aktuell bearbeitete Datei f r andere Prozesse gesperrt wird Au erdem gibt es noch folgende Optionen p H Die Bedingung gilt nur f r die Kopfzeile Header m B Die Bedingung gilt f r den Rumpf Body m D Grof und Kleinbuchstaben werden unterschieden m A Diese Regel wird nur dann angewandt wenn die vorhergehende angewen det wurde m a Wie A jedoch mu die vorhergehende Regel erfolgreich ausgef hrt worden sein m E Diese Re
418. l define SMTP_MAILER_FLAGS e dnl define SMART_HOST smtp mail provider de dnl define con fDEF_USER_ID daemon daemon dnl define confTRUSTED_USERS uucp mdom wwwrun dnl define QUEUE_DIR var mqueue dnl define PROCMAIL_MAILER_PATH usr bin procmail dnl define confSERVICE_SWITCH_FILE etc mail service switch dnl define confUSERDB_SPEC etc mail userdb db dnl define confHOSTS_FILE etc hosts dnl define confSAFE_QUEUE True dnl define confCW_FILE etc mail sendmail cw dnl FEATURE use_cw_file dnl FEATURE accept_unresolvable_domains dnl FEATURE accept_ungualified_senders dnl FEATURE local_procmail dnl FEATURE nocanonify dnl FEATURE nouucp dnl FEATURE nodns dnl FEATURE always_add_domain dnl FEATURE masquerade_envelope dnl MAILER local dnl MAILER procmail dnl MAILER smtp dnl Die Bedeutung der einzelnen Schl sselw rter dieses Makros k nnen Sie der Do kumentation von Sendmail entnehmen Die include Anweisung mu auf jeden Fall bleiben Ich m chte hier auf einige der Schl sselw rter eingehen m confCON_EXPENSIVE Es existieren teure Verbindungswege Die Mails werden geb ndelt und erst beim Leeren der Queue versendet m SMTP_MAILER_FLAGS SMTP wird als teuer markiert e Flag m confSAFE_QUEUE 7
419. l ternative ist die Kommandozeilen Option u Dazu wird im Startskript rundig die Aufrufzeile um den Usereintrag erg nzt Sie sieht dann folgenderma en aus SBINDIR htdig i u username password opts stats Salt Diese Methode eignet sich auch wenn man verschiedene Server mit unterschied lichen Kennungen bearbeiten mu 5 15 htDig mal zwei Wenn man zwei oder mehr verschiedene Such Datenbanken mit htDig betreiben will sind folgende Schritte notwendig 218 5 Die lokale Suchmaschine m Anlegen eines weiteren htDig Datenverzeichnisses mit anderem Namen In dieses dann einfach die bisherigen Verzeichnisse htdig db htdig conf und htdig common kopieren da sind dann sicher alle ben tigten Dateien drin m Das conf Verzeichnis mu nur verdoppelt werden weil ht search gewisse Restriktionen enth lt siehe unten m Das common Directory mu nur dann kopiert werden wenn dort nderungen n tig sind m Anlegen einer weiteren Skriptdatei rundig2 Auch hier kann man die ur spr ngliche Datei kopieren und dann ndern Dateipfade anpassen z B DBDIR WWW htdig db2 neues Verzeichnis COMMONDIR WWW htdig common2 normalerweise common common2 nur bei Bedarf BINDIR WWW htdig bin bleibt das alte Auf jeden Fall ist die Konfigurations Datei neu also auch noch CONFIGFILE WWW htdig conf2 htdig conf Alle Programmaufrufe in rundig2 werden um die Angabe der Konfigu rationsdatei erg nzt Zusa
420. l das den Datenflu ber die serielle Schnittstelle also zum Beispiel zwischen Computer und Modem oder zwi schen zwei Modems kontrolliert Header Verwaltungsinformation die einem Datenpaket einer E Mail oder ei nem news Artikel hinzugef gt wird um den Transport zu gew hrleisten Ver gleichbar mit einem Adre aufkleber auf einem Postpaket Header gibt es aber auch in anderen Bereichen und bezeichnet jeweils eine Kopfinformation die ber den eigentlichen Daten angebracht wird Helper Application Hilfsprogramm das ein Client heranzieht um Dateien zu bearbeiten die er selbst nicht kennt Hits Anzahl der Dateizugriffe auf einen Web Server alle HIML Seiten Grafi ken Applets usw zusammen und daher nicht sehr aussagekr ftig Besser ist die Angabe in Visits und Pageviews Homepage Meint zugleich Leit Seite von Firmen und die pers nliche Visiten karte von Privatpersonen im WWW Host Bezeichnung f r einen Rechner im Netz remote host der entfernte Rech ner mit dem eine Verbindung aufgebaut werden soll local host der eigene Rechner mit dem man eine Verbindung zum remote host aufbauen will Lau fen mehrere Web Server auf einem Computer l ft sich dieser mit mehreren virtuellen Hosts ausstatten HTML Hypertext Markup Language HTML ist das Format in dem die Text und Hypertext Informationen im WWW gespeichert und bertragen werden Der derzeit g ltige Standard ist HTML 4 neue erweiterte Versionen werde
421. l 0 9 6b tar gz tar xvf openssl 0 9 6b tar cd openss1l 0 9 6b config prefix opt openss1l 0 9 6b make make test make install Apache Apache kann von http www apache org dist httpd heruntergeladen werden Nun mu der Apache ausgepackt werden cd opt gunzip apache_1 3 22 tar gz tar xvf apache_1 3 22 tar 164 4 WWW Server Apache Vor dem Patchen und Compilieren des Apache mu nun erst mod_ss1 vorberei tet werden Dieses Modul erm glicht die Nutzung der starken Verschl sselung mit dem Apache F r die verwendeten Protokolle greift mod_ss1 auf OpenSSL zur ck Es erweitert den Apache Qellcode und dessen API EAP Falls mod_ss1 eingesetzt wird ist es sehr wichtig alle anderen Module mit dem Compiler Flag DEAPI zu kompilieren sonst k nnte es sein da der Apa che einfach abst rzt oder gar nicht erst startet Fast alle Module erkennen dies allerdings auch selbst ndig Der Download des Quellcodes erfolgt von http www modssl org Danach wird der Apache gepatcht cd opt gunzip mod_ssl 2 8 5 1 tar xvf mod_ss1 2 8 5 cd mod_ss1 2 8 5 1 3 22 3 22 ta gz 1 3 22 tar configure with apache opt apache_1 3 22 with ss1l opt openss1 0 9 6b prefix opt apache_1 3 22 ssl A enable shared ssl enable module ssl Die enable Zeilen beziehen sich schon auf die Apache Konfiguration Hier k nnen auch noch weitere Optionen hinzugef gt werden wenn andere Module mit mod_ss1 interagieren
422. l die Ergebnis seiten von Suchmaschinen oder Eingabeformulare kennzeichnen Die beiden Zeilen acl NichtCachen urlpath_regexp cgi bin no_cache deny NichtCachen bewirken folgendes Die erste Zeile fa t alle URLs die die Zeichenketten cgi bin oder ein Fragezeichen enthalten in der Gruppe mit dem Namen NichtCachen zusammen Die zweite Zeile verbietet dann das Speichern solcher Seiten Das obige Beispiel sollten Sie auf jeden Fall bei Ihren Installationen ver wenden da es keinen Standardwert gibt Ein Beispiel f r Proxy Verb nde An einer Hochschule sollen Proxies miteinander zu einer Hierarchie verbunden werden Jeder Fachbereich besitzt einen eigenen kleinen Proxy Server innerhalb des eigenen Subnetzes Alle diese Server stehen hierarchisch auf derselben Stufe und sollen in einer Sibling Beziehung miteinander verbunden werden Zus tzlich sind auf dem Campus zwei gro e Proxy Server vor der Leitung zum Provider in stalliert Einer davon soll ausschlie lich Dokumente aus der Dom ne com spei chern und der andere alle restlichen Die Hochschule besitzt das Klasse B Netz 123 123 0 0 Bild 7 14 zeigt die Konfiguration Die squid conf des Servers squid bwl campus edu enth lt folgende Zeilen 256 7 Proxy Cache BWL LT proxy bwl campus edu nur COM Domine ce proxy1 campus edu Elektrotechnik proxy e technik campus edu E Informatik proxy2 campus edu
423. lala 192 168 1 32 can t be established RSA key fingerprint is 69 fd 32 d8 cf d6 f3 8c 37 41 97 3f 54 25 90 0b Are you sure you want to continue connecting yes no yes Warning Permanently added tralala 192 168 1 32 RSA to the list of known hosts plate tralala s password geheim Mit den oben aufgef hrten Ma nahmen ist der Server schon relativ sicher Trotz dem ist eine st ndige berwachung auf eventuelle Einbr che notwendig Server berwachung Man kommt als Serverbetreiber um das regelm ige Lesen von Log Dateien nicht herum Da das relativ langweilig ist kann man Routine berwachungsaufgaben an Programme oder Skripten deligieren Einfache berwachungstools kann man sich auch selbst schreiben als Shell Skript Perl Skript oder C Programm Vieles bekommt man auch fix und fertig ber das Web Das folgende Skript soll nur als Beispiel dienen Es beseitigt berfl ssige Dateien findet Accounts ohne Pa wort und solche die als User ID die Null haben nicht nur 0 sondern auch 00 000 usw und listet Dateien mit besonderen Berechtigungen sowie Dateien die niemandem mehr geh ren Zum Schlu gibt es noch eine bersicht des belegten Plattenplatzes bin sh Programm to run weekly must be run by root echo Output from sulker date at bin hostname um echo remove old core a out and o files usr bin find name a out name core name o atime 7
424. le mit der Angabe f r welchen Port welches Programm zu starten ist also eine recht flexible Angelegenheit Will man beispielsweise einen neuen FTP Server etwa wu ftpd statt des Standard ftpd einsetzen so gen gt es den Inhalt der Tabelle in der Datei etc inetd conf zu ndern und diese Tatsache dem Netzwerk Daemon mitzuteilen Kommando telinit q Ja ohne vor dem q Man kann durch Auskommentieren von Zeilen in der inetd conf auch nicht ben tigte Netzdienste sperren und so den Rechner vor Eindringlingen sch tzen 48 1 Einf hrung Hier ein Auszug aus der Datei See man 8 inetd for more information If you make changes to this file either reboot your machine or send the inetd a HUP signal lt service_name gt lt sock_type gt lt proto gt lt flags gt lt user gt lt server_path gt These are standard services ftp stream tcp nowait root usr sbin wu ftpd wu ftpd a ftp stream tcp nowait root usr sbin in ftpd in ftpd telnet stream tcp nowait root usr sbin in telnetd in telnetd nntp stream tcp nowait root tcpd in nntpd smtp stream tcp nowait root usr sbin sendmail sendmail v printer stream tcp nowait root usr bin lpd lpd i Shell login exec and talk are BSD protocols shell stream tcp nowait root usr sbin in rshd in rshd L login stream tcp nowait root usr sbin in rlogind in rlogind exec stream tcp nowait root usr sbin in rexecd in rexecd talk dgram udp wait root
425. led door2 rz fh muenchen de 255 255 255 255 00 00 c0 3f fb a7 Let wapserv 255 255 255 255 SP 08 00 20 23 02 88 led sunl0 rz fh muenchen de 255 255 255 255 08 00 20 86 ce 5e led kiosk1 rz fh muenchen de 255 255 255 255 00 00 c0 60 af ad7 Let satellit rz fh muenchen de 255 255 255 255 08 00 20 71 77 b4 led kaputt rz fh muenchen de 255 255 255 255 00 50 56 82 f0 f0 Mit Hilfe der Option d k nnen Eintr ge aus dieser Tabelle gel scht werden Die Eintr ge sind jedoch nicht permanent sondern verschwinden nach einer ge wissen Zeit wieder Daher ist es meistens nicht notwendig einen Eintrag manuell zu entfernen 1 6 3 Das Netstat Kommando Mit Hilfe des Programms netstat k nnen Status Informationen ber TCP IP aus gegeben werden Bei der Fehlersuche kann sich dieses Programm ebenfalls als durchaus n tzlich erweisen So wird mit der Option i eine Statistik ber die Benutzung der Schnittstellen ausgegeben Kernel Interface table Iface MTU Met RX OK RX ERR RX DRP RX OVR TX OK TX ERR TX DRP TX OVR Flags lo 3584 0 220 0 0 0 220 0 0 O BLRU eth0 1500 0 0 0 0 0 0 0 0 O BRU M chte man die Angaben numerisch verwendet man netstat in Hier wer den die Anzahl von empfangenen und gesendeten Paketen die Anzahl der dabei auftretenden Fehler sowie die Anzahl der Kollisionen ausgegeben in die das Sy stem verwickelt waren Eine weitere interessante Option des netstat Kommandos ist die M glichkeit sich die aktuellen Verbindungen
426. leichen Teilnetz gesendet wenn es eine bessere Route Verbindung ber einen anderen Gateway gibt In der Nachricht wird die IP Adresse des anderen Gateways angegeben m Time exceeded F r diese Nachricht an den Quellknoten gibt es zwei Ursa chen Time to live exceeded Code 0 Wenn ein Gateway ein Datagramm elimi niert dessen TTL Z hler abgelaufen ist Fragment reassembly time exceeded Code 1 Wenn ein Timer abl uft bevor alle Fragmente des Datagramms eingetroffen sind m Parameter problem on a datagramm Probleme bei der Interpretation des IP Headers Es wird ein Verweis auf die Fehlerstelle und der fragliche IP Header zur ckgeschickt m Timestamp request reply Erlaubt Zeitmessungen und synchronisation im Netz Drei Zeiten werden gesendet in ms seit Mitternacht Universal Time Originate T Sendezeitpunkt des Requests vom Absender Receive T Ankunftszeit beim Empf nger Transmit T Sendezeitpunkt des Reply vom Empf nger 1 3 TCP IP 33 Information request reply Mit dieser Nachricht kann ein Host die Net id sei nes Netzes erfragen indem er seine Net id auf Null setzt m Address mask request reply Bei Subnetting kann ein Host die Subnet Mask erfragen 1 3 7 UDP User Datagram Protocol UDP ist ein einfaches Schicht 4 Protokoll das einen nicht zuverl ssigen ver bindungslosen Transportdienst ohne Flu kontrolle zur Verf gung stellt UDP erm glicht zwischen zwei Stationen mehrere
427. len Netzes kann die Wiederherstel lung des Unternehmens wesentlich voranbringen Meist handelt es sich aber um menschliche Schw chen die einen Rechner unsi cher machen fehlerhaft eingestellte Zugriffsrechte f r Dateien Benutzeraccounts ohne Pa wort Verwendung von unsicheren Programmen und hnliches Vielfach f hrt auch mangelnde Aufkl rung der Nutzer ber die Gefahren zu Unsicherhei ten im System 13 3 Gefahrenkategorien 367 13 34 Hacker Wie ist es m glich in einen fremden Rechner einzudringen Einige M glichkeiten sollen in den folgenden Abschnitten zur Sprache kommen Wie schon erw hnt kommen die Eindringlinge von innen wie von au en Die Gefahren f r offene EDV Systeme k nnen mit den Worten hacking und Hacker ausgedr ckt wer den Eigentlich ist der Begriff Hacker falsch gew hlt denn ein hack bezeich net eigentlich etwas Positives einen Kniff oder Trick mit dem einem etwas Beson deres gelingt Hacker sind eigentlich jene Leute die uns Linux und andere freie Software beschert haben Da sich der Begriff aber auch f r die dunklen Seiten der Macht durchgesetzt hat bleiben wir dabei Hacker sind vor allem durch die technische und intellektuelle Herausforderung motiviert Es ist sehr selten die Rede von rationell kriminellem Verhalten da Risi ko und Anforderungen an Ressourcen Zeit Ausr stung Anzahl der Teilnehmer den Umfang der greifbaren Ausbeute bersteigt In amerikanischer
428. lersuche sehr wichtig Beispiel cache_log var squid log cache log debug_options Legt fest wie ausf hrlich die Information in der Logdatei des Caches werden soll Als Parameter m ssen die Sektion Standardwert All und ein Wert f r die Menge der erzeugten Information angegeben werden Dabei steht 1 f r normale und 9 f r maximale Menge Im Normalfall sollte Squid mit der Einstellung debug_options ALL 1 betrieben werden log_fqdn Wird dieser Schalter auf ONT gesetzt dann wird in der Datei access log statt der IP Nummer jedes zugreifenden Klienten dessen Full Qualified Domainname aufgezeichnet Aus einer IP Nummer wie 192 186 1 4 238 7 Proxy Cache wird damit also pc5 netzmafia de Da Squid aber zum Feststellen des Namens extra eine Named Server Abfrage starten mu wird mit dem Einschalten dieser Funktion die Gesamtgeschwindigkeit m glicherweise reduziert Unser Tip Schalten Sie diese Funktion im Normalbetrieb aus log_fqdn OFF m client netmask Mit Hilfe der hier angegebenen Maske k nnen aus den Klienten IP Nummern in den Log Dateien Stellen ausgeblendet werden um sie zu anonymisieren Mit der Zeile client_netmask 255 255 255 0 wird zum Beispiel die letzte Stelle der IP Nummer in der Logdatei durch die Zahl 0 ersetzt Statt 192 168 1 4 oder 192 168 1 6 erscheint in der Datei f r alle Klienten im gleichen Subnetz einheitlich 192 168 1 0 Bei der Maske 255 255 0 0 werden die letzten beiden Zahlen der IP Nummern ausm
429. lgen Der Feldname kann alle Zeichen au er dem Doppelpunkt und den Escape Sequenzen enthalten All gemeinfelder enthalten Informationen wie das Datum die Message ID die ver wendete MIME Version und ein forwarded Feld das angibt ob das Dokument eigentlich von einer anderen Adresse stammt 4 1 HTTP Hypertext Transfer Protocol 119 4 1 3 Anfragen Bei Anfragen wird zwischen einfachen und komplexen Anfragen unterschieden Eine einfache Anfrage besteht aus nur einer Zeile die angibt welche Information gew nscht wird Ein Beispiel GET http www netzmafia de index html Dabei wird nur die Methode GET und die URL des Dokuments angegeben Es werden keine weiteren Felder erwartet und vom adressierten Server wird auch nur ein ganz einfacher Antwortkopf zur ckgesendet Es kann aber auch eine kom plexere Anfrage erzeugt werden Dabei mu an die Zeile aus dem obigen Beispiel noch die Version des HTT Protokolls angeh ngt werden In einem Beispiel w rde dies folgenderma en aussehen GET http www netzmafia de index html HTTP 1 0 Im Anf gen der HTTP Version besteht also der ganze Unterschied zwischen einer einfachen und einer komplexen HTTP Anfrage er wird aus Gr nden der Kom patibilit t gemacht Ein Browser der noch das alte HTTP 0 9 implementiert hat wird nur eine einfache Anfrage losschicken k nnen Ein neuer Server mu dann eine Antwort ebenfalls im Format des HTTP 0 9 zur cksenden Inzwischen d rf te aber kein Br
430. lich erreichte Datentransferrate bei der bertragung im Inter net h ngt von der Bandbreite der Serverleistung der Performance des Mo dems Adapters und der Anzahl der gleichzeitig surfenden Teilnehmer ab EBCDIC Extended binary coded decimal interchange code Neben ASCII ein anderer heute weniger verbreiteter Codierungsstandard f r Zeichen z B Sie mens IBM EBONE Konsortium Zusammenschlu von europ ischen Forschungs und kommerziellen Netzen Zur Zeit sind 38 Internet Service Provider aus 24 L ndern angeschlossen E Cash Electronic Cash elektronische Bezahlung per Internet ber spezielle Dienstleister die in der Regel eine Art Konto f r ihre Kunden f hren ECRC European Computer Industry Research Centre GmbH Gemeinsames Forschungszentrum von Siemens de Bull fr und ICL gb das unter an derem auch in M nchen einen Internet Knotenpunkt betreibt Gr ndungsmit glied des EBONE Konsortiums EIA Electronic Industries Association Amerikanische Vereinigung der Elektro nikindustrie die u A auch Standards f r Datenkommunikation herausgibt z B RS 232 C Emulation Nachvollziehen der Funktionalit t eines anderen Ger tes auf einem Rechner Beispiel Terminalemulation E Mail Elektronische Post Einwahlknoten Telefonnummer eines Providers ber die der User Zugang zum Internet oder zu einem kommerziellen Online Dienst erh lt Emoticon Aus Tastursymbolen erzeugtes Symbol mit dem ein Teilnehmer im I
431. ller Windows Plattformen Windows f r Workgroups Win dows 95 98 NT 2000 ME und XP m Dateiserver Ein Unix Rechner mit Samba stellt einen Festplattenbereich f r Windows Klienten zur Verf gung m Druck Dienste Die Klienten k nnen an den Samba Rechner angeschlossene Drucker nutzen Dabei ist auch die Verwendung der Filtermechanismen auf der Unix Seite m glich m Transparente Windows Dienste Aus der Sicht des Klientenrechners ist der Server eine Windows Maschine Namens Aufl sung Samba ist in der Lage NetBIOS Rechnernamen zu ver walten m Anmelde Dienste Bereitstellung von Authentifizierungsdiensten Pa wort Auswertung bis hin zum Ersatz eines Dom nencontrollers m Browser Dienste Verwaltung der im Netz zur Verf gung stehenden Ressour cen Diese werden als Liste angezeigt wenn man am Klientenrechner auf das Icon Netzwerkumgebung klickt 278 9 Samba Vorteile von Samba gegen ber Windows NT oder 2000 sind reichlich vorhanden Betriebssystem und Serversoftware sind kostenlos Die Hardwareanforderungen eines Samba Servers sind relativ gering Linux ist eine sehr stabile Plattform m Die Konfiguration des Servers erfolgt ber eine Steuerdatei smb conf und nicht ber viele einzelne Men s Damit sind die Einstellungen besser doku mentierbar Es reicht ein Ausdruck der Datei Bei Windows NT m te entwe der bei der Einstellung mitprotokolliert oder eine ganze Reihe von Bildschirm fotos angelegt
432. ls Login Shell und k nnen so nur per FTP auf den Rechner zugreifen Beispiel guestgroup webadmin guestuser meier guestuser schulze Vergessen Sie auch nicht eine g ltige E Mail Adresse in der ftpaccess einzu tragen email benutzer Nun bleibt noch eine Gruppe von Eintr gen in dieser Datei die Meldungen 3 4 7 Nachrichtendateien des wu ftpd Wo und wann welche Nachricht ausgegeben wird entscheiden ebenfalls Eintr ge in der Datei ftpaccess Die banner Datei Durch den Befehl banner wird beim Einloggen des Benutzers eine Datei ange zeigt Sie legen in ftpaccess den Pfadnamen f r diese Datei fest banner home ftp msgs bannermsg Dieser Pfadname bezieht sich auf das System Root Verzeichnis nicht auf das login Verzeichnis von ftp Die banner Mitteilung wird vor dem Login eines Users ausgegeben Die banner Mitteilung kann auch Makros f r die aktualisierten In formationen enthalten Sie k nnen zum Beispiel folgende banner Mitteilung er stellen 3 4 Konfiguration 111 Hallo U Sie sind eingeloggt von R um ST Bei Problemen schicken Sie eine E Mail an SE Sie sind der N Benutzer max M Sie befinden sich im Verzeichnis C Herzlich willkommen In der folgenden Tabelle sind die Makros aufgef hrt die Sie mit den Befehlen banner und message verwenden k nnen Die Makros bestehen immer aus dem Zeichen und einem Buchstaben Sie werden ersetzt durch m C Name des aktuellen Arbeitsverzeichnisses m E E M
433. lt td gt lt tr gt lt tr gt lt td align right gt Falls Sie Datei download gew amp auml hlt haben Welche Datei lt td gt lt td gt lt input type text name file gt lt td gt lt tr gt lt tr gt lt td align right gt lt input type submit value Absenden gt lt td gt lt td gt lt input type reset value Eingabe l amp ouml schen gt lt td gt lt tr gt lt table gt lt td gt lt tr gt lt table gt lt form gt Das CGI Programm zur Verarbeitung des Formulars ist in Perl geschrieben und recht kurz und bersichtlich Aus den Formulareingaben wird die Zeichenkette mailthis zusammengesetzt und an Majordomo gemailt usr bin perl Webschnittstelle fuer Majordomo Alle Kommandos lassen sich per Formular auf einer Webseite absetzen 1 1 use strict Folgende Angaben bitte anpassen Mailprogramm my mailprogram usr lib sendmail oi t Mailadresse Majordomo my mailthis To majordomo host domain n 346 11 Mailing Listen mit Majordomo verwalten Ab hier nichts mehr aendern my pairs my buffer pair name value temp my SFORM read STDIN Sbuffer SENV CONTENT_LENGTH pairs split amp Sbuffer foreach Spair pairs name value split Spair Svalue tr value s a fA F0O 9 a fA F0 9 pack C hex 1 eg SFORM Sname value print Content type text ht
434. lt werden Ebenso kann man sich mit host Rech nername ber einzelne Computer oder mit net Netzwerknummer ber Netze informieren Fehlt das Whois Kommando er ffnet man eine Telnet Verbindung zu nic ddn mil und gibt whois nach dem Prompt ein Daraufhin kann man interaktive Anfragen absetzen z B das help Kommando rpcinfo Anfrage Mit Hilfe der Tools rpcinfo und showmount Linux auch kshowmount ist die Abfrage m glich welche Dienste der sunrpc Dienst er bringt Falls das SUN Network Filesystem NFS zu diesen Diensten geh rt kann man weiterfragen welche Dateisysteme exportiert werden rpcinfo p server sonstwer de program vers proto port 00000 4 Ecp 111 rpcbind 00000 3 tcp 111 rpcbind 00000 2 tcp 111 rpcbind 00000 4 udp 111 rpcbind 00000 3 udp 111 rpekind 00000 2 udp 111 rpcbind 00007 3 udp 32774 ypbind 00007 2 udp 32774 ypbind 00007 1 udp 32774 ypbind 00007 3 tcp 32771 ypbind 00007 2 tcp 32771 ypbind 00007 1 tcp 32771 ypbind Wie man sieht spricht der sunrpc Dienst von server sonstwer de mit externen Rechnern Das ist nicht notwendig der Dienst kann blockiert werden etwa durch eine Firewall oder durch Konfiguration entsprechender Filtermechanis men m Fehlerhafte NFS Konfiguration Eine sehr h ufige Fehlkonfiguration besteht darin Verzeichnisse mit NFS weltweit les und schreibbar freizugeben Grunds tzlich sollte explizit angegeben werden wer zugreifen darf z B usr sbin showm
435. m eine nicht beschreibbare Ressource handelt die aber in der Browserliste zu se hen ist Um den Benutzern die Identifikation der Shares aus einer langen Liste zu erm glichen wurde die Freigabe mit einem Kommentar versehen comment der in der Browserliste angezeigt wird Ein Verzeichnis wie software eignet sich sehr gut um damit Programme f r die Rechner im Netzwerk zur Verf gung zu stellen Die darin abgelegten Applikationen k nnen von den Klienten gemeinsam genutzt werden Schreibzugriffe sind dabei nat rlich verboten weil nur die Grup pe der Administratoren neue Software installieren soll Damit stellt sich aber auch die Frage wie denn der oder die Systembetreuer zuvor die Programme in export software installiert haben In aller Regel erfolgt das ber spezielle Installations Shares Hier ber die Freigabe install die das ganze Verzeichnis export zur Verf gung stellt Die blichen Anforderungen an solche Shares sind m Das Verzeichnis soll f r den Administrator von einem Windows PC aus be schreibbar sein damit die Software installiert werden kann readonly no m Nat rlich darf nur ein kleiner Kreis von Berechtigten schreiben Das l t sich am besten ber eine Gruppenzugeh rigkeit regeln Mit dem Befehl write list admins werden alle Mitglieder der Gruppe admins zugelassen Wer dazugeh rt wird in der Datei etc group auf dem Server festgelegt Mit einer Zeile wie zum Beispiel admins 101 holzmann plate werd
436. m hlich be schleunigte sich das Wachstum und nahm einen exponentiellen Verlauf Im Okto ber 1984 z hlte man rund 1000 Hosts 1987 waren es etwa 10 000 und 1989 zwei Jahre sp ter ber 100 000 Mit der Zeit und angesichts des sich immer weiter ausbreitenden ARPA Net wur de klar da die bis dahin gew hlten Protokolle nicht mehr f r den Betrieb eines gr eren Netzes das auch mehrere Teil Netze miteinander verband geeignet war Aus diesem Grund wurden schlie lich weitere Forschungsarbeiten initiiert die 1974 zur Entwicklung der TCP IP Protokolle f hrten TCP IP wurde mit der Zielsetzung entwickelt mehrere verschiedenartige Netze zur Daten bertragung miteinander zu verbinden Da etwa zur gleichen Zeit an der University of Cali fornia ein neues Betriebssystem mit Namen UNIX entwickelt wurde beauftragte die D ARPA die Firma Bolt Beranek amp Newman BBN und die University of California at Berkeley mit der Integration von TCP IP in UNIX Dies bildete auch den Grundstein des Erfolges von TCP IP in der UNIX Welt Ein weiterer Mei lenstein beim Aufbau des Internet war die Gr ndung des NSFNET der National Science Foundation NSF Ende der achtziger Jahre die damit f nf neu gegr nde te Super Computer Centers den amerikanischen Hochschulen zug nglich machte Dies war ein wichtiger Schritt da bis zu diesem Zeitpunkt Super Computer nur der milit rischen Forschung und einigen wenigen Anwendern sehr gro er Firmen zur Verf gung stan
437. m Betriebssystem Der Rechnerbetreiber mu sich re gelm ig ber Sicherheitsl cken informieren und entsprechende Korrekturen des Betriebssystems sogenannte Patches einspielen Eine hardwareunabh ngige Sammlung der Fehler und die Initiative zur Behebung derselben unternehmen die CERTs Computer Emergency Response Team So wie viele Einrichtungen im Internet existieren CERTs auf mehreren Ebenen Das deutsche CERT DFN CERT ist an der Uni Hamburg lokalisiert PCs mit Windows 95 98 XP sind zwar nicht so exponiert bieten aber auch noch gen gend Angriffsfl che z B durch Denial of Service siehe unten oder durch Zugriff auf freigegebene Ressourcen Platte Drucker Mittlerweile bilden diese Rechner die Verteilbasis f r W rmer und Viren aller Art die teilweise auf dem je weiligen Rechner Schaden anrichten ihn teilweise aber nur als Basis f r die Wei terverbreitung nutzen z B der SOL Slammer 13 3 3 Umweltbedingte Gefahren Dies k nnen Feuer und Wassersch den oder Gefahren sein die von den Umge bungsbedingungen des Unternehmens ausgehen Feuer und die sich daraus erge benden Beeintr chtigungen Wasser und Rauchsch den k nnen weitreichende Konsequenzen f r den Betrieb haben und oft wird es sich um so umfassende Zerst rungen handeln da nicht nur der Netz Betrieb davon betroffen ist Oft mals handelt es sich um eine einschneidende und langwierige Beeintr chtigung und nur eine vern nftige Sicherung des loka
438. m Jahr 1991 liegt handelt es sich um eine Weiterentwicklung von UNIX die mittlerweile all die Funktionalit t besitzt die man von modernen Betriebssystemen erwartet Echtes pr emptives Multitasking virtuelle Speicherverwaltung dynamisch nachladbare Bibliotheken mit Versionskontrolle und andere moderne Konzep te machen das am POSIX Standard orientierte Betriebssystem zur optimalen L sung f r viele Einsatzgebiete Als der finnische Informatikstudent Linus Torvalds 1991 seine ersten Schritte unternahm eine eigene Version des Betriebssystems Unix zu entwickeln nahm in der Fachwelt kaum jemand Notiz davon Leistungsf hige Unix Abk mmlin ge gab es schon zuhauf denn viele IT Konzerne hatten l ngst eigene Versionen programmiert um Netzwerke oder Gro rechner zum Laufen zu bringen Dieses anf ngliche Desinteresse ist ins Gegenteil umgeschlagen Schon bald erkannten breite Anwenderkreise das wahre Leistungsverm gen von Linux dessen Urver sion inzwischen von zahllosen Fachleuten fortentwickelt wurde Rund 1 5 Mil lionen Codezeilen umfa t die aktuelle Version rund 10 000 Programmierer sind derzeit am Werk um sie weiter zu verbessern Auf der Cebit 1999 war das Be triebssystern mit dem Pinguin Tux im Logo Gespr chsthema Nummer eins Kein Wunder denn Lizenzgeb hren sind bei Linux ein Fremdwort Die Grund version l ft sich als Freie Software kostenlos aus dem Internet herunterladen Die Benutzergruppe reicht von privaten Anwend
439. m Nach der erfolgreichen bersetzung der Quelltexte kann Samba mit make install installiert werden Nach der bersetzung und Installation mu Samba konfiguriert werden Das geschieht ber die Datei smb conf Sie liegt in aller Regel im Verzeichnis usr local samba lib Der Dateiaufbau hnelt stark den unter Windows blichen INL Dateien win ini system ini etc Jede einzelne Sektion innerhalb der smb conf besitzt eine berschrift die in eckige Klammern eingeschlossen ist In nerhalb der Sektionen wird ein einzelner Parameter mit Hilfe einer Zeile der Form Name Wert zugewiesen Zum Beispiel global printing bsd Lange Zeilen k nnen mit Hilfe eines Backslash Zeichens umbrochen werden Zwischen Gro und Kleinschreibung wird nicht unterschieden Kom mentarzeilen werden von einem Semikolon oder einem Doppelkreuz eingeleitet 280 9 Samba Die Konfigurationsdatei l t sich in drei Bereiche einteilen In der Sektion global werden Einstellungen vorgenommen die sich auf das allgemeine Verhalten des Servers auswirken Unter anderem l t sich hier festlegen ob verschl sselte Pa w rter verwendet werden sollen oder nicht Der Bereich mit dem Titel printers legt die Einstellungen f r Netzwerk drucker fest Der dritte Teil der Datei verwaltet die freigegebenen Plattenbereiche des Servers File Shares In der Standardinstallation von Samba ist hier bereits eine Sektion mit dem Namen homes einge
440. master netzmafia de netzmafia it l netzmafia de Auch hier mu zum Schlu wieder die Datenbank angelegt werden usr sbin makemap hash etc mail virtusertable db lt etc mail virtusertable 8 2 E Mail Server 2 2 8 Mailertable In der Datei etc mail mailertable bzw in der zugeh rigen Datenbank mailertable db werden in Abh ngigkeit von der Zieladresse bestimmte SMTP Server f r die Auslieferung der E Mail angegeben So erreicht man bei spielsweise auch da E Mails an lokale Benutzer auch lokal ausgeliefert werden und nicht den Umweg ber die Verbindung zum Provider nehmen Die Tabelle hat wieder zwei Felder je Zeile die durch Tabulator en getrennt sind Zum Beispiel www netzmafia de smtp www netzmafia de domain tld smtp 192 168 35 22 zum Schluss ein Auffangbecken fuer alles andere smtp mail netzmafia de Auch hier mu zum Schlu wieder die Datenbank angelegt werden usr sbin makemap hash etc mail mailertable db lt etc mail mailertable 2 2 9 Header Rewriting mit user db Diese Methode ist eigentlich veraltet und wird hier nur der Vollstandigkeit halber mit aufgenommen Will man From Header jeder abgeschickten E Mail so anpassen da ein korrekter From Header also normalerweise die eigene Adresse in jeder abgeschickten E Mail erscheint etwa bei den verschiedenen Webmastern virtueller Webserver sendmail bietet die M glichkeit abh ngig vom lokalen Login einen beliebigen From Header zu erzeugen D
441. matisieren will mu man das Programm etwas um schreiben Auf unserer Webseite finden Sie eine kommandozeilenorientierte Ver sion Die Syntax lautet makepasswd c Passwortdatei Username Passwort Wird der Parameter c angegeben kreiert das Programm eine neue Datei makepasswd kann in einem Shell Skript aufgerufen werden Das Programm soll te aber keinesfalls mit dem SUID Bit versehen werden daf r ist es nicht sicher ge nug Da Username und Pa wort im Klartext erscheinen und somit von jedem Be nutzer des Rechners ausgesp ht werden k nnten z B mit dem ps Kommando solle es auch nur auf Systemen ohne allgemeine Benutzeraktivit ten eingesetzt werden Da das Programm nur eine Abwandlung von ht passwd ist sei auch auf die Dokumentation zu htpasswd verwiesen Beim Linken mu die crypt Bibliothek eingebunden werden Wer will kann sich ein kleines Makefile schreiben CC gcc CFLAGS DLINUX 2 DUSE_HSREGEX LIBS lcrypt makepasswd makepasswd c CC S CFLAGS o makepasswd LIBS makepasswd c chmod 700 makepasswd rm f makepasswd o Sollten Sie eigene Programme zur Benutzerverwaltung schreiben wollen dann empfehlen wir die Sprache Perl Dort ist vieles wesentlich einfacher So reduziert sich das Erzeugen eines verschl sselten Pa worts auf die Zeile Scryptedpassword crypt password XX Dabei k nnen Sie f r die Zeichenkette XX jede andere 2 Zeichen Kombination verwenden z B auch die ersten beiden Buchsta
442. mba Servers und zum Erzeugen neuer Frei gaben meldet man sich als User root mit dem zugeh rigen Pa wort an Beachten Sie dabei da hier immer das Unix Passwort und nicht etwa das aus der smb passwd angegeben werden mu Nach dem erfolgreichen Login stellt der Browser ein hnliches Bild dar wie es in Abbildung 9 16 gezeigt ist E Netscape Samba wen Asministration Toor mom File Edit View Go Communicator Help sg 3 A 2 A amp 2 Back Forward Reload Home Search Netscape Print Security Stap Bookmarks Go To http Localhosd 901 d E Whats Related E Members Y WebMail 4 Connections 4 BizJoumal 4 SmartUpdate g Mktplace D STATUS Welcome to SWAT i Please choose a configuration action using one of the above buttons Documentation O smbd the SMB daemon O nmbd the NetBIOS nameserver H H H H H E H H H H i H H i e Daemons i i H i H j e Administrative Utilities j i smbstatus monitoring Samba i i O SWAT web configuration tool i i smbpasswd managing SMB passwords i i O make_smbcodepage codepage creation O testparm validating your config file i testpms testing printer configuration H i e General Utilities i nmblookup NetBIOS name query tool i i smbtar SMB backup tool i i i command line SMB client a Fins Cerne EE Abbildung 9 16 SWAT in Aktion 312 9 Samba Am oberen Rand be
443. me ist v llig ausreichend und ein guter Kompromi zwischen Aktualit t der Einstellungen und Fluktuation im Netzwerk Werden h ufig Rechner im Netz ausgetauscht k nnen k rzere Zeiten sinnvoll sein m Wie lang ist ein Klienten Rechner blicherweise eingeschaltet Holen die Be nutzer nur Post ab und schalten den Rechner dann wieder aus oder bleibt die Maschine den ganzen Tag eingeschaltet Wie viele Laptops werden von Zeit zu Zeit mit dem Netzwerk verbunden Wenn zum Beispiel Au endienstmitar beiter ihre Laptops immer nur f r kleine Intervalle ans Netzwerk koppeln um Daten zu sichern oder E Mail zu lesen sollte die Lease Time deutlich gerin ger ausfallen Zu empfehlen sind Default Lease Zeiten von 20 Minuten 1200 Sekunden und eine maximale G ltigkeitsdauer von einem Tag oder hnliche Werte 10 4 Installation der Klienten 321 Soll G sten der Zugriff auf das eigene Netzwerk gestattet werden Wie lange dauert ein solcher Besuch Ein Gastzugriff liegt vor wenn zum Beispiel ein Dozent bei einer Inhouse Schulung seinen Laptop mitbringt und in das Netz werk integriert Wenn Sie solche G ste erlauben sollte die Lease Time daran angepa t sein und eher k rzer also im Stunden oder Minutenbereich einge stellt werden Hat man die f r das eigene Netz g nstigste Lease Time ermittelt wird sie wie folgt in die dhcpd conf eingetragen Beispiel fuer lease time subnet 192 168 1 0 netmask 255 255 255 0 range 192 168 1 10
444. ml n n make sure the user entered a valid email address Stemp SFORM email Stemp s _ a g Stemp s a g unless Stemp w wt w wt print lt html gt lt head gt lt title gt E Mail Adresse eingeben lt title gt lt head gt n print lt body bgcolor FFFFFF gt lt br gt lt center gt lt font size 5 color FFO000 gt n print Bitte geben Sie die vollst auml ndige E Mail Adresse ein n print Bitte klicken Sie auf den Back oder Zur amp uuml ck Button Ihres Browsers n print lt body gt lt html gt n exit Smailthis From SFORM email n Smailthis Subject WWW majordomo commands n n Smailthis SFORM action if SFORM list Smailthis S FORM list if SFORM file Smailthis FORM file open MAIL Smailprogram print MAIL Smailthis n close MAIL print lt html gt lt head gt lt title gt Danke lt title gt lt head gt lt body gt n print lt hl align center gt 0 K lt hl gt lt P gt Die Kommandos wurden an Majordomo abgeschickt n print lt A HREF SFORM origin gt lt H3 gt Zur amp uuml ck lt H3 gt lt A gt n print lt body gt lt html gt n Vergessen Sie nicht in den beiden Variablen mailprogram und mailthis den Pfad zu sendmail oder einem anderen Mailprogramm und die richtige Ziel adresse einzutragen Danach wird das Skript im Verzeichnis cgi
445. mmer auf eine schlechte Software hin Vielmehr h ngt die Anzahl der entdeckten Fehler auch von der H ufigkeit des Einsatzes ab und davon wie wichtig der angebotene Dienst ist Es ist brigens von Anfang an Absicht gewesen den Umfang des Buchs auf ca 400 Seiten zu halten Es soll niemals eine allumfassende Dokumentation darstellen sondern einen schnellen Einstig vermitteln und die wichtigsten Punkte behan deln Wer ernsthaft Internet oder Intranet Server betreibt ist sowieso gezwun gen sich irgendwann in die Dokumentation seiner Software einzulesen aber eben erst dann wenn es gilt ein spezielles Problem zu l sen brigens mu ten wir auch f r die Produktion des Buches unsere gewohnte Um gebung nicht verlassen denn es wurde mit dem Editor vi geschrieben und mit BIEX gesetzt Die Bilder sind mit gimp xfig und xv erstellt worden Geholfen hat uns dabei auch das Buch Textverarbeitung mit IEN 2e von Wolfgang Mauerer aus dem Hanser Verlag M nchen August 2003 J rg Holzmann holzmann netzmafia de Jiirgen Plate plate netzmafia de Kapitel 1 Einf hrung 1 1 Internet und Intranet Das sogenannte Internet ist in erster Linie eine technische M glichkeit mit vie len Partnern weltweit die unterschiedlichsten Informationen auszutauschen Der Begriff Internet bezeichnet den Zusammenschlu von zwei oder mehr lokalen Netzen zu einen gr eren Verband Alle Rechner des einen Netzes k nnen mit allen Rechnern
446. mpression funktionierender Standard zur Darstellung von Bewegtdaten QuickTime Multimedia Spielt im WWW eine wichtige Rolle Neben Text beinhalten viele Sites auch Bilder JPEG GIF PNG Tondateien AU LiveAudio WAV MIDI Animationen Shockwave und Quick Time Filme MUD Multi User Dungeon Spiel auf dem Internet bei dem jeder Mitspieler in eine fiktive Rolle schl pft benannt nach dem Original MUD Dragons and Dungeons MUDs werden inzwischen aber auch als Hilfsmittel f r Online Konferenzen sowie als Unterrichtshilfe eingesetzt MX MaileXchange Record Ein Eintrag in Transportsoftware Konfigurationen der Hinweis darauf gibt ber welchen Rechner eine bestimmte Nachricht ge hen mu damit sie beim eigentlichen Adressaten ankommt MX ist auch ein Rechner der stellvertretend f r einen anderen Rechner Daten entgegennimmt Nameserver Auch Domain Name Server genannt Rechner im Internet der eine Tabelle mit Domain Namen und den zugeh rigen IP Adressen enth lt Wird in der Regel vom Provider gestellt NCSA National Center for Supercomputing Applications Neben dem CERN ei ne der urspr nglichen Entwicklungsst tten des WWW Der NCSA Webserver ist immer noch weit verbreitet A Glossar 413 Netiquette Kunstwort aus Network Etiquette definiert korrekte Verhal tensweisen im Internet Netzwerk Administrator Gef hrlichste Komponente eines Netzwerks Neben Putzdiensten s u die h ufigste Ursach
447. mputemamen den Namen der Arbeitsgruppe und eine kurze Beschreibung des Computers ein Computername pe amp s Arbeitsgruppe fnetzbuch Beschreibung Abbrechen Abbildung 9 4 Eintragen des NetBIOS Namens m Nach einem Klick auf ok landen Sie wieder im Fenster Netzwerke Kontrollie ren Sie hier da unter Prim re Netzwerkanmeldung Client f r Microsoft Netzwerke 9 4 Verschl sselt oder unverschl sselt 285 eingestellt ist und klicken Sie auf ok m Nach dem unter Windows obligatorischen Reboot des Rechners kann man sich mit Benutzernamen und Pa wort bem Samba Server anmelden 9 4 Verschliisselt oder unverschl sselt Bevor sich der erste Klientenrechner beim Server anmeldet ist eine wichtige Fra ge zu kl ren Soll die bertragung der Pa w rter im Klartext oder verschl sselt geschehen W hrend Windows f r Workgroups und Windows 95 generell unver schl sselte Pa w rter bertragen senden Windows 98 Windows 2000 Windows NT ab Service Pack 3 und XP sie standardm ig verschl sselt Generell haben Sie zwei M glichkeiten 1 Sie ndern bei Rechnern die Pa w rter verschl sseln die Registrierdatei dergestalt ab da diese wieder unverschl sselte Pa w rter bertragen Das ist mit jeder der genannten Windows Versionen m glich Der Nachteil be steht nat rlich darin da nun die bertragenen Kennw rter abgeh rt wer den k nnen In gro en Netzen ist das ein
448. mputer vorgeschaltet sein und rund um die Uhr laufen k nnen eine betr chtliche Anforderung zu einer Zeit in der Rechner jede Wo che f r einige Stunden gewartet werden mussten Der Bau des IMP durch BBN erfolgte nach einer Ausschreibung der Forschungsabteilung im Verteidigungsmi nisterium die an 140 Firmen geschickt wurde Damals f hrende Firmen wie IBM und Control Data lehnten die Ausschreibung als nicht realisierbar ab nur die kleine BBN wagte es die vier IMPs anzubieten Sie wurden kurzerhand auf Basis eines Honeywell 516 von Grund auf neu konstruiert Frank Heart war der leitende Ingenieur beim Bau der IMPs Wir haben das In ternet bei BBN berhaupt realisiert Es ist wie mit Einstein Der erz hlt etwas von 1 2 Entwicklung des Internet 19 e me und die Leute vom Alamos Project bauen die Bombe erkl rte Heart ge gen ber Reuters auch die Nachrichtenagenturen halten sich an unterschiedliche Versionen Dennoch kann man den Bau eines IMP nicht ohne die Vorarbeit sehen Den An sto zur Konstruktion der ganzen Netzwerktechnik gab Bob Taylor ein Mitarbei ter der Advanced Research Projects Agency ARPA Er rgerte sich ber die Tat sache da er drei verschiedene Terminals brauchte um mit drei Universit ten zu kommunizieren an denen die ARPA milit rische Grundlagenforschungen finan zierte Sein Wunsch nach einer einheitlichen Kommunikation wurde von J C R Licklider aufgenommen der zusammen mit Bob Taylo
449. mutex interner Semaphor lt IfDefine gt Wenn Sie einen Session Cache einrichten k nnen SSL Verbindungen wieder aufgenommen werden Das kann gegebenenfalls den Datenaustausch be schleunigen Sie k nnen entweder SSLSessionCache auf none setzen oder dbm pfad zu einer datei einrichten lt IfDefine SSL gt SSLSessionCache none SSLSessionCache dbm var log ssl_scache SSLSessionCacheTimeout 300 lt IfDefine gt Fehler und Zugriffe lassen sich getrennt protokollieren indem Sie eine Logdatei angeben Die Log Level sind in aufsteigender Ordnung d h h here Level schlie en die niedrigeren ein none error warn info trace debug 4 14 Sichere Kommunikation mit Apache SSL 169 lt IfDefine SSL gt SSLLog var log httpd ssl_engine_log SSLLogLevel info lt IfDefine gt Jetzt endlich kann der virtuelle Host f r die SSL Verbindungen eingerichtet wer den Damit landen http Verbindungen auf Port 80 des Rechners und die gesicher ten https Verbindungen auf Port 443 des gleichen Hosts Es lassen sich aber ver schiedene Dokumenten Verzeichnisse oder auch CGI Verzeichnisse einrichten Falls der virtuelle Host schon in der Distribution fertig enthalten war m ssen Sie nur noch die Option SSLEngine auf on setzen Weitere Informationen sind im folgenden Ausschnitt der Konfigurationsdatei als Kommentare enthalten lt IfDefine SSL gt lt VirtualHost _default_ 443 gt DocumentRoot opt www ssldocs
450. n Nat rlich gibt es auch andere Techniken beispielsweise das Schreiben eines Wrappers oder das Einbinden der Warenkorb Ausgaben mit SSI Das ist aber ei gentlich ein statisches Verfahren das bei zahlreichen Warenkorb Kategorien rela tiv viel Arbeit macht Der selbstgeschriebene Wrapper gibt nach au en zu erken nen da hier ein Skript l uft mod_rewrite umgeht all diese Probleme weil es dynamisch ist und direkt im Server Kern wirksam wird Das mod_rewrite Modul ist eigentlich in der Standarddistribution des Apache enthalten Falls nicht m ssen Sie es in gewohnter Weise nachinstallieren In der Apache Konfigurationsdatei httpd conf aktivieren Sie die folgenden Zeilen in dem Sie die Kommentarzeichen entfernen Je nach Konfiguration und Distributi on m ssen Sie gegebenenfalls die Zeilen auch hinzuf gen bzw modifizieren LoadModule rewrite_module modules mod_rewrite so AddModule mod_rewrite c Nach einem Neustart des Apache ist das Modul nun zwar geladen arbeitet aber noch nicht Dazu m ssen Sie noch etwas mehr Code in der Datei hinzuf gen bzw die Kommentare entfernen lt IfModule mod_rewrite c gt RewriteEngine on RewriteRule computer html cgi bin shop cgi action showskat 351 lt IfModule gt Die erste Zeile aktiviert die RewriteEngine des Moduls die zweite definiert ei ne erste Regel f r das URL Umschreiben Vor Inkrafttreten ist wieder ein Neustart des Apache n tig brigens lassen sich solche Direktiven
451. n Benutzer der meisten Distributionen tun sich leicht denn hier liegt alles schon fertig vor man mu nur die Pakete OpenSLL und mod ssl 4 14 Sichere Kommunikation mit Apache SSL 163 zus tzlich zum Apache installieren Auf alle anderen kommt etwas Arbeit zu F r den Betrieb von Apache mit SSL braucht man drei Quellpakete m Apache V1 3 xx m mod_ssl V2 8 xx m OpenSSL V0 9 xx Wir haben Apache V1 3 22 mod_ssl V2 8 5 und OpenSSL V0 9 6b ver wendet Zu beachten ist da es zu jeder Version von Apache genau eine passende mod_ss1 Version gibt F r alle folgenden Beispiele wird das Verzeichnis opt als Ausgangsverzeich nis gew hlt In dieses Verzeichnis werden die Quellpakete hineingeladen und dort werden alle Programme compiliert und davon ausgehend installiert Man kann nat rlich jedes beliebige Verzeichnis als Basis verwenden Einige Komman dos haupts chlichmake install lassen sich nur als Benutzer root ausf hren OpenSSL Das OpenSSL Projekt entwickelt den Secured Socket Layer SSL V2 V3 und die Transport Layer Security TLS V1 auf OpenSource Basis Dazu geh rt eben falls eine universelle Bibliothek mit kryptographischen Algorithmen OpenS SL basiert auf der exzellenten SSLeay Bibliotek von Eric A Young und Tim Hudson OpenSSL hat eine Apache hnliche Lizenz Der Quellcode kann von http www openssl org geladen werden Das Kompilieren und Installieren von OpenSSL ist problemlos cd opt gunzip openss
452. n Dann lassen sich die ULRs untereinander schreiben Bei spiel siehe oben Bei einer gr eren Zahl von URLs ist es g nstiger die Liste in eine externe Text Datei zu schreiben und diese in htdig conf einzubinden Es wird dann statt der URL ein Dateiname eingeschlossen von Backquotes spezifiziert start_url common_dir start url Der Ausdruck common_dir ist Platzhalter f r das common Verzeichnis von htDig in dem sich in diesem Beispiel die Text Datei start url befindet 5 10 Die Konfiguration von htDig 205 m limit_urls_to Dieses Attribut legt die Indizierungstiefe fest Der Default Wert ist die in URL die als start_url angegeben wurde Auf diese Weise wird sichergestellt da nur Seiten der angegebenen URL s indiziert werden Dokumente mit URLs und Hyperlinks zu Seiten au erhalb der URL s werden nicht in den Index mit aufgenommen m exclude_urls Mit diesem Attribut k nnen explizit URLs angegeben werden die man von der Indizierung ausschlie en will In der Default Einstellung sind alle CGI Programme ausgeschlossen Es lasssen sich sowohl Pfade als auch Teile von Dateinamen angeben Es werden alle Dateinamen mit Pfad ausgeschlossen welche die angegebenen Zeichenketten enthalten Beispiel exclude urls cgi bin sys cgi pl privat neu bad extensions Mit diesem Attribut gibt man Datei Endungen von Dokumenten an die beim Indizieren bergangen werden sollen Zur Erinnerung htDig kann in der
453. n Die Syntax des Befehls ftpshut ftpshut 1 minutes d minutes shutDownTime message Hier ist shutDownTime die Zeit in der der Dienst heruntergefahren wird und message die Mitteilung die bei den aktiven Benutzern in dem Moment erscheint in dem ihre Verbindung zum Dienst unterbrochen wird Die Mitteilung kann jedes der f r den Befehl banner verf gbaren Makros enthalten a 1 legt die Zeit fest ab der kein Login mehr m glich ist default 10 Min d die Zeit bei der die aktiven Benutzer herausgeworfen werden default 5 Min ftprestart Der Befehl startet den mit ftpshut suspendierten FTP Dienst wieder indem die Shutdown Datei gel scht wird Das Programm hat keine Parameter und gibt eine kurze Statusmeldung aus 114 3 FTP Server ftpwho Der Befehl ftpwho sagt Ihnen wie viele Personen in jeder Benutzerklasse FTP gerade benutzen und wie viele pro Benutzerklasse erlaubt sind Das Format der Ausgabe von ftpwho hnelt jener des Befehls ps F r jede definierte Benutzer klasse wird eine Zeile ausgegeben ftpcount Der Befehl ftpcount sagt Ihnen wie viele Personen in jeder Benutzerklasse al tuell auf den FTP Dienst zugreifen Er gibt Ihnen auch die maximale Anzahl der Benutzer an die zur gleichen Zeit erlaubt sind Auch hier gibt es f r jede Benut zerklasse eine Zeile Mit Hilfe des Statistik Tools Webalizer lassen sich auch Statistiken des FTP Zugriffs erstellen mehr dazu finden Sie auf Seite
454. n ti gen Kenntnissen kann diese Datei wirklich direkt von Hand bearbeitet werden Gl cklicherweise gibt es aber auch einen anderen Weg der f r Standardkonfigu rationen v llig ausreichend ist sendmail ist eigentlich ein h chst komplexer Regelinterpreter Die Steuerdatei sendmail cf besteht aus verschiedenen Abschnitten in denen Makros Klassen Optionen und die ber hmt ber chtigten Regeln Rule Sets definiert werden Die Regeln nehmen die Umformungen der Adressen vor F r eine schnelle und effiziente Verarbeitung der Konfigurationsdatei beginnen s mtliche Einstellungen mit einem eindeutigen Namen in der ersten Spalte So beginnt beispielsweise eine Regel mit einem gro en R in der ersten Spalte ein Makro mit einem gro en D oder ein ganzer Regelsatz mit einem gro en S Makros k nnen sp ter wieder in Regeln auftauchen Die am h ufigsten vorkom menden Makros sind w f r den Kurznamen m f r die Domain j f r den vollen Rechnernamen oder w f r alle Namen unter denen der Rechner Mail empf ngt Manche Makros werden dabei erst zur Laufzeit bei der Bearbeitung einer Mail g ltig wie z B h f r den Host Namen des Empfangsrechners oder Sb f r das aktuelle Datum Mit den Makros kann man wiederum neue definie ren So erzeugt z B Dj w m den vollen Rechnernamen Kurzname und Do main getrennt durch einen Punkt Mittels Regeln kann sendmail den passenden Mailer f r eine gegebene Adresse ausw hlen und die Adressen von S
455. n vom W3 Consortium entwickelt HTML ist eine Content based Markup Lan guage mit SGML Syntax HTML unterst tzt ein logisches Markup bei dem A Glossar 409 die logische Bedeutung der Textteile so festgelegt wird da sie vom jeweiligen Web Browser in der f r den Benutzer Client optimalen Form dargestellt wer den k nnen HTTP HyperText Transport Protocol standardisiertes Protokoll mittels dessen sich Web Server und Browser miteinander unterhalten HTTPS HTTP ber SSL Hub Regenerierverst rker f r sternf rmige Verkabelungsmedien In der Funk tionsweise vergeleichbar mit dem Repeater Hyper G Von der Uni Graz entwickeltes Hypertext System gegen ber HTML verfeinert bislang aber noch nicht verbreitet auch Hyperwave Hypertext Unter Hypertext versteht man Texte mit Querverweisen die hnlich wie in einem Lexikon oder in einer Literaturliste die Verbindung zu weiteren Informationen herstellen Hyperlink 1 Per Mausklick aktivierbare Verbindung zu einer anderen Web seite oder zu einem beliebigen Element in einem HTML Dokument wird im Browser Fenster meist als unterstrichener und farblich hervorgehobener Text blau erkennbar 2 anderes Wort f r extrem gemein Hypermedia Mit Hypermedia bezeichnet man Multi Media Systeme Texte Bil der und T ne mit Querverweisen wie bei Hypertext IAB Das Internet Architecture Board ist f r die technische Weiterentwicklung der Internet Prot
456. n Anzahl an Prozessen weniger Resourcen als das MPM prefork Der Start des Vaterprozesses geschieht auch hier in der Regel un ter root Alle Kindprozesse nehmen den Benutzerkontext an der in der Konfi gurationsdatei f r User und Group angegeben wurde Das Produkt aus Threads PerChild und MaxClients ergibt hier die maximale Anzahl simultaner Anfragen f r den Webserver insgesamt Bild 4 4 mpm_netware Dies ist ein rein thread basiertes MPM mit nur einem einzigen Prozess f r den Apache Webserver und wurde f r den Einsatz mit Novell Net ware optimiert Der Haupt Thread bernimmt hier die Aufgabe des Startens von Worker Threads die ihrerseits die HTTP Anfragen entgegennehmen m mpm_winnt Dieses MPM benutzt einen Kontrollprozess und einen Ar beitsprozess der Anfragen in einzelnen Threads bearbeitet Dies entspricht der Arbeitsweise von Apache 1 3 unter Windows NT 4 16 Apache 2 0 179 Die Direktive ServerType wie sie in Version 1 3 genutzt wurde um das Startver halten unter UNIX festzulegen gibt es in Version 2 0 nicht mehr Hier wird das Startverhalten nun durch die Auswahl des entsprechenden MPM bestimmt Ein Multi Processing Module f r die Verwendung des Apache Webservers mit dem inetd D mon unter UNIX gibt es bislang jedoch nicht Apache Elternprozess Threads Apache Kindprozess Konfigurationsdatei 500973 SP VAAL Threads Abbildung 4 4 Worker MPM des Apache 2 0 Der Prefo
457. n Archiv wird es neu angelegt hypermail u m einbrief d opt www htdocs archiv hat den selben Effekt nur da die Daten aus der Datei einbrief kommen hypermail x m briefe d opt www htdocs archiv verarbeitet alle E Mails in der Datei briefe zu einem neuen Archiv Existierte das Archiv bereits sind die alten Daten gel scht Gab es noch kein Archiv wird ein neues angelegt hypermail m briefe d opt www htdocs archiv f gt die E Mails aus der Datei briefe zum Archiv hinzu Egal mit welchen Parametern Hypermail aufgerufen wird die Indexdateien wer den immer neu generiert Am nderungsdatum der Indexdateien l t sich somit auch leicht erkennen wann das Archiv zuletzt aktualisiert wurde Einige nicht so wichtige Kommandozeilenparameter wurden hier weggelassen Informationen dar ber finden Sie in der Hypermail Dokumentation Mit dieser Beschreibung ist das Mailarchiv auch schon lauff hig Wer mehr m chte mu sich mit der Konfigurationsdatei oder mit der beigelegten Dokumentation aus einandersetzen 12 2 2 Konfigurationsparameter Auch hier erhalten Sie nur eine Auswahl der wichtigsten M glichkeiten alles Wei tere finden Sie in der Hypermail Dokumentation Die Reihenfolge der Parameter auswertung ist m Zuerst die einprogrammierten Voreinstellungen aus options h dann die Umgebungsvariablen 354 12 Webforum einrichten mit Hypermail m anschlie end die Kommando
458. n Sie zumindest den Content Header ausgeben Apache erm glicht die Erstellung von Verzeichniskonfigurationsdateien htaccess Die Anweisung AllowOverride bestimmt ob und wie die se Dateien beachtet werden Die Default Einstellung ist All Dadurch berpr ft Apache bei einem Zugriff auf eine Datei in allen dar berliegenden Verzeichnissen bis zum Wurzelverzeichnis ob eine htaccess Datei vorhanden ist Je l nger der absolute Pfad desto mehr berpr fungen F r die h chste Performance sollten Sie diese Funktion global abschalten und falls ben tigt nur f r bestimmte Verzeichnisse htaccess Dateien zulassen Die dar berliegenden Verzeichnisse werden dann nicht mehr berpr ft 4 9 Server berwachung Neben der Pflege der Inhalte ben tigt die berwachung des Servers einen gewis sen Zeitaufwand Zum einen mu sichergestellt sein da der Server immer ein wandfrei l uft zum anderen sollen eventuelle Eindringlinge m glichst fr hzeitig entdeckt werden Als sinnvoll hat sich herausgestellt bei den Verzeichnissen htdocs und cgi bin das Setgroupid Bit zu setzen da alle hier abgelegten Dateien und Verzeichnisse automatisch zur Gruppe nogroup geh ren Dateien werden dadurch mit dem Modus 644 und Verzeichnisse mit 755 angelegt Die Dateien d rfen keine Schrei brechte f r other besitzen Normalerweise gibt es zwei Logfiles http access und http error In httpd access werden alle Seitenzugriffe protokolliert Das Format dieser Da
459. n der Mailbox sehr_privat rs From andrea provider de sehr_privat Mails in deren Subject irgendwo die Zeichenkette Wichtig vorkommt werden im Folder Mail wichtig gespeichert 0 Subject Wichtig x Mail wichtig S mtliche Mails an die Domain an eine bestimmte Adresse weiterleiten Hinter To steht nur ein Punkt br TO plate netzmafia de Spam Filter M chte man bestimmte Mails gar nicht speichern so gibt man als Folder einfach dev null an Ankommende Mails werden dann sofort automatisch und unwi derruflich gel scht 0 Subject money x dev null Spam von den folgenden Absendern com Domains geht direkt ins Nirwana 0 From Q sexy somE Mail answerme aol com dev null Der folgende Receipe generiert die Meldung Returned Mail User unknown 0 TO_bounce SPAMMER_DOMAIN EXITCODE 67 HOST 2 4 Mail holen mit Fetchmail 91 Und der Rest Wichtig ist da die folgenden Zeilen am Ende des Filters stehen Os incoming Das bedeutet da alle Mails die nicht herausgefiltert wurden nach incoming geschrieben werden Fehlt diese Zeile gehen diese Mails jedoch nicht verloren sondern werden unter var spool mail USER gespeichert Weiterleiten an ein Programm Das folgende Beispiel leitet Mails die das Wort robot im Empf nger aufwei sen an das Programm usr local bin mailrobot weiter Die Weiterleitung funktioniert so
460. n mit dem Sendmail Feature FEATURE redirect werden dann Mails f r den nicht mehr vorhandenen User ehemalig an den Absen der zur ckgeschickt zusammen mit der aktuellen E Mail Adresse die zu verwenden ist Nach einigen Monaten kann dann auch diese Alias Definition gel scht werden Mit dieser Vorgehensweise werden also Mails zun chst noch eine Zeitlang nachgesendet dann gehen sie zur ck an den Absender erst danach kommt eine Fehlermeldung m Es lassen sich auch Mailverteiler eintragen netmaster plate holzmann root Eine E Mail an netmaster wird im Beispiel an drei verschiedene Accounts geschickt m Die Zieladressen des Mailverteilers lassen sich auch in einer Datei speichern Diese Datei kann irgendeinem Benutzer geh ren der diese Mailingliste ver waltet Eine Mailingliste ist schon optisch g nstiger als eine endlose Reihe von Adressaten im Mail Header Au erdem erf hrt so nicht jeder wer noch im Mailverteiler steht Die Zeile in etc aliases verweist auf die Datei wichtel include home plate wichtel mailingliste Die Datei enth lt in jeder Zeile eine komplette Mailadresse Durch Hinzuf gen und L schen von Zeilen kann die Liste aktualisiert werden Ein wichtiger Hinweis Sendmail nutzt nicht direkt diese Datei sondern eine von dieser Datei abgeleitete Datenbank aliases db Diese wird mit dem Komman do newaliases generiert Sie m ssen also nach jeder nderung dieser Datei den Befehl newaliases aufruf
461. n richtet f r https einen virtuellen Server ein wie es im folgenden geschildert wird Wichtig ist es auch im Startskript den Apache Daemon f r SSL Verbindungen freizugeben Das geschieht durch den Zusatz DSSL auf der Kommandozeile Da mit wird lediglich das Makro SSL definiert auf das sich die Konfigurationsein tr ge mit lt IfDefine SSL gt beziehen Bei vielen Distributionen erfolgt dieser Aufruf automatisch sobald das SSL Modul verf gbar ist 168 4 WWW Server Apache In der Konfigurationsdatei des https Servers stellen Sie die Eintr ge des betreffen den virtuellen Servers auf Standardport ist Port 80 Falls SSL definiert wurde kommen Port 443 und die Module hinzu Port 80 lt IfDefine SSL gt Listen 80 Listen 443 lt IfDefine gt lt IfDefine SSL gt LoadModule ssl_module opt apache_1 3 22 libssl so AddModule mod_ssl c lt IfDefine gt Dann werden noch zwei MIME Typen f r den Download von Zertifikaten hinzu gef gt lt IfDefine SSL gt AddType application x x509 ca cert crt AddType application x pkcs7 crl worl lt IfDefine gt Die folgenden Zeilen sind meist schon in der Konfigurationsdatei enthalten Sie legen einige Parameter f r das SSL Modul fest und k nnen auf den Standardein stellungen belassen werden lt IfDefine SSL gt SSLPassPhraseDialog builtin Pass Phrase Dialog SSLRandomSeed startup builtin Pseudozufallszahlen SSLRandomSeed connect builtin SSLMutex file var log ssl_
462. n z B durch einen der sp ter beschrie benen Denial of Service Angriffe geschehen so da er keine Anfragen mehr beantworten kann Anschlie end wird auf einen ARP Request des Opfers ge wartet Da der eigentlich angesprochene Rechner keine Antwort senden kann ist es dem Angreifer nun m glich einen gef lschten ARP Reply an das Opfer zu schicken Dieser tr gt die falsche Adresse in seine ARP Queue ein und verschickt 13 7 Angriffe ber das Netz 375 nun alle folgenden Nachrichten statt an den eigentlichen Zielrechner an den Rech ner des Angreifers 13 7 2 Security im Transport und Network Layer ICMP Tunneling Alle ICMP Messages verf gen ber ein Datenfeld dessen Bedeutung nicht festgelegt ist und das im Normalfall nicht benutzt wird Da mit bietet sich die M glichkeit an Informationen ber ICMP Messages zu verschicken falls kein anderer Dienst daf r zur Verf gung steht Es ist so mit m glich Nachrichten aus einem Netzwerk das z B hinter einem Fire wall steht herauszuschmuggeln Eine besondere Gefahr stellt das ICMP Tunneling dar weil ICMP oft als harmlos eingestuft wird und Firewalls die Pakete ungefiltert passieren lassen IP Spoofing Beim IP Spoofing wird die ungen gende berpr fung des Kommunikationspartners unter TCP IP ausgenutzt um mit gef lschten IP Adressen einem Rechner falsche Informationen unterzuschieben Oft werden diese Attacken benutzt um falsche Routing Informationen an ein
463. nach den von Hypermail erzeug ten Indexdatei Texten eingef gt Die Datei mu die HTML Tags lt BODY gt und lt HTML gt enthalten HM_MHTMLHEADERFILE Datei Angabe einer Datei die alle Headerinfor mationen f r die Nachrichtendateien enth lt Sie wird vor dem von Hyper mail erzeugten Nachrichten Texten eingef gt Die Datei mu die HTML Tags lt HTML gt lt HEAD gt lt HEAD gt und lt BODY gt enthalten HM_MHTMLFOOTERFILE Datei Angabe einer Datei die alle Schlu infor mationen f r die Nachrichtendateien enth lt Sie wird nach den von Hyper mail erzeugten Nachrichten Texten eingef gt Die Datei mu die HTML Tags lt BODY gt und lt HTML gt enthalten Es gibt noch weitergehende M glichkeiten die Ausgabe von Hypermail zu ge stalten Hierf r verweisen wir aber auf die Dokumentation zu Hypermail 12 3 WWW Interface f r Hypermail Zu einem Infoboard fehlt eigentlich nur noch eine Webschnittstelle um die E Mail in einem Formular einzugeben die profane M glichkeit des mailto Links lassen wir mal beiseite So ein Formular kann recht einfach gestaltet werden Der Surfer mu lediglich E Mail Adresse Betreff und Text eingeben und dann das Formular absenden Das Formular besteht aus einigen Zeilen HTML lt HTML gt lt HEAD gt lt TITLE gt WWWW to E Mail lt TITLE gt lt HEAD gt lt BODY gt lt Hl gt E Mail Kommentar lt Hl gt 356 12 Webfo
464. nd her geschickt Man kann mit ping testen ob ein Rechner im Netz erreichbar ist Das Programm ping erzeugt ICMP Echo Request Pakete die mit ICMP Echo Response Paketen beantwortet werden wenn sie das angegebe ne System erreichen Das Zielsystem kann durch seinen Systemnamen falls in der etc hosts oder im Nameservice enthalten oder durch seine Internet Adresse an gegeben werden Durch den einfachen Aufruf ping donald erh lt man je nach System die Meldung donald is alive oder es wird pro Sekunde 1 Daten paket gesendet Die als Echo zur ckkommenden Pakete werden angezeigt Ab gebrochen wird das Ping Pong Spiel durch das Interrupt Signal Ctrl C Nach dem Abbruch von ping wird noch eine kurze Statistik ausgegeben die wortkar ge Variante von ping mu man durch die Option s zur Dauerarbeit bringen Besonders interessant ist die Angabe packet loss also der Prozentsatz der nicht beantworteten Pakete Bei einer einwandfreien Verbindung insbesondere in ei nem lokalen Netz sollte hier eigentlich immer 0 stehen Im Falle von 100 ist definitiv etwas nicht in Ordnung Passiert dies bei allen Systemen so ist das Netz defekt Beispiel ping www e technik fh muenchen de PING www e technik fh muenchen de 129 187 206 140 56 data bytes 64 bytes from 129 187 206 140 icmp_seg 0 ttl 242 time 48 9 ms 64 bytes from 129 187 206 icmp_seg 1 ttl 242 time 4 64 bytes from 129 187 206 icmp_seg 2 tt1 242 time 4 64 bytes from 129 187 2
465. ndmail sacs asc 0 23 amp 2 AG a a a a 69 2 2 1 Die Datei sendmail cf einrichten 72 2 2 2 Beispiele ss srece seves eee a eg eee nah 73 22 3 Die Date etc aliases 77 2 24 Die Datei forward 79 2 2 5 Mailrelayund filter o o ooo 79 22 6 Genericstable ee 6b wd hee o a 8 2 2 7 Virtusert ble se ouie sierra 08 8 1 a klaus aa 81 2 28 Maillertabler lt a ais ir a 82 2 2 9 Header Rewritingmituser db 82 2 2 10 Sendmalil testen 83 2 3 Mail filtern und verteilen mit Procmail 85 2 3 1 Konfiguration ss aea ooo 87 2 3 2 Beispiele 4 cde pee Sa acia ea 88 2 3 3 Fehlersuche 0 00 eee eee ee eee 91 2 4 Mail holen mit Fetchmail 0 0000s 91 2 4 1 Erstellen des rc Files 92 2 4 2 Multidrop Modus ss se ce smaad o aot isms 94 2 5 Spamfiltet gecis e ra a wie deer ende der es 95 3 FTP Server 99 31 Grundlagen 40 ara Asa naher ei 99 3 2 der wu ftp Daemo0n o o 100 33 Installato ess rae e a E a a 101 34 Konfiguration 4 ose es s aea arena ae 102 3 4 1 Aktivierung des Daemons o es soose au eens i cewa 102 3 4 2 Anlegen des Anonymous Users naaa aaa 103 3 4 3 Kommandozeilenparameter des wu ftpd 106 3 4 4 Die Datei ftpusers 2 CC mn nennen 106 3 4 5 Die Datei Crpoonuersions 0 2 0 107 3 4 6 Die Datei ftpaccess 2 nennen 108 3 4 7 Nachrichtendateien des wu
466. nen Dokumente auf einer HTML Seite dargestellt werden sollen m Sortierung Sortiert werden kann nach Ranking Zeit Datum Titel aufstei gend oder absteigend 200 5 Die lokale Suchmaschine 5 9 4 Felder im Suchformular Das Suchformular bietet zahlreiche M glichkeiten die Ausgabe des Ergebnisses zu steuern F r diese Modifikationen k nnen die einzelnen Felder entweder als Radiobuttons Auswahlboxen oder Hidden Felder definiert werden Im einfach sten Fall gen gt ein Textfeld f r die Suchbegriffe und ein Submit Button Alle anderen Felder werden dann mit Voreinstellungen aus der Datei htdig conf bzw aus dem Quelltext belegt Weiter unten bei der Erl uterung der Dateien im common Verzeichnis finden Sie ein Musterformular das alle wichtigen Felder belegt hat Daher erfolgt an dieser Stelle nur eine Auflistung der Feldnamen mit einer kurzen Beschreibung m config Gibt den Namen eine Konfigurationsdatei an Der Name wird oh ne Pfad und ohne die Endung conf angegeben DIe Datei mu sich im CONFIG_DIR befinden Punkte im Dateinamen sind aus Sicherheitsgr nden nicht erlaubt Deshalb wird auch die Endung automatisch erg nzt Default htdig m exclude Alle URLS auf die das angegebene Textmuster pa t werden bei der Suche ignoriert Default m format Name des Templates f r die Ausgabe der Suchresultate Es gibt zwei Standardformate builtin long und builtin_short Der format Wert kann entwede
467. ner Datensammlung entscheiden m Formelles Gesetz 1 Bundesgesetze und referendumspflichtige allgemeinverbindliche Bundes beschl sse 2 F r die Schweiz verbindliche Beschl sse internationaler Organisationen und von der Bundesversammlung genehmigte v lkerrechtliche Vertr ge mit rechtsetzendem Inhalt m Grunds tze 1 Personendaten d rfen nur rechtm ig beschafft werden 2 Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und mu verh lt nism ig sein 3 Personendaten d rfen nur zu dem Zweck bearbeitet werden der bei der Beschaffung angegeben wurde aus den Umst nden ersichtlich oder ge setzlich vorgesehen ist 13 1 2 Web Server Standort Soll der Server beim Provider stehen oder in der eigenen Firma In den meisten F llen wird man die Dienste eines Providers in Anspruch nehmen und das WWW Angebot auf einem Server des Providers halten In diesem Fall ist nat rlich auch der Provider verantwortlich f r die Abwehr von Angriffen auf sei ne Rechnersysteme aber nur soweit diese in seinem Einflu bereich liegen also beispielsweise das Anzapfen von Leitungen oder Sicherheitsl cken im Betriebs system betreffen Wenn Sie als Kunde unvorsichtig mit Ihrem Zugangspa wort umgehen liegt die Verantwortung bei Ihnen Ebenso sind die Kunden eines Pro viders f r die eingespielten Angebote juristisch haftbar z B bei Copyrightverlet zungen Seltener ist wohl der Fall da ein eigener Server Rechner beim Pro
468. nfalls den am Anfang einfuegen Slistdirs 0 if defined ein dirs directories split ein dirs 5 2 Lokal suchen 189 for 1 0 i lt S directories i Sdirectories 1 Sdirectories i unless directories i Slistdirs 1 auszuschliessende Directories im Array excldirs speichern gegebenenfalls den am Anfang einfuegen Sexdirs 0 if defined ein exdirs excldirs split Sein exdirs for i 0 i lt Stexdirs i Sexdirs i Sexdirs i unless S exdirs i Sexdirs 1 Log schreiben amp Writelog Print HTML Header print Content type text html r n r n print lt HTHL gt An print lt HEAD gt lt TITLE gt Webserver Suche lt TITLE gt lt HEAD gt An print lt BODY BGCOLOR FFFFFF TEXT 000000 LINK 0000FF print VLINK 0000CC ALINK FFO0000 gt An print lt Hl ALIGN CENTER gt Suchergebnis lt Hl gt n Formular fuer weitere Suche einfuegen amp Formular Ergebnisse als Liste ausgeben print lt UL gt n if listdirs foreach dir directories amp CheckFiles BASE dir J else amp CheckFiles BASE print lt UL gt n Seitenende if Snumberreturned 0 print lt P gt lt B gt Leider nichts gefunden lt B gt n else print lt P gt lt B gt S numberreturned Funds
469. ngezeigten Fundstelle auf der Seite FORMAT Expandiert zu einem HTML Men aller verf gbaren Formate HOPCOUNT Distanz der Fundstelle von der Homepage der Site KEYWORDS Wert des KEYWORDS Eingabeparameters aus dem Suchfor mular LASTDISPLAYED Index der letzten angezeigten Fundstelle auf der Seite LOGICAL_WORDS Suchworte mit and oder or dazwischen je nach Suchmethode 202 5 Die lokale Suchmaschine MATCH MESSAGE all oder some je nach Suchmethode MATCHES Anzahl Fundstellen einer Abfrage insgesamt MATCHES_PER_PAGE Konfiguriertes Maximum der gleichzeitig angezeig ten Fundstellen MAX STARS Maximalzahl der Bewertungs Sternchen Man k nnte statt der Sternchen diesen Wert als Score ausgeben METHOD Suchmethode MODIFIED Datum und Uhrzeit der letzten nderung des Dokumentes NEXTPAGE Wert der Attribute next_page_text oder no_next_page_text je nachdem ob es noch eine n chste Seite gibt oder nicht PAGE Nummer der aktuellen Ergebnisseite PAGEHEADER Wert der Attribute page list_header oder no_pagelist_header abh ngig von der Seitenzahl PAGELIST Hyperlinks die die Attribute page number text oder no_page_number_text verwenden PAGES Gesamtzahl der Ergebnisseiten PERCENT Die Rangbewertung einer Fundstelle als Prozentzahl eine Zahl zwischen 0 und 100 Falls die Sternchen nicht exakt genug sind Da der Wert mit 1 beginnt kann
470. nhalt logins webmaster benutzer2 benutzer3 Geben Sie hier einen beliebigen Gruppennamen gefolgt von einem Doppelpunkt ein und listen Sie alle Benutzer durch ein Leerzeichen voneinander getrennt da hinter auf die Zugriff auf das Verzeichnis erhalten sollen Nun m ssen Sie noch die htaccess in dem entsprechenden Verzeichnis wie folgt anpassen 4 5 Access Control List File htaccess 133 AuthUserFile pfad zu htpasswd AuthGroupFile pfad zu htgroup AuthName wieimmerdasheissensoll AuthType Basic lt Limit GET gt require group logins lt Limit gt Wollen Sie einen einzelnen Benutzer entfernen so l schen Sie seinen Namen ein fach aus der Auflistung in der Datei ht group und gegebenenfalls auch aus der Datei htpasswd M chten Sie hingegen vielen Benutzern den Zugriff auf das Verzeichnis erm gli chen so ist die doppelte Eintragung in htpasswd und htgroup etwas l stig Gehen Sie bitte wie folgt vor Erstellen Sie mit htpasswd weitere Benutzer Nun m ssen Sie noch die htaccess in dem entsprechenden Verzeichnis wie folgt anpassen AuthUserFile pfad zu htpasswd AuthGroupFile dev null AuthName wieimmerdasheissensoll AuthType Basic lt Limit GET gt require valid user lt Limit gt F r das entsprechende Verzeichnis oder ein bergeordnetes Verzeichnis m ssen in der Datei httpd conf die Optionen AllowOverride AuthConfig Limit gesetzt sein Wollen Sie den Schutz des Verzeichnisses aufheben l
471. nis export unsicher frei gibt Mit guest ok yes geben Sie den Gastzugriff frei und mit read only no wird ihm auch der Schreibzugriff erlaubt Ob ein Gast nun wirklich Dateien ablegen darf h ngt nur noch von den Unixrechten des Verzeichnisses ab wie im Abschnitt ber File Shares beschrieben Um das Ganze wenigstens etwas sicherer zu machen mu man den Gastzu griff einer Share explizit verbieten und kann zus tzlich den Gastbenutzer auf den Unix Namen nobody abbilden der in aller Regel keine Rechte im Dateisystem des Servers hat Damit sieht eine smb conf die etwas sicherer ist folgenderma fen aus smb conf mit Share Level Security gesperrter Gast Zugang global 300 9 Samba workgroup HEIMNETZ guest account nobody security share unsicher comment Share mit Pa wort path export sicherer guest ok no read only no 9 7 2 Benutzer Ebene Die Standardeinstellung von Samba ist die Sicherheitsebene user in der ein Be nutzer sich auf jeden Fall mit Namen und Pa wort beim Server anmelden mu Im User Level ist die Verwendung von verschl sselten Pa w rtern m glich Sie wird mit dem Befehl encrypted passwords on eingeschaltet Standardm ig sind Gastzugriffe verboten Meldet sich ein Klient mit einem Be nutzernamen an den es in der Pa wortdatei des Servers nicht gibt wird der Zugriff verweigert Dieses Verhalten l t sich mit dem Befehl map to guest ndern Die m glichen Werte und da
472. nistration 153 print TMP2 n while lt TMP1 gt line if Sline Nothing to be changed below sflag y if S flag eq y print TMP2 line close TMP1 close TMP2 open TMP1 lt tmp htaccess setup tmp amp error htaccess setup tmp kann nicht gelesen werden open TMP2 gt SCGIFile amp error CGIFile kann nicht angelegt werden while lt TMP1 gt print TMP2 _ close TMPl close TMP2 unlink tmp htaccess setup tmp chmod 755 CGIFile print e SCGIFile wurde angepasst n print Das waers n n exit sub error my Serrors _ 0 print fain Fehler aufgetreten nSerrors n n exit Wichtig ist noch da Benutzer und Gruppe fuer die Dateien anschlie end richtig gesetzt werden m htaccess beliebig jedoch nicht die Userkennung des Webservers m htpasswd Userkennung des Webservers Das Setup Skript kann dann wieder deaktiviert werden Zugriffsrechte Das zweite Programm das CGI Skript mu ins cgi bin Verzeichnis und ausf hrbar sein Es greift auf die Datei opt www etc htpasswd zu und erlaubt m Eintragen von neuen Benutzern m L schen von Benutzern m ndern eines Benutzer Pa worts und m Auflisten aller Benutzer 154 4 WWW Server Apache Durch den modularen Aufbau lassen sich weitere Funktionen z B zur Verwal tung von Gruppen hinzuf gen Das Skript versucht alle denkbaren Eingabe
473. npassung von Sendmail an jedes denkbare Einsatzgebiet m glich ist Damit wird der Nachteil erkauft da die Konfiguration von Sendmail beliebig komplex werden kann Dazu ein Beispiel Man kann den From Header individuell anpassen So ist es m glich bei abwei chendem Account auf dem eigenen Rechner und dem Rechner des Providers den korrekten From Header zu erzeugen Lokaler Account Unver nderter From Header Angepa ter From Header plate plate localhost plate netzmafia de holzmann holzmann localhost holzmann netzmafia de 2 2 Sendmail Anfang der 80er Jahre schrieb Eric Allman das Programm sendmail als Nach folger zu delivermail wobei sendmail von Anfang an als multifunktionales 70 2 E Mail Server Mailverteilprogramm vorgesehen war So konnte man sendmail an verschiede ne bertragungswege wie SMTP UUCP oder andere Protokolle einfach durch nderung der Konfigurationsdatei sendmail cf anpassen ohne jedesmal eine neue Version zu kompilieren Die zentrale Konfigurationsdatei ist etc sendmail cf Sie ist auf jeden Fall sehenswert da es keine vergleichbar unlesbare und komplexe Konfigurations datei mehr gibt Zitat looks like line noise on a serial communication line Es wird auch behauptet da man kein echter UNIX Systemadministrator ist so lange man noch nie die Datei etc sendmail cf editiert hat Es wird ebenfalls behauptet da man verr ckt sei wenn man es ein zweites Mal tut Mit den
474. nseite eingef gt Diese Einf gun gen k nnen reine Textdateien sein und auch von Mitarbeitern erstellt werden die des HTML nicht m chtig sind Au erdem vermeidet man so auch Fehler in der Originaldatei lt include file daten txt gt Eine weitere M glichkeit ist das Einbinden von Informationen die von einem Skript zur ckgeliefert werden Oft wird dies f r Counter benutzt die zeigen sol len wie oft auf die Seite schon zugegriffen wurde lt include virtual cgi bin counter cgi gt 4 8 Server Tuning 139 Eine sehr gef hrliche Form der Includes wird jedoch mit dem exec Element an geboten Hiermit lassen sich beliebige Skripts oder Shell Kommandos ausf hren also beispielsweise auch lt exec cmd bin rm rf gt lt exec cmd cat etc passwd mail boesewicht provider net gt Da in einem Verzeichnis Dokumente mit Include Anweisung auch tats chlich untersucht werden wird mit der Anweisung Options Includes festge legt Damit keine Sicherheitsl cken entstehen sollte man immer Options IncludesNOEXEC verwenden und so das Ausf hren von Programmen verhindern 4 8 Server Tuning Die optimale Geschwindigkeit eines Webservers h ngt von einer Vielzahl von Komponenten ab Netzwerk und Internet Anschlu Hard und Software des Computers Man kann die Leistung des Webservers durch sinnvolle Hardware ausstattung und Konfiguration der eingesetzten Software erheblich steigern O
475. nsubscribe Listenname Adresse Dieser Befehl streicht den Benutzer oder die angegebene Adresse aus der Liste m which Adresse Dieser Befehl zeigt dem Benutzer in welchen Listen er bzw die angegebene Adresse eingetragen ist Kann vom Listenverwalter ge sperrt werden m who Listenname zeigt die Abonnenten der Liste an Kann vom Listenverwal ter gesperrt werden 11 5 Befehle zu Majordomo Mailinglisten 343 m index Listenname gibt eine Auflistung der Dateien im Listenarchiv Die Da teien lassen sich dann mit dem get Befehl holen Kann vom Listenverwalter gesperrt werden m get Listenname Dateiname liefert die gew nschte Datei aus dem Listenarchiv als E Mail Kann vom Listenverwalter gesperrt werden auth Autorisierungswort subscribe Listenname Adresse Wenn bei der subscribe policy der Parameter mit confirm erweitert wurde sendet Ma jordomo eine E Mail mit dem Autorisierungs Wort an die beim subscribe Request angegebene Mailadresse Der Adressat mu dann einen auth Request mit dem Autorisierungs Wort zur ckschicken um sich endg ltig anzumel den So wird verhindert da man ohne sein Wissen auf Mailinglisten ange meldet wird m end beendet das Lesen der Mail z B f r User die eine Unterschrift benutzen Die Zeile end ist eigentlich keine Anweisung Sie verhindert da weitere Zeilen in der Nachricht ausgewertet werden also auch die Signature Zeilen 11 5 2 Befehle f r die Listenverwalter
476. nternet seinen Gem tszustand ausdr cken kann Smiley Encryption Bezeichnung f r Verschl sselungs oder Chiffrierverfahren im In ternet Ethernet Ist eine bestimmte Art von Netzwerk ber den viele Rechner verbun den sind Rechner die das TCP IP Protokoll zum Austausch von Daten ver wenden sind h ufig ber Ethernet an das INTERNET angeschlossen Extension Dateiendung FAO Frequently Asked Questions Zusammenfassung der wichtigsten und ele mentaren Zusammenh nge zu einem Thema FAQs werden h ufig freiwillig und von Privatpersonen geschrieben manchmal auch von Firmen zu ihren Produkten Werden im Usenet in der newsgroup news answers und hnli chen zu verschiedenen Themen regelm ig ver ffentlicht A Glossar 407 Fehlerkorrektur Nach dem Entfernen der Redundanz mu auf die nackte In formation wieder k nstliche Redundanz aufgesetzt werden um eine sichere bertragung zu gew hrleisten Das wird nach bestimmten Verfahren getan die eine Erkennung oder Korrektur von bertragungsfehlern erm glichen Eine Fehlerkorrektur besteht im Anh ngen einer bestimmten Menge Bits an die eigentliche Information was eine Fehleranalyse des Datenwortes nach be stimmten mathematischen Verfahren erlaubt File Server Ein File Server ist ein Computer der seine Dateien allen anderen Rechnern im Netz zur Verf gung stellt Dadurch kann jeder im Netz auf die selben Daten zugreifen Filetype Dateityp Finger Dienstprogramm
477. ntiert DE NIC administriert das Internet in Zusammenarbeit mit internationalen Gremien sowie dem IV DENIC DHCP Dynamic Hast Configuration Protocol weist einem Client im TCP IP Netz dynamisch eine IP Adresse zu Dial up connection Einw hlverbindung von einem PC zu einem Host per Mo dem Dienst allgemeiner Begriff f r Programm das sich die Dienste eines Servers zunutze macht z B ein WWW Browser oder ein ftp Programm Domain hei t Umgebung Gemeint ist damit ein Teil der INTERNET Adresse die wie folgt aufgebaut ist rechnername subdomain top level domain Domain Namen Untergliederungseinheit der hierarchisch aufgebauten Com puternamen im Internet der Name www foo de enth lt beispielsweise die Toplevel Domain de die Secondary Domain Joo und den Rechnerna men www W hrend Top Level Domains fest vorgegeben sind kann man Secondary Domain Namen bei den zugeh rigen Verwaltungsstellen NIC DE NIC beantragen Download Herunterladen Vorgang bei dem Daten aus dem Internet auf die Festplatte eines Computers kopiert werden DNS 1 Domain Name Service Methode Nachrichten mit Hilfe von Domain Bezeichnungen Rechnernamen an die richtigen IP Adressen ausliefern zu k nnen 2 Der Domain Name Server setzt die Klartextnamen von Computern in IP Adressen um und umgekehrt Domains sind Namensbereiche beispielsweise e technik fh muenchen de 406 A Glossar Durchsatz Tats ch
478. nweisungen werden 296 9 Samba die ins UNIX Format umgerechneten DOS Rechte einer Datei vor dem Anlegen mit der angegebenen Maske logisch UND verkn pft Dazu ein Beispiel create mask 600 sorgt daf r da jede angelegte Datei nur Zugriffsberechtigung f r den Eigent mer jedoch keine Berechtigung f r die Gruppe oder alle anderen Benutzer erh lt Ob der Benutzer selbst in die Datei schreiben darf h ngt davon ab ob sie unter DOS als read only gekennzeichnet war oder nicht Bei den Heimatverzeichnissen m ssen die Anwender eine Besonderheit beach ten Der Name der beim Verbinden des Laufwerks mit der Freigabe angegeben werden mu ist nicht etwa homes sondern der eigene Loginname Der Benutzer Huber gibt also beim Verbinden mit seinem Heimatverzeichnis auf dem Server menetekel als Pfad menetekel huber an Aus der Vielzahl der Optionen die Samba in der Dateishare Sektion auswerten kann werden nur einige wenige h ufiger gebraucht Sie lauten m available Wird dieser Wert auf no gesetzt ist die betreffende Share deakti viert Dieser Befehl kann n tzlich sein wenn Sie als Administrator ein freige gebenes Verzeichnis kurzzeitig sperren m chten zum Beispiel um es neu zu strukturieren oder ein Software Update f r eine gemeinsam genutzte Softwa re zu installieren Nach M glichkeit sollten keine Anwender zur gleichen Zeit auf die Verzeichnisse zugreifen Statt nun aber alle Zeilen der Share Definition mit Kommentarzeichen zu
479. nzen f r die Funktion des Systems und somit das Unternehmen in Form verlorener Da ten oder ein inoperatives Netz haben Andere finanzielle Verluste k nnen als Fol ge von bewufsten kriminellen Handlungen geschehen wie beispielsweise Unter schlagung Spionage und Sabotage 13 3 Gefahrenkategorien 365 Im weitesten Sinn zur Sabotage geh rt auch wenn jemand Dokumente unter Ih rem Namen bers Netz verschickt oder abgefangene Dokumente verf lscht letz teres gab es nat rlich schon in der Antike und in neuerer Zeit bei Fernschreiben oder Telefax Doch auch u erungen in Newsgruppen per E Mail oder im Chat die als State ment der Firma mi verstanden werden k nnen sind oft problematisch Dabei denkt man oft gar nicht daran da Mails oder Newsbeitr ge schon dann mit der Firma in Bezug gebracht werden wenn sie vom Firmenaccount aus geschickt wer den Der Systemverwalter hat eine alles entscheidende Bedeutung f r einen problem losen Betrieb des lokalen Netzes sowohl in positiver wie in negativer Hinsicht Der Systemverwalter hat die umfassendsten Berechtigungen im Netz was bedeu tet da Fehler des Betreffenden weitreichende und katastrophale Konsequenzen haben k nnen Zitat Die beiden gr ten Gefahren f Server und Netz sind das Putzpersonal und der Systemverwalter Es wird immer eine Gefahr durch menschliches Versagen geben aber ausreichen de und einschl gige Ausbildung sowie zweckm ige Arbeitsverh ltniss
480. o you need an SGI to connect with us Post it Note Sludge leaked into the monitor kernel panic write only memory dev wom0 capacity exceeded Police are examining all internet packets in the search for a narco net traficer Your mail is being routed through China and they re censoring us Only people with names beginning with Ai are getting mail this week We didn t pay the Internet bill and it s been cut off Lightning strikes Of course it doesn t work We ve performed a software upgrade High nuclear activity in your area Recursivity Call back if it happens again Someone thought The Big Red Button was a light switch I m not sure Try calling the Internet s head office A star wars satellite accidently blew up the WAN Fatal error right in front of screen wrong polarity of neutron flow Ionisation from the air conditioning TCP 1P UDP alarm threshold is set too low Someone is broadcasting pigmy packets and the router dosn t know how to deal with them Plate voltage too low on demodulator tube You did wha oh dear CPU needs bearings repacked are neatly removed Do not leave metal bits visible Rosin core solder But Software uses US measurements but the OS is in metric The computer fletely mouse and all Your cat tried to eat the mouse The Borg tried to assimilate your system Resistance is futile It must have been the lightning storm we had yesterday last week able to access the system at one time namely none allowed
481. o lurk lauern Mailbox Online System in dem Nachrichten zwischengelagert werden k nnen die per E Mail versandt worden sind 412 A Glossar Mailfolder Das elektronische Postfach In dieser Datei werden alle eingehenden E Mails gesammelt Es gibt den aktuellen Mailfolder den received Folder in dem die gelesenen E Mails abgelegt werden Der User kann sich noch diverse andere Folder anlegen in denen er seine E Mails organisiert um den ber blick zu behalten Mailingliste Eine E Mail Adresse hinter der keine Person sondern eine Li ste von anderen E Mail Adressen steht Verteiler haben den Vorteil dass die Adresse gleich bleibt w hrend die Adressaten wechseln k nnen Au erdem sind mit einer Adresse viele Personen gleichzeitig erreichbar Mailreflector Eine E Mail Adresse welche die an sie gerichtete E Mail an den Absender zur ckschickt oder auch an eine definierte Liste von Adressen Dient als Pr feinrichtung f r E Mail Verkehr Meta Informationssysteme siehe Search Engines MILNET ein Teil des Internet Es wird vom US amerikanischen Milit r zum Versand von nicht geheimen Daten genutzt MIDI Music Instruments Digital Interface Kommt im WWW auch als Dateifor mat f r Hintergrundmusik zum Einsatz MIME Multipurpose Internet Mail Extensions Erweiterungen der E Mail Standards im Internet zur bertragung von 8 Bit Datenstr men File Attachments etc MPEG Motion Pictures Experts Group Per Datenko
482. o und pa t sie entsprechend an ist beschr nkt sich die Anpassung auf einige wenige nderungen Bei jedem Schl sselwort steht au erdem noch ein erkl render Kommentar bei skalaren Wer ten der Typ des Wertes in eckigen Klammern und der Voreinstellungswert in run den Klammern admin_passwd word Das Pa wort f r pa wortgesch tzte Befehle zur Verwaltung der Liste Dieses Pa wort braucht man um die pa wortgesch tzten Majordomo Befehle wie approve config newinfo etc ausf hren zu k nnen Ebenso kann man mit diesem Pa wort via Approved Mails an eine moderierte Mailing Liste ver senden administrivia bool yes Majordomo berpr ft alle eingehenden Mails ob sie ein Majordomo Programm sind und leitet diese Mails dann automatisch an die request Adresse um advertise regexp_array undef Wenn die E Mail Adresse des Absenders mit dem angegebenen Regul ren Ausdruck bereinstimmt wird die Mailing Liste in der Aufz hlung der verf gbaren Mailing Listen 1ists Befehl mit aufgef hrt undef sie wird immer angezeigt approve_ passwd word Pa wort das ben tigt wird um bei geschlossenen closed Mailing Listen eine Mail ber den Verteiler zu senden 11 3 Mailinglisten einrichten 335 m archive dir absolute dir undef Das Verzeichnis mit dem Archiv der Mailing Liste Nicht verwendet comments string_array undef Angezeigter Text wenn auf die Mailing Liste zugegriffen wir
483. oder nicht Ein Rechner wird allgemein dann als zum Internet geh rend angesehen wenn m er mit anderen Rechnern ber TCP IP kommunizieren kann m er eine Netzadresse IP Nummer siehe unten besitzt m er mit anderen Rechnern kommunizieren kann die eine Netzadresse haben 18 1 Einf hrung 1 2 Entwicklung des Internet Das Internet wurde vor etwa 20 Jahren aus einem Forschungsprojekt des ameri kanischen Verteidigungsministeriums namens ARPANet geboren Das Ziel dieses experimentellen Projektes war ein Netzsystem zu entwickeln das auch partiel le Ausf lle verkraften konnte Kommunikation sollte immer nur zwischen einem Sender und einem Empf nger stattfinden Das Netz dazwischen wurde als unsi cher angesehen Jegliche Verantwortung f r die richtige Daten bertragung wur de den beiden Endpunkten der Kommunikation Sender und Empf nger aufer legt Dabei sollte jeder Rechner auf dem Netz mit jedem anderen kommunizieren k nnen Die ARPA Advanced Research Projects Agency wurde 1957 als Reaktion auf den Start des Sputniks durch die UdSSR gegr ndet Sie hatte die Aufgabe Technolo gien zu entwickeln die f r das Milit r von Nutzen sind Sp ter wurde die ARPA in Defense Advanced Research Projects Agency DARPA umbenannt da ihre Interessen prim r milit rischen Zwecken dienen sollten Die ARPA war keine Or ganisation die selbst forscht sondern sie verteilte Auftr ge an Universit ten und Forschungsinstitute Um die
484. ogfiles im gz Format was man vielleicht nutzen m chte weil man ab und zu gro e Logfiles packen will um Plattenplatz zu sparen Dann sollten Sie das Verzeichnis angeben in dem die Ergebnisse gespeichert wer den sollen Suchen Sie nun die Zeile OutputDir var lib httpd htdocs usage Entfernen Sie das Kommentarzeichen und ersetzen Sie die Pfadangabe mit jener die zum Verzeichnis f hrt in dem Sie die Berichte ablegen m chten Dieses sollte sich in Ihrem Webverzeichnis befinden Zum Beispiel OutputDir opt www htdocs webalizer Es empfiehlt sich nat rlich eigene Verzeichnisse f r die Ausgabe zu erstellen Falls man mit verschiedenen Konfigurationsdateien verschiedene Jobs erledigt sollte man nat rlich auch in der jeweiligen con f Datei das jeweilige Ausgabe verzeichnis angeben da sonst Daten berschrieben werden oder je nach Einstel lung neue Daten an solche angeh ngt werden die berhaupt nicht dazu passen Bedenken Sie auch da Ihre Statistik dann auch von au en abrufbar ist Falls Sie das nicht w nschen m ssen Sie das Verzeichnis mit einem Pa wortschutz verse hen Suchen Sie dann die Zeile Incremental no Entfernen Sie das Kommentarzeichen und ersetzen Sie no durch yes Hiermit weisen Sie Webalizer an den Stand des Logfiles zu speichern und beim n chsten Aufruf an dieser Stelle fortzusetzen Da die Logdateien meistens per Cron Job regelm ig komprimiert gespeichert werden stehen sonst nur
485. okolle zust ndig ICMP Internet Control Message Protocol Protokoll das auf der gleichen OSI Ebene wie IP liegt und haupts chlich zur bertragung von Fehler und Steu ermeldungen in IP Netzen dient Icon Symbol das per Mausklick aktiviert werden kann um eine Funktion oder ein Programm im Internet oder auf dem Rechner zu starten IETF Die Internet Engineering Task Force koordiniert langfristige technische Entwicklungen im Internet Inetd Internet Daemon ein Super Daemon unter Unix und OS 2 der andere Daemons starten und kontrollieren kann Interface Schnittstelle zwischen Mensch und Computer oder zwischen zwei Tei len eines Computersystems oder von zwei Netzwerken Internet Weltweites dezentralistisches Rechnernetz auf TCP IP Basis Inzwi schen das popul rste Netz der Welt mit gesch tzten 50 Mio teilnehmenden Anwendern Internet Society ISOC Eine Organisation deren Mitglieder am Aufbau des globalen Netzwerks beteiligt sind quasi die oberste Instanz des Internet 410 A Glossar InterNIC Bezeichnung der Stellen im Netz die registrieren oder Datenbank bzw Informationsservice anbieten Intranet Firmeninternes Netz auf Internet Technologie und TCP IP basierend INXS Das Projekt Internet eXchange Service des Internet Providers ECRC European Computer Industry Research Center steht in direkter Konkurrenz zu DE CIX Voraussetzung f r die Teilnahme ist da der Internet Service Pro v
486. on 1 Hardware RS 232 seriell V 24 etc 2 Software eine Identifizierungsnummer die angibt mit welcher Applikation kommuniziert werden soll A Glossar 415 PPP Das Point to Point Protocol regelt wie SLIP die Daten bertragung per serieller Leitung und hat sich als Standard durchgesetzt PPP erlaubt Daten mehrerer Netzwerkprotokolle wie IP Novells IPX und IBMs Microsofts NET BEUI gleichzeitig zu bermitteln Dazu kommen Erweiterungen zur Authen tifizierung des Kommunikationspartners und zur berwachung der Qualit t des bertragungskanals PPP d rfte SLIP verdr ngen Pr ambel Bitsequenz am Anfang von Datenpaketen Die P enth lt normaler weise keine Information sie dient lediglich der Taktsynchronisation Promiscuous Mode Spezieller Modus in dem ein Netzwerkinterface nicht nur Pakete an die eigene MAC Adresse empf ngt sondern alle im Netz ber tragenen Daten Der P M dient Testzwecken und wird haupts chlich von Netzwerk Monitorsoftware verwendet Protokoll Ein Satz von Regeln und Vereinbarungen der den Informationsflu in einem Kommunikationssystem steuert Kann sich sowohl auf Hardware wie auf Software beziehen Wird in der Daten bertragung h ufig als Kurzform f r bertragungsprotokoll verwendet Protokollstack Durchlaufen der Schichten bei einer realen Daten bertragung Die Verbindung der einzelnen OSI ISO Schichten stellt nur ein abstraktes Mo dell dar in Wirklichkeit k nnen die Daten nur
487. on Bild 1 1 datieren von 1969 bis 1972 im einzelnen m a Dezember 1969 m b July 1970 m c Marz 1971 d April 1971 1 2 Entwicklung des Internet 21 m e September 1972 Anfang der Siebziger kam die Idee auf dass die IMPs von Computern abgel st werden k nnten die keine Spezialrechner waren Im Jahre 1972 besch ftigte sich der Xerox Informatiker Bob Metcalfe damit das hausinterne Netzwerk MAXC an das ARPAnet zu h ngen Dabei erfand er eine bertragungstechnik die er Ether net nannte Die Erfindung erregte das Interesse von Bob Kahn und Vint Cerf die 1974 den ersten Vorschlag f r ein einheitliches Rechnerprotokoll machten Dieses Protokoll wurde TCP IP genannt und am 1 Januar 1983 in den Rang eines offi ziellen Standards erhoben Viele Netzwerker halten denn auch dieses Datum f r den offiziellen Geburtstag des Internet Selbst heute 30 Jahre sp ter ist die Bedeutung der kulturtechnischen Leistung Internet erst in Umrissen erahnbar Der weitere Ausbau verlief langsam und gem chlich auch nach mehr als 10 Jahren arbeiteten gerade mal rund 200 Systeme Hosts im ARPA Net zusammen Schon zu diesem Zeitpunkt war das ARPA Net kein Netzwerk wie jedes andere auch sondern definierte eine Kommunikations struktur Jeder Host im ARPA Net konnte ein Zentralcomputer in einem lokalen Netzwerk sein so da das ARPA Net ein Netzwerk aus Netzwerken bildete eben ein Internet Dieses Internet wucherte unaufhaltsam weiter und all
488. on nicht Mit sendmail bt kann man sich brigens durch das Regelsytem von sendmail arbeiten und die Ersetzungsmechanismen erkunden Nun kann man einen weiteren Probelauf wagen Es sollte zuerst nur das kleine Programm mail oder mai1x benutzt werden Wir schicken hier eine Mail an uns selbst echo TEST mailx s TEST 2 klara userin provider de Diese Mail landet in der Mail Queue Mailspool berpr fen l t sich dies mit dem Befehl usr bin mailg Es sollte eine Liste der im Mailspool befind lichen E Mails angezeigt werden darunter auch die eigene E Mail Im Queue Verzeichnis var spool mqueue werden f r jede E Mail zwei Dateien erstellt Die Datei die mit df beginnt enth lt den Message Body also die Zeile TEST Die dazugeh rige Datei die mit qf beginnt beinhaltet den wichtigen Teil die Header Informationen Dabei sind folgende Zeilen wichtig klara localhost Sklara RPFD klara userin provider de H P Return Path lt klara userin provider de gt H F From Klara U lt klara userin provider de gt HTo klara userin provider de Stimmt das auch k nnen Sie es auch wagen die Mail oder mehrere zu ver schicken ggf nach Aufbau der Verbindung zum Provider usr lib sendmail q In den Logdateien var log mail bzw var log messages finden Sie die Statusmeldungen ber den Erfolg des Sendeverlaufs Die einzelnen Rulesets k nnen wie oben schon gezeigt mittels des Kommandos sendmail bt interaktiv get
489. ool no Der Absender eines who Befehls mu auf der Mailing Liste stehen damit der who Befehl ausgef hrt wird 11 3 Mailinglisten einrichten 337 m purge received bool no Aus dem Mail Header werden alle received Zeilen entfernt bevor die Mail verteilt wird m reply to word F gt dem Mail Header eine reply to Zeile mit der angegebenen E Mail Adresse ein eine bereits vorhandene reply to Zeile wird berschrieben reply to gibt an an wen die Mail gehen soll wenn jemand auf die Mail antwortet z B reply_to SENDER m resend_host word undef Nicht ver ndern m restrict_post restrict_ post undef Nur Personen deren E Mail Adressen in den angegebenen Dateien stehen d rfen Mails ber die Liste verschicken Damit wird eine Mailing Liste zur senderbeschr nkten Mailing Liste Wird der Parameter auf liste gesetzt so k nnen nur die Listenteilnehmer Mail ber die Liste verschicken Alternativ kann hier auch ein Dateiname angegeben werden In der Datei stehen dann alle berechtigten Sender m sender word owner liste Absender von Mails die Majordomo generiert z B die Welcome Message an neue Abonnementen der Mailing Liste strip bool yes In der Empf ngerliste werden nur die eigentlichen E Mail Adressen gespei chert ohne die Kommentare die beim subscribe in der from Zeile des Hea ders standen p subject_prefix word undef Der angegebene Text wird dem Eintrag in der subject
490. oooommmoo ee 77 ACL Anweisung 222222222 0 246 Administrator 0000000e 292 allas aaa ratas 236 Angriffe ber das Netz 370 Angriffe auf Mailinglisten 345 anonymer FIP 98 101 112 anonymous ftp 98 101 112 Apache u 115 120 Apache SSL see ses 157 ALP aa een 48 ARP Spoofing 372 ARPA ernennen 18 22 Automatic Allocation 314 B Backup 2 e nase 357 BBN 4400324044 112240 SR 18 Benutzer eintragen 285 Berkeley Internet Name Daemon 261 BIND EE 261 BrichkOpl A 62 Broadcast Interface 42 C Cach ai 231 Cache Hierarchie 249 Cache Only Nameserver 265 LE BEE 132 CGESKIIPE une 132 388 Index 431 Cir Alt Del nasser 387 Gefahrenkategorien 362 genericstable 2 0 79 D Datengeheimnis 31 H Datenqualit t e 361 Hacker 2 2 2222 365 Datenzug nglichkeit 361 Heimatverzeichnis 293 294 Denial of Service 376 Hijacking BEER 375 Desaster Recovery 390 Host Filter 2 77 DHC Klient 222222 320 ht Dig ENEE 190 DHCP onen A tre 190 DHCP Server 22 22cneneenee 281 A ee 193 dhcpd conf AS NEN 316 htDig zweimal 2 nn 215 Dienste starten 53 htDig Ausgabe 2 199 Dienste AS 53 htDig Datenbank 210 dig Lasa 262 htdig conf See ee oe eee cee 193 201 Disk Quotas
491. open HTACCESS gt AuthUserFile amp error AuthUserFile kann nicht angelegt werden Spassword crypt AdminPassword JP print HTACCESS admin password n close HTACCESS chmod 0644 SAuthUserFile print Datei SAuthUserFile wurde erzeugt n print User admin mit Addminpasswort eingetragen n htpasswd cgi anpassen open TMP1 lt SCGIFile amp error CGIFile kann nicht gelesen werden open TMP2 gt tmp htaccess setup tmp gerror htaccess setup tmp kann nicht angelegt werden print TMP2 usr bin perl n n print TMP2 Systempfad zur Datei htaccess einschl dem Dateinamen n print TMP2 my AuthUserFile SAuthUserFile n print TMP2 n print TMP2 Systempfad zur Datei adminpasswd einschl dem Dateinamen n print TMP2 my AdminFile SAdminFile n print TMP2 n print TMP2 Ueberschrift der Passwortabfrage Box n print TMP2 my AuthName AuthName n print TMP2 n print TMP2 Systempfad zum Standard Mailprogramm meist sendmail n print TMP2 my mailprog mailprog n print TMP2 n print TMP2 Die E Mail Addresse des Webmasters n print TMP2 my yourmail Syourmail n print TMP2 n print TMP2 Das Skript schickt eine E Mail wenn jemand ein falsches n print TMP2 Admin Passwort eingegeben hat n nein y ja n print TMP2 my alert alert n 4 13 WWW User Admi
492. orm der Ideenkoordination im Internet Wenn eine Idee diskutiert werden soll die eine Netzangelegenheit betrifft For mat Verfahren Programm Hilfetext etc wird ein RFC verbreitet Dar ber wird eingehend diskutiert bis man sich auf eine vorl ufige Endfassung ge einigt hat Diese ist dann bindend f r die Anwendungen im Netz Zu den RFCs geh ren auch allgemein erkl rende Texte und Dokumentationen Die RFCs werden laufend durchnumeriert in der Reihenfolge ihres Erscheinens Beispiel RFC 822 Hierin sind alle Einzelheiten geregelt wie eine E Mail im Internet auszusehen hat Internet E Mails auch Adressen m ssen mit RFC 822 konform gehen Die RFCs einige Hundert k nnen von diversen ftp Servern bezogen werden Eine Archierecherche nach der Zeichenkette rfc gibt schnell Aufschlu dar ber wo diese zu finden sind RFD Request For Discussion Aufforderung an Mitglieder einer Newsgroup oder Mailing List ein gestelltes Thema kritisch zu diskutieren und Vorschl ge zu machen RIPE R seaux IP Europ ens nennt sich ein Zusammenschlu europ ischer Internet Provider Router arbeiten auf OSI Schicht 3 und sind in der Lage Netzstrukturen in logi sche Subnetze zu trennen Da sie unabh ngig von Schicht 1 und 2 sind lassen sich mit ihnen verschiedene Netzwerktopologien verbinden A Glossar 417 Routing Hauptaufgabe des Routers F r die zwischen weitverzweigten Teilnet zen verschickten Pakete wird ein optimaler W
493. os EHLO mailhost provider de MAIL From lt holzmannt1x3 1bs e technik fh muenchen de gt SIZE 299 RCPT To lt testusert1x1 lbs e technik fh muenchen de gt DATA Received from localhost localhost UNIX localhost by mailhost provider de 8 9 3 8 9 3 id OAA01804 for testuser www netzmafia de Fri 21 Dec 2001 14 11 12 0200 From Joerg Holzmann lt holzmann e technik fh muenchen de gt To testusertlx1 1bs e technik fh muenchen de Subject Testmail Date Fri 21 Dec 2001 14 07 04 0200 Content Type text plain MIME Version 1 0 Message Id lt 99100814111100 01802 1x2 1bs gt Content Transfer Encoding 8bit Hallo lieber Testuser Vielen Dank fuer Ihren Beitrag zu unserem Sicherheitsforum wir werden Ihren Artikel in der neuen Ausgabe der FHM Hackerpost veroeffentlichen Abhilfe schaffen hier beispielsweise kryptographische Verfahren und Methoden Das ARP Spoofing setzt auf dem ARP Protokoll auf und nutzt dabei die Erkennt nis da beim dynamischen Routing die Umsetzungstabellen von IP Adressen auf die entsprechenden Hardwareadressen in regelm igen Abst nden aktualisiert werden Dynamische ARP Routen werden regelm ig nach einem bestimmten Zeitintervall verworfen und der Rechner fordert von seinem Kommunikations partner eine Best tigung seiner IP und Hardwareadresse an An dieser Stelle setzt der Angreifer an In der Regel wird nun der Rechner dessen Platz der Angreifer einnehmen will ausgeschaltet dies kan
494. otokoll mittels URLs die zum einen Orte URL oder Be zeichner URN sein k nnen Diese zeigen gleichzeitig den gew nschten bertra gungsmechanismus an Nachrichten werden in hnlicher Form bertragen wie sie auch beim Mail Transport verwendet werden Dabei kommt oft MIME zum Einsatz Client Server Seite Seite PO ci AN Verarbeitung Beantwortung Antwort Anzeige Answer Status Ausgabe E MIME Msg Abbildung 4 1 Das HTTP Protokoll 118 4 WWW Server Apache Die grundlegende Funktionsweise des HTTP folgt dem alten Frage Antwort Spiel Ein fragendes Programm WWW Browser ffnet eine Verbindung zu ei nem Programm welches auf Fragen wartet WWW Server und sendet ihm die Anfrage zu Die Anfrage enth lt die Fragemethode die URL die Protokollver sion Informationen ber den Dienst und m glicherweise etwas Inhalt in Form einer Nachricht Der Server antwortet auf diese Frage mit einer Statusmeldung auf die eine MIME artige Nachricht folgt die Informationen ber den Server und eventuell schon das gefragte Dokument enth lt Direkt nach Beantwortung der Frage wird die Verbindung wieder abgebaut Auf diese Weise erreicht man da die Leitungskapazit ten geschont werden Beide Seiten m ssen auch dazu in der Lage sein auf den vorzeitigen Abbruch der Kom munikation durch die jeweils andere Seite zu reagieren Vorzeitiger Abbruch kann durch Aktionen von Benutzern Programmfehler oder berschreiten der Ant wortzeiten
495. otokolls Das bedeutet da al le Daten die sich Server und Client schicken vollst ndig verschl sselt werden Anwendung http telnet ftp Secured Socket Layer Transportschicht TCP Netzwerkschicht IP Netzwerkzugang Um SSL verwenden zu k nnen ben tigt man ein Zertifikat einer Zertifizierungs stelle z B VeriSign f r sein System Man kann aber auch ein eigenes Zertifikat ausstellen und selbst unterzeichnen Die gesicherte Verbindung wird durch die Protokollangabe https angezeigt https http ssl nicht zu verwechseln mit shttp SSL wurde in die Browser Internet Explorer und Netscape Navigator ab Version 3 integriert SSL ist kein anwendungsspezifisches Protokoll wie etwa Verschl sselungsver fahren f r E Mail z B PGP oder HTTP z B SHTTP Es liegt vielmehr unterhalb der Anwendung und ist transparent f r diese d h es kann sichere Daten bertra gung f r verschiedenste Anwendungen bieten Dabei ist SSL aus Sicht der Trans portschicht eine Anwendung und aus Sicht der Anwendung die Transportschicht Socket Dadurch ist SSL transparent und kann mit verschiedenen Anwendungen und Transportprotokollen benutzt werden SSL selbst besteht aus zwei Schichten m Das Steuerprotokoll ist verantwortlich f r den Verbindungsaufbau Die da bei festgelegten Parameter werden im Status der SSL Schicht festgehalten Das Steuerprotokoll ist austauschbar Zur Zeit gibt es nur einen Typ das Hand
496. ount e sun2 1bs Export list for sun2 lbs home sun lbs sunl 1bs sun2 1bs sun3 1bs sun4 1bs sun5 1lbs export sun lbs sunl 1lbs sun2 1bs sun3 1bs sun4 lbs sun5 lbs Durch Zugriffe auf kritische Verzeichnisse z B usr lib lassen sich System bibliotheken und Systemprogramme austauschen so da das ganze System ohne nennenswerten Widerstand sofort einnehmbar ist 13 8 Den Server sicherer machen 383 SNMP Abfragen an ein entferntes System SNMP geh rt zu den Diensten die einem Angreifer ein H chstma an Information liefern k nnen und die in Standardinstallationen oft nicht abgeschaltet werden und unzureichend gesi chert sind Man erf hrt hier unter Umst nden nicht nur den Typ und Patchle vel des Systems sondern erh lt auch eine Liste der Interfaces und Routing konfiguration des Systems also detaillierte Informationen ber die Topologie des Zielnetzes Zusammen mit Daten aus dem DNS gibt uns das einen genau en Netzplan des potentiellen Opfers Wenn weitere Management Module in stalliert sind bekommen der Angreifer Zugriff auf weitere Subsysteme etwa Oracle SAP oder andere fernzu berwachende Einheiten SNMP wird auch in vielen Routern und in RMON Netzwerkprobes eingesetzt ein Eindringling kann auf diese Weise sogar Verkehrsdaten aus dem Netz beziehen wenn letz tere nicht gesichert worden sind 13 8 Den Server sicherer machen Program CIDATENSCHMIDTISISLABIDIAMANT DA Herunderlelsen des every 3 iw
497. ous inode failure transient bus protocol violation incompatible bit registration operators Your computer hasn t been returning all the bits it gets from the Internet Your processor has processed too many intructions Turn it off immideately do not type any commands We need a licensed electrician to replace the light bulbs in the computer room quatnum decoherence suboptimal routing experience 50 percent of the manual is in pdf readme files old inkjet cartridges emanate barium based fumes Well fix that in the next upgrade update patch release service pack HTTPD Error 666 BOFH was here HTTPD Error 4004 very old Intel cpu insufficient processing power Network failure call NBC Having to manually track the satellite Stray Alpha Particles from memory packaging caused Hard Memory Error on Server PEBKAC Problem Exists Between Keyboard And Chair Second sytem effect Chewing gum on dev sd3c the daemons the daemons the terrible daemons YOU HAVE AN I O ERROR Incompetent Operator error Your parity check is overdrawn and you re out of cache Plasma conduit breach parallel processors running perpendicular today ATM cell has no roaming feature turned on notebooks can t connect Virus transmitted from computer to sysadmins Incorrectly configured static routes on the corerouters Forced to support NT servers sysadmins quit Its the InterNIC s fault Root name servers corrupted Someone hooked the twisted p
498. owser mit HTTP 0 9 mehr aktiv sein 4 1 4 Felder einer komplexen Anfrage Um die Anfrage n her zu spezifizieren wurden weitere Felder eingef hrt In den Anfragefeldern stehen z B Informationen ber den Server und den benutz ten Browser Au erdem kann man dort Informationen ber den Gegenstand der bertragung erhalten In der folgenden kurzen bersicht sind alle m glichen Fel der einer Anfrage aufgef hrt m Anfragezeile Request Line Informationsanfrage wie oben geschildert Die zugeh rigen Methoden folgen im n chsten Abschnitt m Allgemeiner Kopf General Header Im allgemeinen Kopf werden allgemei ne Informationen ber die Nachricht bermittelt m Anfragekopf Request Header In diesen Feldern kann der Browser weitere Informationen ber die Anfrage und ber den Browser selbst absetzen Diese Felder sind optional und m ssen nicht erscheinen m Gegenstandskopf Entity Header In diesem Feld werden Eintr ge bermit telt welche den Inhalt der Nachricht n her beschreiben m Gegenstand der Nachricht Entity Body Vor dem eigentlichen Inhalt mu definitionsgem eine Leerzeile stehen Der Inhalt ist dann in dem Format co diert das in den Gegenstandsfeldern definiert wurde meist HTML 120 4 WWW Server Apache 4 1 5 Fragemethoden Das an erster Stelle in einer Anfragezeile Request Line stehende Wort beschreibt die Methode die mit der nachfolgenden URL angewendet werden soll Die Me thodennamen m ss
499. packt werden Anschlie end wechselt man in das neu erzeugte Installationsverzeichnis und f hrt die Kommandos configure make und make install aus Zum Beispiel tar xzvf dhcp latest tar gz cd dhcp 3 0 configure make make install Nach der Installation der Software mu vor dem Start des Servers nur noch die Datei etc dhcpd conf erzeugt werden wie im n chsten Abschnitt beschrie ben Sie enth lt alle Steueranweisungen f r den DHCP Dienst Damit der Server auch bei jedem Booten automatisch zu laufen beginnt mu ein Startskript etc init d dhcpd erzeugt werden das zum Beispiel wie das fol gende aussieht bin sh Skript zum Starten des DHCP Servers INTERFACE eth0 case 1 in start echo n Starting DHCP server usr sbin dhcpd q INTERFACE vr stop echo n Shuting down DHCP server kill cat var run dhcpd pid 318 10 DHCP rr echo Usage 0 start stop esac In die Variable INTERFACE ist hier der Name des Netzwerkinterfaces einzuset zen welches das DHCP Netz versorgen soll Anschlie end macht man das Skript ausf hrbar und erzeugt im Verzeichnis sbin init d rc2 d mit den folgenden Kommandos zwei Links chmod x etc init d dhcpd in s etc init d dhcpd etc init d rc2 d S98dhcpd ln s etc init d dhcpd etc init d rc2 d K98dhcpd Besitzer einer Distribution m ssen die obengenannten Schritte nicht mehr ausf hren weil das Installationsskript des DHCP Ser
500. pdftotext indizieren pdftotext ist Teil des Pakets xpdf 0 90 Das Programmpaket erhalten Sie unter http www foolabs com xpdf Ein Tip Holen Sie sich die Quellen und compilieren Sie die Programme des Pakets oder auch nur pdftotext neu Die angebotene Linux Bin rdistribution ist immer etwas lter Das Programm catdoc das wir in der Version 0 9 verwendet haben finden Sie unter http www fe msk ru vitus catdoc Das Programm leidet zwar noch unter einigen Macken beispielsweise wenn Bilder ins Dokument eingebunden sind aber man kann damit leben Es gibt brigens sogar eine DOS Version von catdoc Zum Einbinden der Parser wird parse_doc pl oder conv_doc p1 angepa t Zuerst sind die Pfade zu den entsprechenden Konvertern Parsern anzugeben Die Pfadangaben stehen alle am Anfang des Perl Programms und sind leicht zu finden Dort wo Sie keinen Konverter angeben wollen tragen Sie bin true als Programm ein Das sieht dann z B folgenderma en aus 214 5 Die lokale Suchmaschine set this to your MS Word to text converter SCATDOC usr local bin catdoc set this to your WordPerfect to text converter or bin true if none available this nabs WP documents with doc suffix so catdoc doesn t see them SCATWP bin true set this to your RTF to text converter or bin true if none available this nabs RTF documents with doc suffix so catdoc doesn t see them SCATRT
501. per FTP anmelden Diese Anpassung verbietet es g ngigen Systemaccounts wie root oder bin FTP Sitzungen aufzubauen Bei Linux existiert diese Datei standardm ig Stellen sie sicher da root auf jeden Fall enthalten ist m Die Datei etc securetty listet auf mit welchen ttys sich root verbinden darf Lassen sie nur die Konsol ttys ttyl tty2 usw in dieser Datei um Root Logins auf lokale Terminals zu beschr nken Kontollieren Sie alle cron Auftr ge etc crontab etc cron d die Crontab von root usw ob da nur das enthalten ist was Sie wirklich wollen Wer noch ein Weiteres tun will installiert die Secure Shell ssh und die dazu geh rigen Dienste Standarddienste lassen sich ber den SSL Wrapper Secure Socket Layer leiten und auf diese Weise sicherer machen Ersetzen Sie telnet und ftp durch ssh und scp ssh besitzt seine eigene Protokollorierung und 13 8 Den Server sicherer machen 387 kann festlegen welche Systeme sich mit dem Server verbinden k nnen Mehr Informationen ber ssh sowie das Programm selber inklusive Sourcecode f r Clients und den Serverdaemon findet man unter http www ssh org download html Eine andere Variante ist OpenSSH http www openssh com Wenn man ohne Vorbereitung versucht sich per ssh anzumelden wird man wie gewohnt nach einem Passwort gefragt Vorher wird noch sichergestellt ob man sich mit dem Rechner berhaupt verbinden will ssh plate tralala The authenticity of host tra
502. plattform gt prefix lt Pfad Prefix gt build install zum Beispiel f r Linux mit build Inx prefix home ftp build install gestartet wird Unter Umst nden ist hierbei im Unixsystem die Datei usr include arpa ftp h durch die Version support ftp h aus dem wu ftpd Paket zu ersetzen Falls der wu ftpd nichts mit Shadow Pa w rtern anfangen kann mu man fol genderma en vorgehen alles im wu ftpd Dateibaum m shadow h des Systems nach src kopieren m libshadow a des Systems nach support kopieren m insrc config h die Zeile undef SHADOW_PASSWORD in define SHADOW_PASSWORD ndern m insrc Makefile die Zeile IBES erg nzen zu IBES 1lsupport lbsd 1shadow 3 4 Konfiguration 3 4 1 Aktivierung des Daemons Im Gegensatz zum Webserver l uft ein FIP Daemon nicht st ndig sondern er wird durch den inetd Proze gestartet Da in Unix ein FIP Daemon stan dardm ig enthalten ist mu in der Konfigurationsdatei etc inetd conf der Eintrag f r den Server nur abge ndert werden ftp stream tcp nowait root usr bin ftpd l i a Die Parameter bestimmen da alle Kontakte mitprotokolliert werden und da die Datei ftpacces ber cksichtigt wird siehe man Pages F r den ersten Test kann man auch noch mit d den Debug Modus einschalten 3 4 Konfiguration 103 3 4 2 Anlegen des Anonymous Users Um den FTP Dienst auch f r Leute zur Verf gung zu stellen die keine Zugriffs
503. pt www htdocs wrrooom jpg failed for 193 19 118 2 reason File does not exist Damit l t sich schnell feststellen ob sich auf dem Server tote Hyperlinks be finden Au erdem wird jedes Hoch und Herunterfahren des Servers in dieser Logdatei aufgezeichnet wed Dec 19 15 27 54 1999 httpd caught SIGTERM shutting down Wed Dec 19 15 35 18 1999 created shared memory segment 0 Wed Dec 19 15 35 18 1999 Server configured resuming normal operations 4 10 Virtuelle Server Damit bezeichnet man die M glichkeit mehrere Web Server Hosts auf einem Rechner laufen zu lassen Es gibt zwei Ans tze zum einen die auf dem Na men basierenden virtuellen Server und zum anderen die IP basierenden virtu ellen Server Um einen IP basierenden Server zu konfigurieren mu der Rechner ber zwei oder mehr IP Adressen verf gen die auf ein Netzwerkinterface ge bunden werden und zur Unterscheidung der Server dienen Das funktioniert mit HTTP 1 0 und HTTP 1 1 4 10 Virtuelle Server 143 Hat der Rechner aber nur eine einzige IP Adresse kann man mit der einfacheren Namensunterscheidung die virtuellen Server realisieren was aber leider nur mit HTTP 1 1 klappt Bei lteren Browsern bekommt der Client Probleme 4 10 1 Rechnerkonfiguration Bleiben wir bei der IP basierten L sung Da beide WWW Server ber densel ben Port Standard HTTP Port 80 erreichbar sein sollen dient die IP Adresse des Zielrechners als Unterscheidungskriterium Damit d
504. quidl1 campus edu lautet Festlegung der Ports http_port 3128 icp_port 3130 Dynamische Dokumente nicht cachen hierarchy_stoplist cgi bin acl LohntNicht urlpath_regex cgi bin no_cache deny LohntNicht Speicher cache_mem 150 MB Verzeichnisse und Log Dateien 30 Giga Byte fuer COM Domain cache_dir var squid cache 30000 16 256 cache_access_log var squid logs access log cache_log var squid logs cache log cache_store_log var squid logs store log Diverse Optionen debug_options ALL 1 log_fqdn off IP Nummer anonymisieren ient_netmask 255 255 255 0 Zugriffsrechte acl all src 0 0 0 0 0 0 0 0 acl campus src 123 123 0 0 255 255 0 0 Zugriff nur vom Campusnetz erlaubt http_access allow campus http_access deny all icp_access allow campus icp_acces deny all Mail UID und GID cache_mgr proxyadmin cache_effective_user squid cache_effective_group nogroup 258 7 Proxy Cache logfile_rotate 5 append domain campus edu 7 6 Performance Aspekte W hrend die Standardkonfiguration von Squid in den meisten kleinen Installatio nen recht ordentlich arbeitet mu man sich bei gro en Servern mit vielen Hun derttausend oder gar Millionen Zugriffen pro Tag Gedanken ber die Optimie rung des Cache Rechners machen Beim Neuaufbau eines Caches steht nat rlich die Auswahl der geeigneten Hard ware als erstes auf dem Plan Es liegt in der Natur der Sache da f r den Betrieb von Squid die reine Proze
505. r hidden definiert werden oder als Pull Down Men Defaultwert istinhtdig conf als template_name definiert m keywords Liste von Suchbegriffen die automatisch zu den bei words ange gebenen hinzugef gt werden UND Verkn pfung Man kann mit dieser Va riablen beispielsweise ein Pull Down Men realisieren mit dem die Suche auf bestimmte Kategorien eingegrenzt wird m matchesperpage Spezifiziert wie viele Ergebnis Urls auf einmal angezeigt werden Der Wert wird entweder ber das hidden Attribut oder als Pull Down Men festgelegt Der Defaultwert wird durch matches_per_page in htdig conf festgelegt m method Festlegen der Suchmethode and Alle Suchbegriffe werden UND verkn pft or Alle Suchbegriffe werden ODER verkn pft boolean Eingabe eines logischen Ausdrucks Realisierung ber Radio Buttons Der Defaultwert wird durch mat ch_met hod in htdig conf festgelegt m page Nicht verwenden m restrict URL Muster auf das die Suche eingeschr nkt werden soll Man kann auf diese Weise einen Teilbaum der Web Pr senz durchsuchen Default 5 9 Das Programm htsearch 201 sort Sortierung nach score Ranking time Zeit date Datum title Titel aufsteigend oder absteigend revscore revtime revdate revtit le time und date sind synonym ebenso revtime und revdate Reali sierung als Pull Down Men im Formular Der Defaultwert wird dur
506. r ma im Verein oder in der Hochschule Schule wird Exemplarisch wird gezeigt wie man die ben tigten Dienste installiert konfiguriert und testet und mit wel chen Tools die Serverprogramme zu administrieren sind Nebenbei erf hrt der Leser auch welche Sicherheitsrisiken drohen und wie man diesen bestm glich entgegentritt Die Grundlagen von Linux und Internet Protokollen werden nur kurz abgehandelt Es wird vorausgesetzt da der Leser Linux auf seinem Rech ner installieren kann und mit den wichtigsten Grundlagen von UNIX vertraut ist zumal viele Linux Distributionen mit ausf hrlichem Handbuch geliefert wer den F r Hintergrundinformationen ber Netze UNIX und HTML und nat rlich auch f r Dateien und weiterf hrende Infos zum Buch ist der Server der Autoren im Internet zug nglich Welche Linux Distribution Sie w hlen ist relativ egal Die Distributionen un terscheiden sich teilweise in den angebotenen Paketen und teilweise in der Verzeichnis Struktur Einem mit Linux vertrauten Fachmann sollte es nicht schwerfallen die Beispiele und Skripten des Buches entsprechend anzupassen Wir haben diverse Distributionen im Einsatz wobei Debian den L wenanteil stellt Bei den meisten Distributionen sind passende Bin rpakete direkt verf gbar und lassen sich von CD oder ber das Netz installieren Trotzdem haben wir von den meisten der besprochenen Programme die aktuelle Version direkt vom 16 Vorwort Erzeuger geholt Schlie lich mu
507. r IP Adresse des ihn rufenden Rechners auch ein Domain Name zugeordnet werden kann Falls nicht wird der Verbindungs aufbau abgelehnt 1 3 1 Die TCP IP Protokolle Der gro e Vorteil der TCP IP Protokollfamilie ist die einfache Realisierung von Netzwerkverbunden Einzelne Lokale Netze werden ber Router oder Gateways verbunden Einzelne Hosts k nnen daher ber mehrere Teilnetze hinweg mitein ander kommunizieren IP als Protokoll der Ebene 3 ist die unterste Ebene die darunter liegenden Netz ebenen k nnen sehr unterschiedlich sein Bild 1 4 m LANs Ethernet Token Ring etc m WANs X 25 usw Punkt zu Punkt Verbindungen SLIP PPP Process Teinet FTP LDP NFS lo Application Network Token FDDI lo Access Ring Abbildung 1 4 Die Internet Protokolle Es ist offensichtlich dafs die Gateways neben dem Routing weitere nichttriviale Funktionen haben wenn sie zwischen den unterschiedlichsten Teilnetzen vermit teln z B unterschiedliche Protokolle auf Ebene 2 unterschiedliche Datenpaket gr e usw 1 3 TCP IP 27 Aus diesem Grund existieren in einem Internet drei unabh ngige Namens bzw Adressierungsebenen m Physikalische Adressen z B Ethernet Adresse m Internet Adressen Internet Nummer IP Adresse a Domain Namen Die Ethernet Adresse ist nur im lokalen Netz g ltig weshalb hier nicht weiter darauf eingegangen werden soll Auf die anderen beiden Ebenen wird in den fol genden Abschnitten e
508. r Serverdateien an Um zum Beispiel var named zum zentralen DNS Verzeichnis zu machen wird es mit mkdir var named cd var named angelegt und zum aktuellen Directory erkl rt Danach ist die Datei mit den Adres sen aller Root Name Server mit dem Hilfsprogramm dig zu erstellen das dem Bind Paket beiliegt Mit der Kommandozeile dig rs internic net ns gt root servers wird die Tabelle von einem der zentralen Name Server geholt und lokal unter dem Namen root servers abgespeichert Der Inhalt der Datei sollte etwa wie folgt aussehen lt lt gt gt DiG 9 2 0 lt lt gt gt 77 global options printcmd Got answer 77 gt gt HEADER lt lt opcode QUERY status NOERROR id 24904 flags qr rd ra QUERY 1 ANSWER 13 AUTHORITY 0 ADDITIONAL 13 QUESTION SECTION i IN NS ANSWER SECTION 149419 IN NS G ROOT SERVERS NET 149419 IN NS F ROOT SERVERS NET 149419 IN NS B ROOT SERVERS NET 149419 IN NS J ROOT SERVERS NET 8 2 Installation und Konfiguration 265 149419 IN NS K ROOT SERVERS NET 149419 IN NS L ROOT SERVERS NET 149419 IN NS M ROOT SERVERS NET 149419 IN NS I ROOT SERVERS NET 149419 IN NS E ROOT SERVERS NET 149419 IN NS D ROOT SERVERS NET 149419 IN NS A ROOT SERVERS NET 149419 IN NS H ROOT SERVERS NET 5 149419 IN NS C ROOT SERVERS NET ADDITIONAL SECTION G ROOT SERVERS NET 419849 IN A 192 112 36 4 F ROOT SERVERS NET 419849 IN A 192 5 5
509. r das bahnbrechende Pa pier The Computer as Communications Device ver ffentlichte In ihm schimmerte erstmals die Idee der Vernetzung aller Computer auf Danach brauchte es knapp sechs Jahre bis die Grundlagenforschung so weit abgeschlossen war um das Ver netzungsprojekt in die Tat umzusetzen Als der erste gelieferte IMP am 2 September 1969 mit einem Computer in Klein rocks B ro Daten austauschte war die Geburt des Internet noch nicht ganz zu Ende BBN mu te drei weitere IMPs liefern die peu peu in Stanford Santa Bar bara und Salt Lake City aufgestellt wurden Zwischen dem B ro von Kleinrock und dem Stanford Research Institute wurde das erste Ping durch die Leitung ge schickt Danach entspann sich an jenem 10 Oktober 1969 ein bizarrer Dialog den viele fiir die wahre Geburtsstunde des Internets halten Kleinrock wollte sich tiber die beiden existierenden IMPs mit seinem Computer auf dem Computer in Stan ford einloggen dazu musste er den Login Befehl absetzen Wir tippten also das L ein und fragten am Telefon Seht ihr das L Wir sehen es war die Antwort Wir tippten das O ein und fragten Seht ihr das 0 Ja wir sehen das O Wir tippten das G ein und die Maschine st rzte ab Doch ein paar Stunden sp ter war der digitale Schluckauf behoben der Versuch wurde wiederholt und diesmal ging nichts schief Zwischen Stanford und Los Angeles lief das erste funktionsf hige Wide Area Network WAN Das Inte
510. r den Typ Basic wieimmerdasheissensoll k nnen Sie durch eine kurze Nachricht ersetzen die in der User Authentifizierungs Pop Up Box erscheint String mit Leerzeichen in G nsef fschen setzen Das Verzeichnis ist jetzt nur f r die Person freigegeben die als Benutzerna men webmaster eingibt Nun m ssen Sie noch ein Pa wort f r den Benutzer webmaster erstellen Wie das geht erfahren Sie weiter unten Jetzt kann auf das Verzeichnis nur noch mit dem Usernamen webmaster und dem eingegebenen Pa wort zugegriffen werden Man kann die Sperre aber auch nur von der IP Adresse des Clients abh ngen lassen Zun chst machen wir mal ganz zu AuthUserFile pfad zu htpasswd AuthName wieimmerdasheissensoll order deny allow deny from all Jetzt ffnen wir f r alle Rechner des C Netzes 192 168 34 0 AuthUserFile pfad zu htpasswd AuthName wieimmerdasheissensoll order deny allow deny from all allow from 192 168 34 Hier darf niemand zugreifen wenn der Name nobody nicht in der Pa wort Datei definiert ist AuthUserFile pfad zu htpasswd AuthName wieimmerdasheissensoll order deny allow deny from all allow from 192 168 34 require user nobody M chten Sie dagegen einigen Benutzern den Zugriff auf das Verzeichnis erm gli chen so gehen Sie bitte wie folgt vor Erstellen Sie mit htpasswd weitere Be nutzer Nun erstellen Sie in dem zu sch tzenden Verzeichnis eine Datei namens htgroup mit folgendem I
511. r rc Datei aufgerufenens Script in etc init d k nnte dann z B so aus sehen bin sh case 1 in start aufgerufen als Kxxcron Lockfile loeschen rm f var spool cron FIFO if x etc cron then etc cron fi D stop aufgerufen als Sxxcron pid bin ps e grep cron sed e s x e s if Spid then bin kill 9 pid fi EF esac Will man einen Dienst deaktivieren beendet man den Dienst indem das zu geh rige Skript mit dem Parameter stop aufgerufen wird und dann benennt man einfach die entsprechende Datei um z B durch Anh ngen von inaktiv Vom L schen der Datei raten wir ab denn vielleicht wird sie noch einmal ge braucht 1 9 Partitionierung der Platte Bei einer Linux Workstation reichen normalerweise zwei Partitionen eine Swap Partition und eine Linux Partition auf die dann die gesamte Installation gespei chert wird In dieser Partition liegen dann auch die Benutzerdaten und das Spool Verzeichnis Bei einem Server sind jedoch folgende Gesichtspunkte zu ber cksich tigen 1 10 Disk Quotas 57 m Der Bereich f r Logdateien eingehende E Mails Cache und Spool Bereiche etc kann beliebig wachsen und auch Ziel eines Angriffs z B Mailbombing sein Ist die Platte voll l uft das System nur noch sehr eingeschr nkt Daher mu das Verzeichnis var auf einer eigenen Partition untergebracht werden St ndig wachsende Dateien die n
512. race files quota limit grace dev hda3 7107 20000 30000 925 10000 15000 dev hda4 1428 500000 1000000 19 50000 100000 60 1 Einf hrung Sie k nnen die Funktion testen indem Sie f r einen User niedrige Werte setzen und dann versuchen eine gro e Datei zu erzeugen z B mit dd if dev zero of home plate big Irgendwann sollte das Kopieren mit der Fehlermeldung write failed user disk limit reached abgebrochen werden Leider gibt es keine M glichkeit einen Standardwert f r alle Benutzer festzu legen Sie m ssen die Userquotas f r jeden Benutzer einzeln definieren Eine M glichkeit das Anlegen von Quotas zu vereinfachen bietet der Befehl edquota Sie k nnen f r einen Dummy Benutzer die Quotas definieren und dann mittels edquota p dummy holzmann f r einen anderen Benutzer bernehmen Der Kommandoaufruf wird dann gleich ins Skript zum Anlegen von Usern integriert 1 11 NFS Server Bei den meisten Distributionen ist es nicht n tig einen neuen Linux Kernel zu kompilieren um NFS benutzen zu k nnen es m ssen lediglich das NFS Datei system und NFS Unterst tzung aktiviert werden Um einen NFS Server einzu richten mu m mit dem Skript etc rc d rpc der Portmapper und m mit dem Skript etc rc d nfsserver der NFS D mon nfsd gestartet werden Die einzige Konfigurationsdatei f r den NFS D mon ist die Datei etc exports mit folgendem Format lt Verzeichnis Pfad gt lt Rechnernamen Optionen gt Link
513. re E Mail OK Adresse Datei Weiterleitung aliases db lokale Adresse Datei Weiterleitung mailertable f r Domain xyz Datei Envelope genericsttable db maskieren lokale Zustellung SMTP Versand Abbildung 2 1 Datenfluss in sendmail sendmail gilt aber auch als ein gef hrliches Programm und taucht h ufig in Security Meldungen auf Die bisher beschriebenen Eigenschaften h ren sich aber eigentlich nicht sonderlich nach Gefahr an Die Probleme mit sendmail beruhen auf folgenden beiden Punkten 72 2 E Mail Server m sendmail ist ein einziger Proze der im allgemeinen mit Root Privilegien l uft da er in die Spool Verzeichnisse schreiben und sich den privilegierten SMTP Port 25 sichern mu Da das Setuid Bit gesetzt ist arbeitet jeder Benut zer mit Root Vorrechten solange das Programm l uft Dies geschieht immer beim Absenden einer Mail die von sendmail erst in das ausschlie lich f r Root schreibbare Spool Verzeichnis kopiert werden mu Technisch besteht zwar die M glichkeit sendmail unter einer weniger bevorzugten Benutzer kennung laufen zu lassen was aber viele unsch ne Kompromisse erforderlich macht m sendmail ist au erordentlich komplex Es bietet Dutzende von M glichkei ten Mails weiter zu verarbeiten macht es dadurch aber anf llig gegen Pro grammierfehler In den alten Versionen wurde beim Programmieren wenig Wert auf Sicherheit gelegt so da die neuen Features erst nach Leistung und Beq
514. ren Zeilen die Netzmaske immer 255 255 255 255 ist Anders bei den letzten beiden definiert Zeile drei den Zugriff von Klienten aus einem kompletten Klasse C Netz 192 168 1 1 192 168 1 254 Die zugeh rige Netzmaske ist 255 255 255 0 Die letzte Zeile legt sogar ein ganzes Klasse B Netz fest Damit sind alle Rechner mit einer IP Adresse zwischen 192 168 1 1 und 192 168 255 254 unter dem Namen meinclassb zusammengefa t Zu einem B Netz geh rt die Maske 255 255 0 0 m dst Syntax acl Name dst IP Adresse Netzmaske Analog zu src l t sich damit angeben auf welche Server zugegriffen werden kann Mit Hilfe dieses Typs lassen sich einschl gige Server sperren Beispiele acl dst boeserserver dst 192 168 99 97 255 255 255 255 acl dst boesesnetz dst 192 168 69 0 255 255 255 0 Die erste Zeile beschreibt einen Rechner die zweite ein ganzes Klasse C Subnetz Mit den beiden Zeilen http_access deny boeserserver http_access deny boesesnetz kann anschlie end der Zugriff aller Klienten auf die angegebenen IP Nummern verhindert werden m srcdomain Syntax acl Name srcdomain Dom nenname Dieser Typ entspricht src mit dem Unterschied da hier statt IP Nummern Dom nennamen angegeben werden m ssen Beispiel 7 4 Zugriffsrechte 249 acl intranet srcdomain netzmafia de Hier werden alle Rechner in der Dom ne netzmafia de unter dem Namen in tranet zusammengefa t Beachten Sie dabei da Squid zum berpr fen der Dom nenzuge
515. ressed ca ctrlaltdel sbin shutdown r t 4 now durch what to do when CTRL ALT DEL is pressed ca ctrlaltdel bin false Am besten sind Server ohnehin im 19 Geh use in einem verschlie baren 19 Schrank untergebracht Der Schrank bringt zudem den Vorteil verbesserter L ftung und dient der Larmdammung 13 8 2 Vertrauliche Daten in zug nglichen Verzeichnissen Eine weitere beliebte Fehlerklasse besteht in vertraulichen Daten die in ber den Webserver zug nglichen Verzeichnissen gelagert werden H ufig bieten Webspace Provider virtuelle Webserver an bei denen die Wurzel des durch den Anwender beschreibbaren Bereiches etwa ho me www servers www kunde de f r den Kunden sichtbar als auch die Wurzel des virtuellen Servers ist etwa http www kunde de Legt der Kunde jetzt Daten unterhalb seines Wurzelverzeichnisses ab etwa eine Datei passwd ist diese Datei auch durch den Webserver abrufbar da sie ja unterhalb der Document Root liegt Sie hat beispielsweise die URL http www kunde de passwd Viele Webshops schreiben Bestellungen in ein oder mehrere Logverzeichnisse oder besitzen Konfigurationsdateien mit Pa worten und Artikeldaten Liegen die se Daten unterhalb der Document Root haben sie URLs und sind prinzipiell ber das Web abrufbar sofern es einem Angreifer gelingt den Namen zu erra ten Kennt man den Namen und die Version der verwendeten Websoftware stellt dies meist kein gro
516. riting RSA key openssl x509 in netzmafia csr out netzmafia crt req signkey netzmafia key days 10000 Signature ok subject C DE ST Deutschland L Muenchen O Netz Mafia CN www netzmafia de Email webmaster netzmafia de Getting Private key Die subject Zeile oben wurde aus drucktechnischen Gr nden umgebrochen Nun m ssen die erzeugten Dateien in das Apache Verzeichnis kopiert werden cp netzmafia key etc httpd ssl key server key cp netzmafia crt etc httpd ssl crt server crt cp netzmafia csr etc httpd ssl csr server csr Die Dateien d rfen m ssen auch nur f r den Apache User z B wwwrun lesbar sein Nach der Generierung sichern Sie sofort Ihren privaten Schl ssel gegen Aus sp hen chown root netzmafia pem chmod 400 netzmafia pem 4 14 5 Konfiguration des Servers Man mu nun die Apache Konfiguration so erweitern daf Apache auf dem Port 443 eine gesicherte Verbindung aufbaut Bei vielen Distributionen ist das oft in den Konfigurationsdateien vorbereitet Deshalb werden wir hier nur die wich tigsten Konfigurationsmerkmale auflisten Nochmals der Hinweis da Sie beim Testen als Protokoll nicht http sondern https angeben m ssen sonst h ngt die Verbindung Der h ufigste Fall ist da ein Server sowohl Standardverbindungen auf Port 80 als auch gesicherte Verbindungen auf Port 443 erlaubt Dazu kann man entweder zwei Varianten des Apache httpd laufen lassen mit zwei verschie denen Konfigurationsdateien oder ma
517. ritten gezeigten Eingaben Das Zertifikat wird von der fiktiven Firma Snake Oil best tigt eignet sich also nur f r einen Test Dabei werden folgende Dateien erzeugt m server key der private RSA Schl ssel der mit der Option SSLCertificateKeyFile in der Apache Konfigurationsdatei spezifiziert werden mu m server crt Die X 509 Zertifikatsdatei die mit SSLCertificateFile spezifiziert wird m server csr Eine Datei die eine Signatur durch einen Certificate Authority CA erm glicht Wer ein echtes Zertifikat braucht schickt diese Datei an ei ne CA Diese wird von der CA signiert und kann dann die Datei server crt ersetzen Zertifikate werden von folgenden Organisationen ausgestellt von denen Sie auch eine Test Zertifizierung erhalten k nnen m BelSign NV SA www belsign be m CertiSign Certificadora Digital Ltda www certisign com br m DFN Verein www pca dfn de Entrust Technologies www entrust net IKS GmbH www iks jena de a Thawte Consulting www thawte com m Uptime Commerce Ltd www uptimecommerce com m VeriSign www verisign com Xcert International www xcert com Man kann die Schritte zum Erzeugen der Dateien aber auch einzeln vornehmen und jederzeit wiederholen Die folgenden Schritte erzeugen ein Zertifikat fiir Ih re Website das von Ihnen selbst best tigt wird hnliches erreichen Sie auch mit make certificate TYPE custom beim Erzeugen der Apache Binaries Im
518. rmance Gewinn des Worker MPM macht sich unter Linux bisher noch nicht so stark bemerkbar weil der aktuelle Anwenderkernel Threads mehr oder minder wie Prozesse behandelt Der kommende Kernel 2 6 wird allerdings ein neues Thread Modell enthalten mit dem die Vorteile unter Linux besser zum Tra gen kommen werden Aus juristischen Gr nden liegt der offiziellen Bin rdistribution von apache org auch kein mod_ss1 bei Die USA beschr nken den Export von starker Ver schl sselung Andere Server im Internet stellen aber schon fertig compilierte Pa kete betreit die das f r mod_ss1 n tige OpenSSL enthalten Zur Not mu man die beiden Pakete eben selbst kompilieren Die Tabelle 4 2 fafst die Unterscheide beider Versionen knapp zusammen Die Quellcodekonfiguration l uft bei Apache 2 0 fast genauso ab wie bei sei nem Vorg nger Durch die Umstellung auf GNU autoconf laufen lediglich mehr Meldungen ber den Bildschirm Das in der Version 1 3 verwendete Skript src Configure ist nun durch den Quasi Standard configure ersetzt wor den Die Anzahl und Art der Konfigurationsoptionen f r die bersetzung des Quellcodes ist bei 2 0 hnlich umfangreich wie bei der alten Version Es gibt auch einige nderungen statt enable module foobar und enable shared foobar 180 4 WWW Server Apache heift es nun beispielsweise enable foobar und enable foobar shared Meist hilft ein configute help weiter Danach folgen wie blic
519. rnet war geboren Keine andere technische Entwicklung in diesem Jahrhundert hat ei ne derartige Erfolgsgeschichte wie dieses inzwischen erdballumspannende Netz werk keine andere einen derart vielschichtig verzweigten Einflu auf alle denk baren Aspekte des gesellschaftlichen und privaten Lebens Die Konturen des In ternet wurden erst 1971 sichtbar als das Forschungsprojekt unter dem Namen ARPAnet mit 15 IMPs erstmals der ffentlichkeit vorgestellt wurde Erst zu diesem Zeitpunkt hatte das Netz ungef hr die Dimensionen die in den er sten Netzskizzen des Informatikers Larry Roberts anno 1966 schon eingezeichnet waren der die Idee des dezentral verkn pften Netzwerks entwickelte Heute ist Roberts einer der V ter die am st rksten gegen die Idee vom kriegssicheren In ternet polemisieren Es ist ein Ger cht dass das Internet entwickelt wurde um einen nuklearen Krieg auszuhalten Das ist total falsch Wir wollten ein effizientes Netz aufbauen Erst sp ter sei das Argument eines Atomschlags hinzugekom men das erwies sich beim Lockermachen weiterer Forschungsgelder als u erst n tzlich Ende 1969 wurde dann von der University of California Los Angeles UCLA der University of California Santa Barbara UCSB dem Stanford Research Insti tute SRI und der University of Utah ein experimentelles Netz das ARPA Net GA RANI Abbildung 1 1 Wachstum des ARPA Net Quelle A S Tanenbaum Computernetworks Die einzelnen Netze v
520. rt my AdminPassword TopSecret Ueberschrift der Passwortabfrage Box fuer das geschuetzte Verzeichnis my AuthName Privatbereich Systempfad zum Standard Mailprogramm meist sendmail my Smailprog usr lib sendmail Die E Mail Addresse des Webmasters my Syourmail webmaster SOMEDOMAIN XX Das Skript schickt eine E Mail wenn jemand ein falsches Admin Passwort eingegeben hat n nein y ja my Salert y CGI Skript Datei htpasswd cgi my SCGIFile htpasswd cgi Nothing to be changed below FETE FE AE AE FE FE E AE AE FE FE FE FE TE FE FE AE E FE HEIE TE FE FE AE FE TE HE FE AE AE FE E FE AE FE FE E FE E E E 2 RHEE EE 152 4 WWW Server Apache my Spassword my flag n my line II print Htpasswd Manager Setup n htaccess erzeugen open HTACCESS gt SAuthAccessFile amp error SAuthAccessFile kann nicht angelegt werden Pfad zum AuthUserFile print HTACCESS AuthUserFile AuthUserFile n Pfad zum AuthGroupFile nicht benoetigt print HTACCESS AuthGroupFile dev null n Angezeigte Abfrage bei Aufruf print HTACCESS AuthName AuthName n print HTACCESS AuthType Basic n Limitations hier gueltiger User print HTACCESS lt Limit GET gt n print HTACCESS require valid user n print HTACCESS lt Limit gt n close HTACCESS chmod 0644 SAuthAccessFile print Datei SAuthAccessFile wurde erzeugt n htpasswd erzeugen
521. rt des Ersetzungsprozesses beginnend mit der er sten Regel 4 15 Die Rewrite Engine 173 m chain verkettet die aktuelle Regel mit der folgenden Trifft die Regel zu geht die Ersetzung normal weiter Andernfalls werden alle weiteren Regeln der Kette bersprungen m nocase Ignorieren von Gro und Kleinschreibung qsappend Statt einer Ersetzung wird ein Querystring an die Ersetzungszei chenfolge angeh ngt skip nnn berspringe die n chsten nnn Regeln wenn die aktuelle Regel zu trifft m env VAR VALUE Die Umgebungsvariable VAR wird auf den Wert VALUE gesetzt So k nnten Sie eine Weiterleitung auf eine andere Seite realisieren Zum Beispiel RewriteRule tralala http www ee fhm edu redirect last Um komplexere Regeln zu erstellen k nnen Sie Bedingungen verwenden Eine Bedingung gilt immer f r die n chste folgende Transformations Regel Nur wenn die Bedingung ein OK zur ckliefert wird die Regel angewendet Zudem ist es m glich mehrere Bedingungen auf eine Regel anzuwenden Die Regeln werden dann logisch UND verkn pft d h alle m ssen zutreffen Die Syntax f r eine Be dingung ist simpel RewriteCond Testobjekt Bedingung Testobjekt ist das Objekt der Bedingung also beispielsweise die Variable die ge testet werden soll Hier k nnen diverse Werte eingesetzt werden z B fast alle CGI Umgebungsvariablen allerdings oft in etwas anderer Schreibweise Die Be dingung definiert dann einen Tes
522. rten den Apache Webserver 1 3 zu starten die ber den Parameter ServerType in der Konfigurati onsdatei ausgew hlt werden inetd und standalone Wird ServerType auf inetd gesetzt so arbeitet der Apache Webserver so da er als Arbeitsprozess unter dem inetd D mon gestartet werden kann Dieses Vorge hen bringt jedoch nur bei selten benutzten Server Programmen eine echte Res sourcenersparnis da bei jedem Zugriff eine vollst ndig neue Instanz des Server Programms gestartet werden muss Zudem hat sich heute der Grundsatz Ein Dienst pro Server durchgesetzt Der ServerType inetd hat beim Apache Webserver mehr oder weniger nur noch historische Bedeutung Wird die zweite M glichkeit standalone f r den Parameter ServerType gew hlt so verwendet der Apache Webserver das sogenannte Pre Forking Modell Beim Start des httpd l uft dieses zun chst als ein einziger Prozess ab Vaterprozess Dieser Vaterprozess liest die Konfigurationsdatei en ffnet die Logdateien und bindet sich an den in der Konfigurationsdatei spezifizierten TCP Port Der Va terprozess bearbeitet selbst jedoch keine HTTP Anfragen Zur Bearbeitung dieser Anfragen startet der Vaterprozess Kindprozesse durch sogenanntes Forking Jeder dieser Kindprozesse bearbeitet solange HTTP Anfragen maximal eine Anfrage pro Prozess zu jedem Zeitpunkt bis er vom Vaterprozess beendet wird Bild 4 3 Zur Kommunikation zwischen dem Vaterprozess und den Kindprozessen wird das sogenannte S
523. rum einrichten mit Hypermail Mit diesem Formular koennen Sie eine E Mail an unseren Webmaster schicken lt P gt lt FORM method POST action cgi bin formular mail cgi gt Ihre E Mail Adresse lt INPUT TYPE TEXT NAME username gt lt BR gt Betreff lt INPUT TYPE TEXT NAME subject gt lt P gt Hier bitte Ihren Text eingeben lt BR gt lt TEXTAREA NAME comments ROWS 20 COLS 60 gt lt TEXTAREA gt lt P gt lt INPUT TYPE submit VALUE E Mail versenden gt lt INPUT TYPE reset VALUE Eingabe loeschen gt lt p gt lt FORM gt lt BODY gt lt HIML gt Auch das CGI Skript dazu ist nicht kompliziert Es nimmt die drei Parameter ent gegen und bastelt daraus eine E Mail Dabei wird noch berpr ft ob der Text fehlt um leere Nachrichten im Infoboard zu vermeiden Da der Empf nger fest im Skript verankert ist kann auch niemand damit Schindluder treiben F r meh rere Infoboards mu man dann entweder mehrere Varianten des Skripts erstellen oder das Programm entsprechend erweitern Man sollte aber niemals die Ziel adresse aus dem Formular holen auch nicht als hidden Variable sondern nur einen symbolischen Wert vom Formular bernehmen beispielsweise eine Zahl oder einen symbolischen Namen Die Zuordnung dieses Wertes zu einer E Mail Adresse erfolgt dann wieder im Skript usr bin perl Folgende Variablen muessen geaendert werden Mailprogramm in der Regel sendmail oi t my Sma
524. rung zum L schen und Einf gen von Zeilen etc time out Wartezeit Wenn nach einer vorbestimmten Zeitdauer nicht ein erwar tetes Ereignis eintritt wird angenommen da der Vorgang fehlgeschlagen ist A Glossar 419 Top Level Domain bergreifende Domain f r L nder sowie com Commercial edu Educational gov Regierungsinstitutionen int Internationale B nd nisse mil Military net Network Provider org Organisationen Vereine arpa das alte ARPA Net Transfervolumen Bewegte Datenmenge die ber eine Leitung etwa von und zu einem Server bertragen wird normalerweise erfolgt die Angabe des Trans fervolumens f r den Zeitraum von einem Monat bertragungsprotokoll Die Daten werden in Bl cke zerlegt und um Pr fsum men CRC erg nzt Fehlerhafte Bl cke werden automatisch neu bertragen ohne da der Benutzer oberhalb der Protokollebene etwas davon merkt Bei hoher Fehlerh ufigkeit wird meistens die Blockgr e verkleinert UDP User Datagram Protocol Es setzt wie TCP auf IP auf arbeitet jedoch ver bindungslos und ohne R ckbest tigung Der Vorteil von UDP gegen ber TCP ist die h here bertragungsgeschwindigkeit UNIX Ein bei Computer Freaks ungemein popul res Betriebssystem das bei der Entwicklung des Internet Pate stand Zum Gl ck ist f r alle die nicht in Kommandozeilen denken k nnen der Zugang zum Internet auch mit Compu tern anderer Betriebssysteme problemlos m glich Sie sto en aber gelegentl
525. rungen der Konfigura tion beim Provider erfordert Sollte dies nicht m glich sein muss auf diese Option verzichtet werden Der Hostname mail provider de sollte in der etc hosts bekanntgegeben werden obwohl es nur beim eigentlichen Ver senden der Mails ben tigt wird F r weitere Experimente k nnen Sie auch noch folgende Makros ber cksichtigen m define confFROM_HEADER netzmafia de Gibt an was in der From Zeile ausgehender Mail steht 2 2 Sendmail 77 m MASOUERADEAS netzmafia de Sorgt daf r da alle ausgehenden Mails vom genannten System zu kommen scheinen bei uns also von der Domain netzmafia de obwohl der Rechner selbst den Namen server netzmafia de tr gt m FEATURE masquerade_envelope Siehe oben m define confMAX_MESSAGE_SIZE 500000 Legt die maximale Mailgr e f r eingehende Mail auf 500 000 Bytes fest Ein Mittel gegen Mailbomben und Powerpoint Attachments Jetzt wird mit Hilfe des Makros die Konfigurationsvorlage generiert bzw in ein f r sendmail verst ndliches Format berf hrt mv etc sendmail cf etc sendmail cf date m4 lt sendmail mc gt etc sendmail cf Als n chstes wird die Datei etc mail service switch mit folgendem In halt angelegt hosts files aliases files Wichtig Bitte bei sendmail c und service switch immer nur Tabulatoren statt Leerzeichen zur Trennung benutzen 2 2 3 Die Datei etc
526. runtergeladenen Dateien ein m u erlaubt das Setzen der umask f r Uploads z B u077 Dieser Parameter taucht nicht in der Dokumentation auf Die Benutzung der ftpaccess Datei wird per default ausgeschaltet Also minde stens a verwenden Beeinflu t wird die Arbeit des FTP Servers durch drei Dateien ftpusers ftpaccess und ftpconversions 3 4 4 Die Datei ftpusers ftpusers enth lt die Nutzerkennzeichen die FTP nicht verwenden d rfen z B ftpusers This file describes the names of the users that may _ NOT x_ log into the system via the FTP server This usually includes root uucp news and the like because those users have too much power to be allowed to do just FTP ma ae de de e SE Se Se root lp news uucp games man at mdom gnats nobody End Manchmal gibt es zus tzlich noch ftpgroups Analog zu ftpusers beschr nkt diese Datei den Zugang von Gruppen 3 4 Konfiguration 107 3 4 5 Die Datei ftpconversions ftpconversions beschreibt die Behandlung komprimierter Daten Die Datei defi niert in Abh ngigkeit von der Dateiendung welcher Konversion die Datei beim Up Download unterzogen werden soll Die Programme z B tar compress uncompress gzip etc sind in dem Verzeichnis untergebracht das durch PATH_EXECPATH festgelegt wurde ftpconversions legt fest welche Erwei terung zu welcher Programmaktion f hrt Z B werden alle Dateien die die Er weiterun
527. s Internets verdoppelt sich alle 12 bis 18 Monate Die neue sten Sch tzungen gehen von ber 43 Millionen angeschlossenen Systemen aus die Anzahl der Menschen die Zugriff auf Informationen im Internet haben wird auf ber 160 Millionen gesch tzt davon sind etwa 36 Millionen in Europa In Deutschland so ermittelte j ngst die GfK sollen es 8 4 Millionen sein Aller dings sind derartige Zahlen und Erhebungen nur mit gro er Vorsicht zu genie en Schon die technische Messung der Hostzahlen ist alles andere als trivial und in hohem Mafe interpretationsbed rftig Nur eines ist wirklich sicher Das Inter net und das WWW breiten sich seit Jahren mit schwindelerregender Geschwin digkeit aus Zum Wachstum des Internet in Deutschland kann man sich aktuell informieren unter http www nic de Netcount netStatHosts html Weitere Quellen zur Geschichte des Internet m Internet Society ISOC History of the Internet m Internet Society ISOC Internet Timeline Musch J Die Geschichte des Netzes ein historischer Abri m Hauben M Behind the Net The Untold History of the ARPA Net and Com puter Science Hauben R The Birth and Development of the ARPA Net 1 3 TCP IP Die Protokolle der TCP IP Familie wurden in den 70er Jahren f r den Daten austausch in heterogenen Rechnernetzen d h Rechner verschiedener Hersteller mit unterschiedlichen Betriebssystemen entwickelt TCP steht f r Transmission Control Protocol Schicht 4
528. s LanmanWorkStation Parameters Bei Windows ME HKEY_LOCAL_MACHINE System CurrentControlSet Services VxD VNETSUP m Haben Sie den angegebenen Punkt erreicht w hlen Sie das Men Bearbeiten daraus Neu und anschlie end DWORD Wert m Geben Sie in die Maske das folgende Wort ein EnablePlainTextPassword und dr cken Sie die Eingabetaste Nun d rfte Ihr Bildschirm aussehen wie in Bild 9 5 e Registrierungseditor Registrierung Bearbeiten Ansicht Y PARITY a oC PCI Wert nicht gesetzt E PERF im Y REBOO1 ab ComputerName pc8 lbs SHELL lei NetClean o a co y Esta 00 y ab StaticWxD wnetsup wxd u vEsMME Workgroup netzbuch e CH VCACHE erg 3 VCDFSD Re EnablePlainT extPassword 000000000 0 3 VCOMM y 4 gt Arbeitsplatz HKEY_LO CAL_M CHINE System CurrentControlSet Services W xDYYNETSUP Abbildung 9 5 Anlegen eines DWORD Wertes m Mit einem Doppelklick auf diesen neuen Eintrag gelangen Sie zur Maske aus Bild 9 6 m ndern Sie hier den Wert der angelegten Variablen in 1 und klicken Sie dann OK m Nun kann der Registrierungseditor mit dem Men Registrierung und Beenden geschlossen und der Rechner neu gebootet werden 9 4 Verschl sselt oder unverschl sselt 287 DWORD Wert bearbeiten HEI Name EnablePlainTextPassword Wert Basis fi Hexadezimal Dezimal L oe Abbrechen Abbildung 9 6 Ausschalten der Verschl sselung
529. s Verhalten daraufhin sind m map to guest Never die Standardeinstellung Benutzer deren Pa wort falsch eingegeben wurde und solche die es in der Pa wortdatei nicht gibt werden abgelehnt map to guest Bad User Obwohl es sich anders anh rt wird hier nicht der Gastzugriff verboten sondern im Gegenteil Benutzer die auf dem Server be kannt sind aber ein falsches Pa wort liefern werden abgelehnt Bis dahin ist das Verhalten identisch mit dem vorhergehenden Wert Never Interessant wird es aber wenn sich jemand mit einem Namen anmeldet der nicht bekannt ist Er wird nun als Gastzugriff behandelt Welche Berechtigung der Gast auf der Unix Seite hat mu mit dem Befehl guest account festgelegt wer den Mit guest account gast w rde der Zugriff mit allen Rechten des Unix Users gast erfolgen den Sie zuvor nat rlich einrichten m ssen m map to guest Bad Password Die dritte und letzte M glichkeit kann Ihren Benutzern das Leben sehr schwer machen und ist nicht zu empfehlen Ver sucht sich ein Anwender mit einem falschen Pa wort anzumelden zum Bei spiel weil er sich vertippt hat wird er automatisch als Gast behandelt und erh lt auch nur dessen Rechte Das kann einige Verwirrung stiften Ein legaler Benutzer merkt zun chst oft nichts davon Er stellt irgendwann w hrend der Arbeit fest da er auf bestimmte Ressourcen nicht mehr zugreifen kann die er sonst erreicht hat In der Original Dokumentation von Samba hei t e
530. s da zu frei bersetzt Support Mitarbeiter werden Sie hassen wenn Sie map to guest auf diesen Wert setzen Ein Beispiel f r eine User Share Sicherheit mit erlaubtem Gastzugriff ist smb conf im User Share Mode Gastzugriff nur 9 7 Sicherheitsmodi 301 auf export gast erlaubt global workgroup NETZBUCH security user guest account gast map to quest Bad User gast comment Gastzugriff nur lesend path export gast guest ok yes read only yes Vergessen Sie dabei nicht da der Benutzer gast vorher auf der Unixseite angelegt werden mu und da er dort Leserechte auf das freigegebene Verzeichnis braucht 9 7 3 Server Ebene Mit security server wird die Sicherheitsstufe auf den Server Modus umge schaltet Das bedeutet nichts anderes als da Benutzername und Pa wort zur berpr fung an einen anderen Rechner bergeben werden Dies kann zum Bei spiel ein Server mit einer zentralen Benutzerdatenbank sein Kann dort der Name nicht gefunden werden versucht der Samba Server den Benutzer in der lokalen Pafswortdatei zu finden F r den Klienten ist kein Unterschied zwischen den Si cherheitsmodi user und server sichtbar Der Name des Servers der die Pa w rter berpr fen soll wird mit dem Befehl password server angegeben Im folgenden Beispiel werden alle Pa wort berpr fungen an den Server NTBOX0815 weitergeleitet global workgroup NETZBUCH security server password server N
531. s steht das Verzeichnis das der NFS Server exportieren soll beispielsweise home public oder cdrom In der Mitte stehen die Rechner die Zugriff auf das Verzeichnis haben sollen und danach in Klammern die Optionen ACHTUNG Beachten Sie das Leerzeichen zwischen den Rechnernamen und den Optionen Nach jeder nderung der Datei m ssen Sie den Portmapper neu starten und dann den NFS D mon durch etc rc d nfsserver reload die Konfigura tionsdatei neu einlesen lassen Die zugriffsberechtigten Client Rechner k nnen Sie auf drei Arten definieren m Ein einzelner Rechnername oder eine einzelne IP Nummer Damit gestatten Sie nur diesem einen Rechner den Zugriff auf das Verzeichnis Wenn Sie den Rechnernamen angeben sollte in der Datei etc hosts seinem Namen eine IP Adresse zugeordnet sein Domain Eintrag mit Jokerzeichen oder Damit k nnen Sie allen Rechnern einer Domain den Zugriff gestatten z B netzmafia de m IP Netzwerknummern Durch Eingabe eines Subnetzes mit Netzmaske Wenn Sie z B 192 168 253 255 255 255 255 255 angeben haben alle Rech ner im Subnetz 192 168 253 0 Zugriff auf das Verzeichnis 1 11 NFS Server 61 Die gebr uchlichsten Optionen sind m rw Read Write gibt den Clients Lese und Schreibrechte im Verzeichnis m ro Read Only gibt den Clients nur Leserecht Voreinstellung noaccess Verbietet Clients den Zugriff auf Unterverzeichnisse m root squash Dateien mit User Group root werden bei den Clients
532. sch in den Header jeder ber die Mailing Liste ver teilten Mail eingef gt message fronter string_array undef Dieser Text wird automatisch am Anfang jeder Mail eingef gt die ber die Mailing Liste verteilt wird Andere Behandlung als message_headers bei ei nem digest moderate bool no Jede Mail mu erst vom Listenbetreuer mit dem Pa wort best tigt werden bevor sie ber die Liste verteilt wird Damit wird die Mailing Liste zu einer moderierten Mailing Liste mungedomain bool no Nicht ver ndern noadvertise regexp_array undef Wenn die E Mail Adresse desjenigen der einen 1ists Befehl an Majordo mo gesendet hat auf den angegebenen Regul ren Ausdruck pa t wird die aktuelle Mailing Liste nicht im lists Befehl angezeigt Vorrang gegen ber advertise precedence word bulk F gt eine precedence Zeile mit dem angegebenen Parameter in den Header der Mail ein private_get bool yes Der Absender eines get Befehls mu auf der Mailing Liste stehen damit der get Befehl ausgef hrt wird private index bool no Der Absender eines index Befehls mu auf der Mailing Liste stehen damit der index Befehl ausgef hrt wird private_info bool no Der Absender eines info Befehls mu auf der Mailing Liste stehen damit der info Befehl ausgef hrt wird private_which bool no Der Absender eines which Befehls mu auf der Mailing Liste stehen damit der which Befehl ausgef hrt wird private_who b
533. schen Sie einfach htaccess htpasswd und htgroup in den entsprechenden Verzeich nissen Wollen Sie dagegen nur einen einzelnen Benutzer entfernen so l schen Sie seinen Namen einfach aus der Auflistung in der Datei htpasswd Mit den htaccess Dateien sind lediglich Strukturen definiert worden Ohne den Eintrag von Benutzernamen und Pa w rtern in die Pa wort Datei kann noch kein einziger Benutzer zugreifen Entsprechende Eintragungen werden mit dem Programm htpasswd durchgef hrt htpasswd c passwordfile username Nun m ssen Sie zweimal das Pa wort f r den Benutzer webmaster eingeben Wird der Parameter c eingegeben erzeugt das Programm eine neue Pa wortdatei Wenn schon ein entsprechender Benutzer existiert wird das Pa wort ge ndert Benutzernamen und Pa w rter sind frei w hlbare Strings sie haben nichts mit den User IDs der Benutzerverwaltung unter UNIX zu tun und sie sollten es auch nicht Das Pa wort wird verschl sselt abgelegt wie man das von den UNIX Pa wort Dateien etc passwd bzw etc shadow kennt Die Verschl sselung erfolgt jedoch nach einem eigenen Verfahren Beispiel f r eine Pa wort Datei 134 4 WWW Server Apache boss IN3WY11ATStaY schmidt INQaGJBu4y130 meier INQq3xgT4zpp6 huber INT EAmojNwN6 Das Programm htpasswd hat einen Nachteil wenn man eine ganze Reihe von Benutzern eintragen will denn es arbeitet nur interaktiv Wenn man die Pafswort generierung per Skript auto
534. se 7 5 Proxy Verb nde 251 acl all src 0 0 0 0 0 0 0 0 acl boese dstdom_regex i sex acl intern sre 192 168 1 0 255 255 255 0 http_access deny boese http_access allow intern http_access deny all Es wird also ein Netz namens intern definiert von dem aus ein Zugriff auf den Ca che m glich ist Die Adresse jeder angeforderten Datei wird mit dem Kommando dstdom_regex auf die Zeichenkette sex untersucht Im Erfolgsfall wird der Zu griff darauf gesperrt http_access deny boese In diesem Beispiel gehen wir davon aus da ein Klient in seinem Browser die Adresse www essex com ein gibt Sein Rechner hat die IP Nummer 192 168 1 15 Mit dem Kommando tail f var squid logs cache log k nnen Sie nun mitverfolgen wie die Aufl sung der einzelnen Zugriffsregeln erfolgt 2002 04 15 14 04 44 aclCheckFast list 0x8207e58 2002 04 15 14 04 44 aclMatchAclList checking all 2002 04 15 14 04 44 aclMatchAcl checking acl all src 0 0 0 0 0 0 0 0 2002 04 15 14 04 44 aclMatchIp 192 168 1 15 found 2002 04 15 14 04 44 aclMatchAclList returning 1 2002 04 15 14 04 44 aclCheck checking http_access deny boese 2002 04 15 14 04 44 aclMatchAclList checking boese 2002 04 15 14 04 44 aclMatchAcl checking acl boese dstdom_regex 1 sex 2002 04 15 14 04 44 aclMatchRegex checking www essex com 2002 04 15 14 04 44 aclMatchRegex looking for sex 2002 04 15 14 04 44 aclMatchAclList returning 1
535. se Mode v gibt eine gute bersicht des Arbeitsfortschritts vv ist schon sehr ausf hrlich und vvv nur f r Debugging 5 6 Das Programm htmerge Das Programm erzeugt aus den Dateien die htdig liefert einen Index und eine Wortdatenbank Auf beide greift htsearch dann bei der Suchanfrage zu Die wichtigsten Kommandozeilenparameter sind m a Verwende alternative Arbeitsdateien Die neue Datenbank wird neben der existierenden Datenbank aufgebaut So sind Suchanfragen auch w hrend der Indizierung m glich Nachteil Doppelter Plattenplatzbedarf f r die Dauer der Indizierung m c configfile Alternative Angabe der Konfigurationsdatei m d Keinen Index erzeugen m m configfile Mische die im configfile spezifizierten Datenbankdateien in die gemeinsam in htdig conf oder per c Parameter angegebene Daten bank m s Nach Programmende Statistik ausgeben m v Verbose Mode v gibt eine gute bersicht des Arbeitsfortschritts m w Keine Wortdatenbank erzeugen Neben den Parametern wird auch die Umgebungsvariable TMPDIR ausgewertet Hier kann angegeben werden wo tempor re Datein abzulegen sind 5 7 Das Programm ht fuzzy 197 5 7 Das Programm ht fuzzy Dieses Programm erzeugt die Indexe f r spezielle Suchalgorithmen Diese Indexe k nnen dann auch von htsearch verwendet werden m c configfile Alternative Angabe der Konfigurationsdatei m v Verbose Mode v gibt eine gute bersicht des Ar
536. se selektierten Mail bestimmt M gliche Aktionen sind m Speichern der Mail in einer Datei In diesem Kontext werden auch Mailboxen sogenannte Mailfolder als normale Dateien betrachtet m Weiterleiten der Mail an einen anderen User m Weiterleiten der Mail an ein Programm Dies bietet nat rlich unbegrenzte M glichkeiten sofern man des Programmierens m chtig ist Aber auch f r Nicht Programmierer gibt es viele fertige Programme die mehr oder weniger sinnvolle Dinge mit Mails anstellen Alle E Mails auf die keine der genannten Regeln zutrifft landen letztlich in der Mailbox des Users wie es ohne Procmail mit jeder Mail geschehen w rde 2 3 Mail filtern und verteilen mit Procmail 87 2 3 1 Konfiguration Wie bereits weiter erw hnt besteht die Konfiguration von Procmail darin eine Datei procmailrc im HOME Verzeichnis des Users anzulegen dessen Mails man filtern will Wir wollen an dieser Stelle nicht im Detail auf die Syntax der Filterregeln von Procmail eingehen da diese sehr komplex sein k nnen Es sei nochmals auf die oben erw hnten Manpages verwiesen Die Datei procmailrc besteht aus zwei Teilen dem Header und der Regelliste Im Header findet man blicherweise die Definitionen einiger Environment Variablen dies ist sinnvoll da Procmail aus Sicherheitsgr nden immer ohne vorbesetztes Environment ge startet wird PATH bin usr bin usr sbin MAILDIR SHOME Mail LOGFILE MAILDIR procmail log LOGABSTRACT al
537. ser password file including the file itself SAuthUserFile opt www etc htpasswd mail program Smailprog usr lib sendmail webmasters email address Syourmail webmaster netzmafia de The script will send you an email if somebody entered a wrong password for entering the admin script n off y on Salert y Nothing to be changed below please leave this line unchanged HEHE EH FE FE E FE AE EH EE HE EEE EHH EH EEE FE FE E EEE EH HEE HEE HE ERE EHH HEE EEE REE ERE Sexlock 2 Sunlock 8 read STDIN Sbuffer SENV CONTENT_LENGTH pairs split amp Sbuffer foreach Spair pairs 4 13 WWW User Administration 155 name value split Spair value tr value s a fA FO 9 a fA F0 9 pack C hex 1 eg input name value print Content type text html n n print lt html gt lt head gt lt title gt htpasswd Manager lt title gt lt head gt lt body gt n print lt Hl gt htpasswd Manager lt Hl gt n print lt H4 gt Action Sinput action lt H4 gt n if Sinput action eq adduser amp adduser if Sinput action eq deluser amp deluser if input action eq changepw amp changepassword if Sinput action eq listusers amp listusers print lt body gt lt html gt n exit sub adduser amp verifyadmin amp checkpasswd open data lt AuthUserFil
538. shake Protokoll 4 14 Sichere Kommunikation mit Apache SSL 161 m Der Record Layer ist f r das Sichern und Versenden sowie f r das Empfan gen und berpr fen von Daten zust ndig Beim Senden wird mittels eines Hashverfahrens eine Pr fsumme f r jeden Datenblock gebildet Abschlie end werden die Daten mit einem symmetrischen Verschl sselungsverfah ren verschl sselt und dann verschickt Beim Empfangen werden die Daten entschl sselt und mit Hilfe der Pr fsumme wird getestet ob die Daten un verf lscht sind Welche Verfahren f r Pr fsummenbildung und symmetrische Verschl sselung benutzt werden steht im SSL Status Das Handshake Protokoll ist eine m gliche Realisierung des SSL Steuerprotokolls Es hat folgende grundlegenden Aufgaben m Aushandeln des Verbindungsmodalit ten m Austausch von Zertifikaten m Schl sselaustausch m berpr fung der Verbindung SSL bietet die M glichkeit eine einmal ausgehandelte Verbindung zu speichern War eine Verbindung erfolgreich d h Verbindungsaufbau und bertragung wa ren fehlerfrei und die Verbindung wurde ordnungsgem geschlossen so haben Client und Server die M glichkeit sich die Sitzungs ID sowie die Verbindungs modalit ten Kompressionsmethode Verschl sselungsmethode und den Master Key zu speichern M chte der Client zu einem sp teren Zeitpunkt die Verbindung wiederaufnehmen so kann er die alte Sitzungs ID wieder benutzen Hat auch der Server die Sitzungs ID samt
539. sich die Aktionen der einzelnen Benutzergruppen einschr nken F r die Operationen delete overwrite rename chmod und umask kann die Benutzung gesperrt no oder freigegeben yes werden Das Format der Zeile ist Operation yes no Typenliste Zum Beispiel 110 3 FTP Server delete no guest anonymous delete permission overwrite no guest anonymous overwrite permission rename no guest anonymous rename permission chmod no anonymous chmod permission umask no anonymous umask permission Schliefslich ist noch der Pathfilter wichtig der bei Uploads solche Zeichen aus Da teinamen entfernt die m glicherweise Probleme bereiten k nnen Der erlaubte Pfadname wird durch einen regul ren Ausdruck definiert Widerpricht der Da teiname diesem Ausdruck wird eine Fehlermeldung ausgegeben Beispiel path filter anonymous etc pathmsg A Za z0 9_ x NX path filter guest etc pathmsg A Za z0 9_ NX Mit den Direktiven guestgroup und guestuser lassen sich Gruppen oder Be nutzer des lokalen Rechners behandeln wie Benutzer die per anonymous ftp auf den Rechner zugreifen Sie k nnen daher nicht auf Verzeichnisse au erhalb des ffentlichen FTP Verzeichnisbaums zugreifen Das kann n tzlich sein wenn man den Update von Dateien des Webservers per FTP gestatten will aber sonst nichts Man macht dann das WWW Dokumentenverzeichnis und das ffentliche FTP Verzeichnis identisch Die Benutzer bekommen bin false a
540. sser verwenden Sie OpenSSL siehe Kapitel 4 ftp ftp psy uq oz au pub Crypto SSL tcp wrapper Loggt und kontrolliert Zugriffe auf Netzdienste auf Basis der IP Adressen ftp ftp cert dfn de pub tools net TCP Wrapper nmap Einer von zahlreichen Portscannern die gleichermafen von Hackern und zum Security Auditing eingesetzt werden http www insecure org nmap 13 11 Sicherheits Tools und Quellen 397 m traceroute Verfolgt den Weg zu einem Rechner durchs Internet Bei Windows hei t das Programm tracert in der DOS Box aufrufen m Identd identifiziert User einer Netzwerkverbindung Ist nicht zur Authentifi zierung geeignet m Watcher Protokoll Tool Plattform Unix http www i ip com m Win Log Einfaches Rechner berwachungstool f r Windows NT http www isoft demon co uk winlog html scanlogd Bestandteil vieler Linux Distributionen H lt Portscans in der messages Datei fest Courtney Checkt den Rechner auf Satan Scans Plattform Unix ftp ftp cert dfn de pub tools audit courtney m Logsurfer Checkt die messages Datei von Unix Rechnern auf bestimmte Ein tr ge und f hrt daraufhin bestimmte Aktionen durch ftp ftp cert dfn de pub tools audit logsurfer m Logcheck Einfaches Unix Programm zum berwachen der Logdateien ftp ftp cert dfn de pub tools audit logcheck 13 11 2 Informationen m http www cert dfn de Webseite des deutschen Computer Emergency Response Teams
541. ssorleistung weniger ausschlaggebend ist Deshalb mu nicht unbedingt ein brandaktuelles Rechnersystem eingesetzt werden Die letz te oder vorletzte Prozessorgeneration tut es auch Wichtig ist allerdings wieviel Speicher das System aufnehmen kann Die Proxy Performance steht und f llt mit der Anzahl der Objekte die gleichzeitig im RAM gehalten werden k nnen Beim Kauf des Motherboards sollte man nicht nur auf die Maximalspeichergr e ach ten die verwaltet werden kann sondern immer auch pr fen ob der Speicher auch noch komplett cachebar ist Wird diese Grenze berschritten sinkt die Gesamtper formance des Systems gewaltig ltere Pentium I Systeme lassen zum Beispiel oft einen Speicherausbau auf 128 MB zu k nnen aber nur 64 MB cachen Auch bei neueren Motherboards mit maximal einem Gigabyte Speicher k nnen manchmal nur 128 MB ber den Second Level Cache verwaltet werden Im Zweifelsfall hilft hier ein Blick ins Handbuch oder auf die Webseite des Herstellers Auch die Anzahl der Sockel f r Speichermodule ist wichtig damit das System bei Engp ssen problemlos erweitert werden kann Nat rlich hat auch die Netzwerkanbindung des Servers einen gro en Anteil an der Reaktionszeit des Proxies Nach heutigen Ma st ben sollte es also auf jeden Fall ein 100 MBit Netzwerk sein das zum Einsatz kommt Hat man ein komple xes Netz mit hierarchisch verbundenen Caches dann lohnt es sich bei einer ent sprechenden Anzahl von Anfragen pro Tag w
542. ssworts m ssen Sie zwischen Gro und Kleinschreibung unterscheiden Ein Passwort sollte mindestens f nf Zeichen lang sein und darf keine Neuen Benutzer hinzuf gen Vorname Erwin Nachname Mueller Loginname Benutzername mueller vorschlagen Passwort eingeben Pastor Passwort zur berpr fung wiederholen SROKA Sonderzeichen z B Akzente enthalten Erlaubt sind die Zeichen EE 812 41 9711 sowie Ces j Abbildung 9 7 Anlegen eines Benutzers ausnahmsweise einmal mit Yast echo Syntax basename 0 lt login name gt lt voller Name gt exit 1 fi USER 1 GECOS 2 Gibt s den schon if grep SUSER PASS then echo Den Benutzer USER gibt es schon exit 2 fi Sicherheitskopien anlegen cp SPASS S PASS bak cp SSHAD SHAD bak echo Lege Benutzer SUSER an usr sbin useradd d HOME SUSER g GRP c SGECOS s SSHELL m k SKEL SUSER echo Fertig Das Shell Skript erf llt eine ganze Reihe von Aufgaben Zun chst pr ft es ob ein Benutzer gleichen Namens schon existiert und gibt in diesem Fall eine Fehlermeldung aus ber die Variablen am Dateianfang l t es sich individuell an die Bed rfnisse und Besonderheiten Ihrer Samba Installation anpassen Ein kleines aber wichtiges Detail am Rande Standardm ig werden einem Unix Benutzer beim Anlegen eine ganze Reihe von Konfigurationsdateien f r di 9 4 Verschl sselt oder unverschl sselt 289
543. st in den meisten Distribu tionen enthalten Sonst erh lt man es bei ftp ftp ccil org pub esr fetchmail Der Vorteil von fetchmail gegen ber dem lteren popclient ist da das Pa wort nicht in der Proze tabelle erscheint sondern nur zwischen dem Mail Server und dem POP3 Client ausgetauscht wird Das Pa wort wird in einer separaten Datei abgespeichert Das Kompilieren der Fetchmail Quellen erweist sich als u erst einfach x x be zeichnet die aktuelle Version tar xvzf fetchmail x x tar gz cd fetchmail x x configure prefix usr make make install Das Fetchmail Binary befindet sich nun in usr bin die zugeh rigen Manpages wurden in usr man1 abgelegt 2 4 1 Erstellen des rc Files Gesteuert wird fetchmail ber die Datei fetchmailrc Am einfachsten kann die Installation an einem Beispiel gezeigt werden Der Mailserver sei mail provider de Es gibt zwei Benutzer habicht und gaukeley die auf dem lokalen Rechner hugo und gundel hei en Als Pa w rter auf dem Mailserver werden t 49076 und xzv33TU benutzt Legen Sie eine Datei root fetchmailrcan poll mail provider de protocol POP3 user habicht password t49076 is hugo poll mail provider de protocol POP3 user gaukeley password xzv33TU is gundel poll ist der Befehl zum Abholen der E Mail mail provider de ist der Server von dem die E Mails geholt werden und mit protocol POP3 wird POP3 als bertragungs protokoll festgelegt alternativ k nnen Sie hier IMAP an
544. st sind es CGI Scripte die den Inhalt der Nachricht verarbeiten PUT Die mit der Methode PUT bertragenen Daten sollen unter der ange geben URL gespeichert werden Auf diese Weise m chte man WWW Seiten auch ohne direkten Zugriff auf den anbietenden Rechner erstellen und anbie ten Wird ein Dokument mit der Methode PUT bertragen dann wird unter dieser Adresse ein Dokument mit dem bertragenen Inhalt angelegt War die Aktion erfolgreich wird 200 created zur ckgemeldet Existiert unter dieser Adresse schon ein Dokument dann wird dieses berschrieben War auch die se Aktion erfolgreich wird nur 200 OK zur ckgemeldet Der Hauptunterschied zwischen POST und PUT besteht darin da bei POST die URL die Adresse eines Programms referenziert das mit den Daten umge hen kann Bei PUT wird hingegen die URL als neue Adresse des Dokumen tes gesehen das gerade bertragen wurde Meist ist die Methode PUT jedoch ausgeschaltet weil Server Betreiber bef rchten da die Sicherheit des Systems dadurch nicht mehr gew hrleistet ist DELETE Mit dieser Methode kann der Inhalt einer URL gel scht werden Die se Methode ist neben der Methode PUT eine der gef hrlichsten Wenn Server 4 1 HTTP Hypertext Transfer Protocol 121 nicht richtig konfiguriert wurden kann es mitunter vorkommen da jeder mann die Berechtigung zum L schen von Ressourcen hat m LINK Mit dieser Methode k nnen eine oder mehrere Verbindungen zwischen
545. sten senken Ein Cache Only Server ist relativ schnell und einfach aufzusetzen Im Verlauf dieses Kapitels wird eine entsprechende Musterkonfiguration gezeigt Primary Ein Primary Server ist f r eine oder mehrere Dom nen zust ndig Er h lt eine Tabelle vor in der der Administrator IP und Namens Eintr ge f r jeden Rechner vornehmen kann F r jede Dom ne kann es nur einen einzi gen prim ren Name Server geben der den bergeordneten Servern bekannt gemacht werden mu Secondary Dieser Server h lt eine Kopie der Daten eines prim ren Servers die lokal nicht ver ndert werden kann Mit einem sekund ren Server ist zwei erlei m glich F llt der prim re Server aus bernimmt der sekund re Server seine Aufga ben und antwortet auf Abfragen der Klienten Voraussetzung daf r ist aller dings da seine IP Nummer in der lokalen Konfiguration der Netzwerkklien ten zus tzlich angegeben wurde Gleichzeitig kann mit diesem Konzept der Datenverkehr eines gro en Netzes reduziert werden das r umlich in zwei oder mehr Gruppen getrennt ist Jede dieser Gruppen erh lt einen eigenen sekund ren Server der die Daten des prim ren spiegelt Alle Abfragen nach internen Adressen bleiben damit im lokalen Netz und belasten nicht die Zwischenverbindungen der Abteilungen oder Geb ude Auch sekund re Server sind mit relativ wenig Aufwand einzurichten und zu warten 8 2 Installation und Konfiguration Im folgenden wird die Installation
546. sultate festlegt Standardm ig werden die eingebauten Templates Long und Short verwendet wie sie auch im Suchformular ausgew hlt werden k nnen Diese Standard Templates k nnen durch eigene ersetzt werden Beispiel 5 10 Die Konfiguration von htDig 207 template_map Long long common_dir long html Short short common_dir short html template_name long Dann gibt es noch Attribute die das Aussehen der Buttons beeinflussen mit de nen der User zwischen den gefundenen Index Seiten navigiert Sie k nnen entwe der die Bilder austauschen oder beliebige Referenzen auf andere Bilder einf gen Zum Beispiel next_page_text lt img src img bt npg gif border 0 align middle width 30 height 30 alt Next gt no_next_page_text lt img src img bt nnp gif border 0 align middle width 30 height 30 alt Next gt prev_page_text lt img src img bt ppg gif border 0 align middle width 30 height 30 alt Next gt no_prev_page_text lt img src img bt npp gif border 0 align middle width 30 height 30 alt Next gt Mit den Attributen create_image_list yes und create_url_list yes lassen sich Listen der indizierten Bilder und URLs erzeugen Die Listen sind un sortiert und voller Duplikate man mu sie also durch sort u pipen Die Datei en landen im Datenbank Verzeichnis Neben htdig conf lassen sich noch andere Dateien ndern um dem Suchsy stem ein individuelles Gesicht zu geben
547. system das Datenbanken in andere offene Internet Systeme und Protokolle wie z B WWW E Mail und andere integriert Das Isite System besteht aus drei Teilen der Search Engine Isearch dem Indexer lindex und dem http Gateway Isearch cgi Homepage http www cnidr org ir isite html AltaVista Discovery Nachdem die bisher vorgestellten Systeme in der Haupt sache f r Unix entwickelt wurden gibt es seit kurzem auch eine Search Engine f r Windows AltaVista Discovery Diese Applikation soll es dem Nut zer erm glichen Informationen berall zu finden egal ob sie sich auf sei ner Festplatte oder irgendwo im Internet befinden Der AV Discovery Hub ist das Herzst ck des Systems und stellt die Schnittstelle zu den anderen Pro zessen dar der AV Discovery Indexer ist f r die Indexierung der Dokumente zust ndig und der AV Discovery Dispatcher stellt die Verbindung zum Inter net her Hompage http www altavista com ht Dig Im Gegensatz zu den bisher vorgestellten Suchsystemen greift ht Dig htDig nicht direkt ber das Dateisystem auf die Daten zu sondern verwendet f r den Zugriff auf die Dokumente einen HTTP Client So ist es m glich nicht nur die eigene Web Site zu indizieren sondern auch die anderer Server htDig besteht in der Haupsache aus drei in C geschriebenen Programmen htdig dem Web Robot mit dem die Daten vom Server geholt werden htmerge das die Index Datei im DBM Format erzeugt und htsearch dem CGI Skript
548. t el Folgende Informationen werden zur Erkennung des Computers im L Netzwerk verwendet Computername fettbacke Arbeitsgruppe BLA Klicken Sie auf Netzwerkkennung um sich einer Netzwerkkennung Dom ne anzuschlie en und einen lokalen Benutzer zu erstellen Klicken Sie auf Eigenschaften um diesen Eigenschaften Computer umzubennenen oder sich einer Dom ne anzuschlie en Abbrechen bernehmen Abbildung 9 12 Systemeingenschaften Tragen Sie unter Dom ne Ihren Dom nennamen ein und klicken Sie auf ok wie in Bild 9 13 gezeigt Nun erscheint eine Maske die Sie zur Eingabe von Benutzernamen und Pa wort f r die Dom ne aufruft In den derzeitigen Versionen von Samba kann das nur der Unix Benutzer root Der Account root mu dazu ein g ltiges Samba Pa wort in der Datei smbpasswd haben wie bereits im vorhergehenden Abschnitt erw hnt Nach Eingabe des Namens root und des zugeh rigen Pa wortes dauert das Hin zuf gen zur Dom ne unter Umst nden eine Weile Das ist v llig normal und kein Grund zur Beunruhigung Hat alles geklappt werden Sie in der neuen Dom ne begr t wie in Bild 9 14 dargestellt Nach dem obligatorischen Neustart kan man in der Loginmaske des Windows 2000 Clients zwischen einer Anmeldung an der Dom ne oder am lokalen Compu ter ausw hlen Wichtig dabei ist W hlt man den Dom nenlogin mu ein Benut zer auf dem Windows 2000 Rechner nicht eingerichtet werden Ein Benutzer
549. t der auf das Textobjekt angewendet wird Sie k nnen hier z B regul re Ausdr cke und anderes verwenden Dabei k nnen Sie in der Form Variablenname auf Server Variablen zugreifen Einige der Va riablen sind HTTP USER AGENT HTTP REFERER HTTP COOKIE HTTP FORWARDES HTTP HOST HTTP ACCEPT REMOTE ADDR REMOTE HOST REMOTE USR REMOTE IDENT REQUEST METHOD PATH INFO QUERY STRING SCRIPT FILENAME AUTH TYPE DOCUMENT ROOT SERVER ADMIN SERVER NAME SERVER ADDR SERVER PORT SERVER SOFTWARE SERVER PROTOCOL TIME YEAR TIME MON TIME DAY TIME HOUR TIME MIN TIME SEC TIME WDAY TIME API VERSION THE REQUEST REQUEST URI REQUEST FILENAME IS SUBREQ 174 4 WWW Server Apache Zus tzliche Parameter sind u a m d is directory Behandelt das Testmuster als einen Pfadnamen und testet ob es existiert und ein Verzeichnis ist m f is regular file Behandelt das Testmuster als einen Pfadnamen und testet ob es existiert und eine normale Datei ist a s is regular file with size Behandelt das Testmuster als einen Pfadnamen und testet ob es existiert und eine normale Datei mit einer von 0 verschiede nen Gr e ist a l is symbolic link Behandelt das Testmuster als einen Pfadnamen und te stet ob es existiert und eine Verkn pfung ist Beispiel 1 Ob die Festlegung der Regeln funktioniert kann man einfach testen Hinter Re writeEngine on f gt man die folgende Zeile ein RewriteCond HTTP_USER_AGENT Mozilla x
550. t z B Net scape Navigator Microsoft Internet Explorer Mosaic Lynx etc CA Certificate Authority Zertifizierungsstelle die Schl ssel zur bermitt lung vertraulicher Daten zum Schutz vor Manipulationen und zur lden tit tspr fung des Urhebers vergibt Cache Lokales Verzeichnis in dem der Web Browser die heruntergeladenen Da ten zwischenspeichert um sich ggf ein erneutes Laden vom Server zu sparen Carrier Telekommunikationsunternehmen die Datenleitungen auch aktiv ver legen CCITT Comit Consultatif International T l phonique et T l graphique ein in ternationales Gremium f r Normen zu Telefon und Telegraphie an dem Ver treter von Post Industrie und Wissenschaft aus 159 L ndern teilnehmen Nor men zur Daten bertragung sind beispielsweise die ber Telefon V Normen Datennetze X Normen und ISDN I Normen heute ITU T 404 A Glossar CERN Conseil Europeen pour la Recherche Nucl aire Europ isches Labor f r Teilchenphysik Hier entwickelte Tim Berners Lee das WWW CGI Common Gateway Interface Protokoll ber das sich Web Server mit ex ternen Programmen koppeln lassen beispielsweise um Benutzereingaben in einer Datenbank zu speichern CFV Call For Votes Aufforderung zur Stimmabgabe an die Mitglieder einer Newsgroup Chat siehe IRC Chat Client Kunde Clients sind die Benutzer die Informationen haben wollen Client Programme sind Programme mit denen die Benutzer von ihren eig
551. t 192 168 253 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 RX packets 147 errors 0 dropped 0 overruns 0 frame 0 TX packets 515 errors 0 dropped 0 overruns 0 carrier 0 collisions 2 txqueuelen 100 Interrupt 10 Base address 0x6100 eth0 1 Link encap Ethernet HWaddr 00 00 E8 7C C2 AB inet addr 192 168 253 2 Bcast 192 168 253 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric l Interrupt 10 Base address 0x6100 eth0 2 Link encap Ethernet HWaddr 00 00 E8 7C C2 AB inet addr 192 168 253 3 Bcast 192 168 253 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 Interrupt 10 Base address 0x6100 eth0 3 Link encap Ethernet HWaddr 00 00 E8 7C C2 AB inet addr 192 168 253 4 Bcast 192 168 253 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric l Interrupt 10 Base address 0x6100 eth0 4 Link encap Ethernet HWaddr 00 00 E8 7C C2 AB inet addr 192 168 253 5 Bcast 192 168 253 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric l Interrupt 10 Base address 0x6100 lo Link encap Local Loopback inet addr 127 0 0 1 Mask 255 0 0 0 UP LOOPBACK RUNNING MTU 3924 Metric l RX packets 303 errors 0 dropped 0 overruns 0 frame 0 TX packets 303 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 0 Wenn man dann noch das route Kommando eingibt sieht man nur die Standard Routen die ausreichen Kernel IP routing table Destination Gateway Genmask Flags Metric
552. t bei jedem Verzeichniswechsel ausgegeben Um den Inhalt einer Datei in jedem Verzeichnis anzuzeigen geben Sie der Datei in jedem Verzeichnis denselben Namen aber verwenden unterschiedliche Inhalte Wenn beispielsweise der Name der Datei README ist k nnen Sie den folgenden Eintrag verwen den message home ftp msgs README cwd x Um eine Mitteilung nur einer bestimmten Benutzerklasse anzuzeigen geben Sie den Namen der Klasse am Ende des Eintrags ein z B message home ftp msgs freesoftmsg cwd freesoft friend Sie k nnen dieselbe Mitteilung mehreren Klassen anzeigen wenn Sie am En de jedes Eintrags den Namen der Klasse hinzuf gen und dabei jeden Namen durch ein Leerzeichen trennen Mitteilungen f r anonymous ftp oder f r guest Benutzer m ssen sich im Bereich des ftp Verzeichnisses befinden Die readme Datei Hiermit k nnen Sie die Benutzer darauf hinweisen da die README Datei in einem Verzeichnis ge ndert wurde Die Syntax des Eintrags entspricht der des Befehls message readme msgs readmemsg login cwd dirName className Hier bezieht sich der Pfad der Datei auf das FTP Verzeichnis Der Befehl ruft nicht die README Datei auf sondern weist den Benutzer lediglich darauf hin da ein Wechsel im Inhalt von README stattgefunden hat Wenn der Befehl wieder global gelten soll lautet er readme README login readme README cwd x Die shutdown Datei shutdown etc shutmsg 3 4 Konfiguration
553. t eintr gt SWAT 901 tcp Samba Web Adminisration Tool Anschlie end sorgt man mit dem Editieren der Datei etc inetd conf daf r da der inetd D mon SWAT automatisch aufruft sobald der Samba Server auf Port 901 angesprochen wird Hierzu mu folgende Zeile eingetra gen werden Samba Web Administration Tool SWAT stream tcp nowait 400 root usr local samba bin SWAT SWAT Nun mu man den inetd Server noch dazu bewegen die Datei etc inetd conf neu einzulesen Das kann man erzwingen indem man ihm das Signal SIGHUP schickt Vorher mu man allerdings noch fest stellen unter welcher Proze nummer der inetd gerade l uft Das ist zum Beispiel mit dem folgenden Kommando m glich ps aux grep inetd Als Antwort erh lt man dann zum Beispiel 9 10 Samba und SWAT 311 root 900 0 0 0 1 1344 548 S 10 26 0 00 usr sbin inetd Die Proze nummer des inetd verbirgt sich hier in der zweiten Spalte In obiger Ausgabe ist es also die 900 Nun kann man das Signal zum Einlesen der etc inetd conf absetzen indem man das Kommando kill HUP lt Prozessnummer gt eingibt Im Beispiel also kill HUP 900 Nun ist SWAT fertig eingerichtet und man kann f r einen ersten Test den Browser starten Als URL gibt man den Namen des Samba Servers gefolgt von der Zeichenkette 901 ein Also zum Beispiel http aella 901 Der Browser fordert anschlie end zur Eingabe eines Login Namens und eines Pa wortes auf Zur Einrichtung des Sa
554. t input type hidden name config value htdig gt lt input type hidden name exclude value gt lt td gt Such lt br gt Bedingung lt td gt lt td gt lt select name method gt lt option value and gt alle Begriffe lt option value or gt min ein Begriff lt option value boolean gt logische Verkn amp uuml pfung lt select gt lt td gt lt tr gt lt tr gt lt td gt Sortieren nach lt td gt lt td gt lt select name sort gt lt option value score gt Trefferquote lt option value time gt Zeit lt option value title gt Titel 212 5 Die lokale Suchmaschine lt option value revscore gt Trefferquote r amp uuml ckw amp auml rts lt option value revtime gt Zeit r amp uuml ckw amp auml rts lt option value revtitle gt Titel r amp uuml ckw amp auml rts lt select gt lt td gt lt td colspan 2 gt lt td gt lt tr gt lt tr gt lt td gt Ausgabe Format lt td gt lt td gt lt select name format gt lt option value builtin long gt Titel und Beschreibung lt option value builtin short gt Nur Titel lt select gt lt td gt lt td gt Treffer Seite lt td gt lt td gt lt select name matchesperpage gt lt option value 10 gt 10 lt option value 25 gt 25 lt option value 50 gt 50 lt option value 100 gt 100 lt select gt lt td gt lt tr gt lt table gt lt form gt F uuml r Fragen Anregungen oder Beschwerden wenden Sie sich bitte an lt a href mailto webmaster netzmafia de gt
555. tc resolv conf search netzmafia de nameserver 127 0 0 1 Bevor nun der Named Proze gestartet und damit der Server in Betrieb ge nommen werden kann m ssen Sie noch die zentrale Konfigurationsdatei etc named conf erstellen und gegebenenfalls Zonendateien schreiben Wie das funktioniert wird in den folgenden Abschnitten anhand der verschiedenen Servertypen gekl rt 8 3 Cache Only Server Wie bereits erw hnt handelt es sich bei einem Cache Only Server um einen Rechner der lediglich DNS Abfragen weiterleitet und die Antworten bergeord neter Server zwischenspeichert cached Er besitzt keine eigenen Tabellen von Dom nen In seiner einfachsten Form hat er lediglich eine Tabelle mit den Root Servern die er direkt nach den gew nschten Adressen fragt In der Praxis wird ein solches System aber kaum eingesetzt Vielmehr befinden sich Cache Only Server h ufig vor den Leitungen zum Provider und damit zum Internet Sie werden meist so konfiguriert da sie Anfragen immer an den DNS Server des Providers stellen was nat rlich der Performance zugute kommt F r einen einfachen Cache Only Server sieht die zugeh rige etc named conf folgenderma en aus options Arbeitsverzeichnis fuer die DNS Daten directory var named forward only nur weiterleiten keinen Server selbst fragen forwarders Anfragen nur ueber diesen Server 192 168 132 252 5 y D zone in type hint file root servers Tabelle mit den Root
556. tei wird in httpd conf festgelegt CustomLog Eine Zeile in dieser Logdatei sieht beispielsweise folgenderma en aus aus drucktechnischen Gr nden auf drei Zeilen umbrochen 129 187 206 62 12 Dec 1999 15 09 34 0100 GET dot gif HTTP 1 0 200 2383 http www netzmafia de index html Mozilla 4 0 compatible MSIE 4 0 Windows 95 142 4 WWW Server Apache 129 187 206 62 ist die IP Adresse des zugreifenden Clients Hat man HostnameLookup aktiviert wird der DNS Name dieses Rechners zur ckge liefert was aber die Performance betr chtlich verringert m Ist der IdentityCheck aktiviert erh lt man hier das Ergebnis einer IDENT Anfrage u H tte eine Authentifizierung stattgefunden w rde hier die UID zur ckge liefert m 17 Dec 1997 18 09 37 0100 Datum und Uhrzeit des Zugriffs m GET dot gif HTTP 1 0 Erste Zeile der Client Anfrage 200 HTTP Statuscode m 2383 Die Gr e der vom Server ausgelieferten Datei in Bytes ohne Header a http www netzmafia de index html Seite von der aus die Anfrage gestar tet wurde a Mozilla 4 0 compatible MSIE 4 0 Windows 95 Der verwendete Browser Zur Auswertung von Logdateien gibt es mehrere Hilfsprogramme die teilweise auch als CGI Skripts funktionieren Das Logfile httpd error enth lt Meldungen ber fehlgeschlagene Aktionen Ein typischer Eintrag sieht so aus auf zwei Zeilen umbrochen Wed Dec 19 18 28 21 1999 access to o
557. tekel CNAME steht dabei als Abk rzung f r Canonical Name Nachdem die Zonendatei f r die Vorw rtsadressierung fertig eingegeben wurde geht es mit der R ckw rtsadressierung weiter In der vorgestellten named conf hatten wir f r diese Datei den Namen var named 192 168 131 rev ver wendet Der Anfang der Datei entspricht der Zonendatei f r die Vorw rtsadressierung und kann von dort bernommen werden Die komplette Datei f r die Beispiel dom ne netzmafia de ist Reverse Zonendatei fuer die Domaene netzmafia de STTL 1D in SOA orakel netzmafia de dnsadmin orakel netzmafia de 2002021801 Seriennummer 10800 Refresh 3 Stunden 3600 Retry 1 Stunde 604800 Expire 1 Woche 86400 Min TTL 1 Tag NS orakel netzmafia de 252 PTR orakel netzmafia de 251 PTR menetekel netzmafia de 248 PTR pandora netzmafia de 276 8 Name Service DNS Die f r die R ckw rtsadressierung wichtigen Zeilen sind jene die das Schl ssel wort PTR f r Pointer enthalten Am Anfang der Zeile steht jeweils die letzte Stel le der IP Nummer gefolgt von einem oder mehreren Tabulatorzeichen dem Wort PTR und schlie lich dem Namen des Rechners Sind alle Informationen eingegeben worden kann der Server durch Aufruf des Programmes named gestartet werden M chten Sie im laufenden Betrieb einen neuen Rechner zu Ihrer Dom ne hin zuf gen sind folgende Schritte n tig m Legen Sie von den Vorw rts und R ckw rts Zon
558. telle if Snumberreturned 1 print n print lt B gt n print lt BODY gt lt HTML gt n exit 0 sub Formular kleines Suchformular ausgeben mit den aktuellen Werten vorbesetzen 190 5 Die lokale Suchmaschine print lt FORM METHOD post ACTION cgi bin such pl gt n if defined ein background print lt INPUT TYPE hidden NAME body VALUE Sein body gt n if defined ein dirs print if defined ein exdirs lt INPUT TYPE hidden NAME dirs VALUE Sein dirs gt n NAME exdirs SELECTED print lt INPUT TYPE hidden print VALUE Sein exdirs gt n print Suchbegriff e print lt INPUT TYPE text NAME searchvalue print VALUE Sein searchvalue gt n print Verkn amp uuml pfung print lt SELECT NAME type gt n print lt OPTION VALUE all if Sein type eq all print print gt alle n print lt OPTION VALUE any if Sein type eq any print SELECTED print gt mindestens einer n print lt SELECT gt der Begriffe n print lt INPUT TYPE submit VALUE Suchen gt n print lt INPUT TYPE reset VALUE L schen gt lt FORM gt n print lt P gt n sub WriteLog Suchanfrage protokollieren my Ssite Ssite SENV REMOTE_ADDR
559. tem Prozesse brigzulassen Mu der Proxy im Betrieb aus Speichermangel auf die Swap Partition zugreifen w rde die Geschwindigkeit des Caches erheblich darunter leiden W hrend der Testphase des Proxys sollte der Administrator mit dem free Kommando gelegentlich kontrollieren ob noch gen gend Speicher zur Verf gung steht oder ob schon geswappt wurde cache_dir Die wichtigste Zeile der ganzen Konfigurationsdatei Hier wird das Cacheverzeichnis und dessen Gr e eingestellt Die Syntax der Zeile ist cache_dir Verzeichnisname Gr e Ebenel Ebene2 Die Verzeichnisstruktur des Caches ist in zwei Ebenen organisiert Mit Ebenel und Ebene2 wird die Anzahl der Unterverzeichnisse auf jeder Ebene einge stellt Die Zeile cache_dir var squid cache 3000 16 256 legt in var squid cache 16 Verzeichnisse zum Speichern von Objekten an Jedes dieser Verzeichnisse enth lt noch einmal 256 Unterverzeichnisse Die Gesamtgr e des Caches betr gt 3000 MByte cache_access_log In der hier angegebenen Datei werden alle Zugriffe der Kli enten und aller anderen Server in einem Verbund auf den Proxy vermerkt Insbesondere bei der Fehlersuche kann diese Datei sehr n tzlich sein Beispiel cache_access_log var squid logs access log cache_log Legt die Datei fest in der das Verhalten des Caches protokolliert wird Mit Hilfe von debug_options l t sich einstellen wie viele Informatio nen geschrieben werden Auch diese Datei ist f r die Feh
560. ten die durch das Loopback Interface ge schickt werden wieder im lokalen System empfangen werden Dieser Mecha nismus erlaubt eine Kommunikation von lokalen Prozessen ber TCP IP und wird insbesondere von TCP IP Verwaltungsprozessen aber auch von anderen Diensten genutzt so z B bei Datenbanken Die Standard Internet Adresse der Loopback Schnittstelle ist 127 0 0 1 und sollte obwohl es theoretisch m glich ist nicht ver ndert werden Initialisiert wird das Loopback Interface durch das Kom mando ifconfig lab 127 0 0 1 Broadcast Interfaces sind die blichen Schnittstellen zu lokalen Netzwerken ber die mehrere Systeme erreichbar sind und ber die Broadcasts also Nachrichten an alle verschickt werden Es handelt sich dabei um Schnittstellen zu Ethernet und Token Ring Neben der Internet Adresse werden bei der Initialisierung des Broadcast Interfaces auch die Netzmaske und die Broadcast Adresse angegeben 44 1 Einf hrung ifconfig eth0 192 168 0 1 netmask 255 255 255 0 broadcast 192 168 0 255 Neben den Broadcast Schnittstellen gibt es noch die sogenannten Point to Point Schnittstellen Sie sind dadurch gekennzeichnet da man nur ber sie ein an deres System erreichen kann Beispiele sind SLIP Serial Line IP und das Point to Point Protokoll PPP die Verbindungen ber die serielle Schnittstelle oder per Modem ISDN Adapter WAN Verbindungen zulassen Die Initialisierung einer Point to Point Schnittstelle hat z B die folg
561. ten zur Verf gung stellt Im einfachsten Fall wird dazu jede Mail an die Liste gleich auch an Hypermail weitergereicht Man kann mit Hypermail aber auch ein webbasiertes Diskussionsforum oder In foboard realisieren Wenn man nur einige wenige Foren hat ist das oft einfacher und bequemer als das Aufsetzen eines News Servers Wer will kann auch das Posten ins Hypermail System per Webbrowser erledigen lassen Im einfachsten Fall gen gt dazu das mailto Link Soll es komfortabler sein reicht ein Formular mit einem kleinen CGI Skript wie Sie es am Ende dieses Kapitels finden Vor eini ger Zeit schien das Ende von Hypermail nahe aber inzwischen wird die Software wieder gut gepflegt und aktualisiert 12 1 1 Installation Die Originalversion finden Sie unter http www hypermail org oder http www landfield com hypermail Dort sind auch Webseiten mit al len wichtigen Informationen abrufbar Hypermail arbeitet mit englischen Texten die aber recht einfach und verst ndlich sind Meist mu man sich die Quelltexte herunterladen bersetzen und installieren Sehr ausf hrliche und verst ndliche Installationsanweisungen entnehmen Sie der Datei README Deshalb hier nur ein Schnelldurchgang Zuerst wird das tar Archiv ausgepackt Danach wird die Quelle konfiguriert und bersetzt Beim Configure Programm sollte man gleich die Zielpfade angeben configure prefix opt www hypermail exec_prefix opt www hypermail
562. ten wir ja auch die Installation der Programme von Hand testen In der zweiten Auflage wurden nicht nur Tippfehler berichtigt sondern fast alle Kapitel an die neueste Softwareversion angepa t Das Kapitel ber Webserver Statistik wurde betr chtlich erweitert und ein neues Kapitel ber Hypermail ein Mail to Web Gateway neu aufgenommen Die schnelle Innovation der unter Linux verf gbaren Software ist Freude und B rde zugleich In der dritten Auflage die nur ein Jahr nach der zweiten Auf lage folgte wurden auch wieder viele Aktualisierungen n tig Damit der Umfang und damit der Preis des Buchs etwa gehalten werden k nnen sind einige Listings auf die Webseite ausgelagert worden Gerade bei dieser Auflage kamen wir auch mehrmals in einen Zwiespalt ob wir immer die allerneuesten Entwick lungen behandeln sollen und uns und Ihnen dabei vielleicht ins Knie schie en weil ein paar Wochen nach Drucklegung doch noch etwas an der Modulschnitt stelle ge ndert wird Deshalb sind wir bewu t bei Apache noch bei der Version 1 3 geblieben und bieten nur einen Ausblick auf Version 2 0 Insbesondere weil bei 2 0 die extern programmierten Module teilweise noch recht instabil waren als wir das Buch geschrieben haben Auch beim betagten Sendmail denken wir ber Alternativen nach und probieren schon einiges aus Aber trotz relativ h ufig gemeldeter Sicherheitsl cken darf er diesmal noch bleiben Nebenbei H ufige CERT Advisories weisen nicht i
563. tent Iransfer Encoding wurden als Voreinstel lungen des Post Programms gesetzt Andere Felder k nnen entweder durch das Programm oder per Hand hinzugef gt werden Cc steht f r Carbon Copy In diesem Feld werden diejenigen Adressen unterge bracht die eine Kopie des Briefes erhalten sollen Eine Antwort auf einen solchen Brief kann dann sowohl an den Absender als auch an die weiteren Adressen die im Cc Feld stehen gerichtet werden Mit diesem Feld er ffnet sich die M glich keit eine kleine Mailing Liste zu beginnen Mit Bcc und Fcc hat dieses Feld noch sinnvolle Abwandlungen erfahren Bcc f r Blind carboncopy schickt eine Kopie des Briefes an die angegebenen Adressen blendet die anderen Empf nger der Kopie im Gegensatz zu Cc jedoch aus Man kann also nicht wissen ob der Brief noch anderen Empf ngern zuge gangen ist und die Antwort geht automatisch nur an den Absender Eine andere M glichkeit dieses Feld zu nutzen besteht darin hier die eigene Adresse unter zubringen um einen abgehenden Brief selbst zu erhalten Wird das Feld Fcc f r Folder carboncopy vorgegeben wird der abgehende Brief an die Datei an geh ngt die in diesem Feld angegeben wird Das Reply To Feld kann dazu ver wendet werden die Antwort auf einen Brief an eine andere Adresse schicken zu lassen als sie im From Feld genannt wird Das Feld Zender erlaubt die Un terscheidung zwischen dem eigentlichen Au
564. ter biz Business Sites arpa dasalte ARPA Net bzw R ckw rts Aufl sung von Adressen Unterhalb der Top Level Domain treten dann Domains wie netzmafia auf die sich im Rahmen ihrer Organisationen auf diesen Namen geeinigt haben m ssen 1 4 Domain Name System DNS 41 wie auch ber die weitere Strukturierung des Namensraumes etwa da Abteilun gen einen Subdomain Namen bilden Diese werden wieder strukturiert durch die Namen der einzelnen Abteilungen oder Institute z B schutzgeld netzmafia de oder schmuggel netzmafia de Als letztes Glied wird der einzelne Rechner mit seinem Hostnamen spezifiziert F r die Aufnahme einer Verbindung zwischen zwei Rechnern mu in jedem Fall der Rechnername in eine zugeh rige IP Adresse umgewandelt werden Aus Si cherheitsaspekten ist es manchmal w nschenswert auch den umgekehrten Weg zu gehen n mlich zu einer sich meldenden Adresse den Namen und damit die organisatorische Zugeh rigkeit offenzulegen Kennt man die Dom nenadresse eines Rechners dann h ngt man diese einfach an den Usernamen mit einem At Zeichen dahinter z B m plate mail netzmafia de So lassen sich dann beispielsweise E Mails an bestimmte Personen verschicken Ein kleiner Vergleich mit einer konventionellen Adresse soll das verdeutlichen Stefan Meier entspricht dem Benutzerpseudonym meier bei Huber entspricht dem Rechner mail Beispielweg 5 12345 Dingens entspricht der Sub Domain
565. terner Serverfehler z B Fehler im CGI Programm 501 Not Implemented Anforderung wird nicht unterst tzt 502 Bad Gateway Ung ltige Antwort von Gateway oder einem anderen Server 503 Service Unavailable Server berlastet oder gesperrt 504 Gateway Timeout Gateway z B Datenbank antwortet nicht 4 2 Apache als WWW Server Apache ist nach Untersuchung von Netcraft Survey der meistbenutzte WWW Server weltweit Der Server ist eine Weiterentwicklung des NCSA Servers und bietet in der bei Drucklegung dieses Buchs aktuellen Version 1 3 einen Funkti onsumfang an der mit jedem anderen Web Server vergleichbar ist Der Name Apache stammt von A Patchy Server weil er urspr nglich aus existierendem Code und Patch Files zusammengesetzt wurde Inzwischen gibt es einen zwei ten Entwicklungspfad den Apache 2 0 dessen erste Produktionsversion 2002 er schien Die Architektur des 2 0 Kerns hat sich grundlegend ge ndert ebenso gibt es nderungen an der Modul API Letzteres ist auch der Grund warum auch heute noch viele Webmaster bei der Version 1 3 bleiben denn die neuen Modu le sind noch teilweise instabil oder gar nicht verf gbar Deshalb beschreiben wir hier ausf hrlich die Version 1 3 und geben am Ende des Kapitels einen Ausblick auf Apache 2 0 Da vieles aus diesem Kapitel f r beide Versionen gilt steht einem Umstieg auf 2 0 aber nichts im Weg Zu erw hnen ist vielleicht noch da man das Apache Projekt auch durch
566. terst tzt wird u SERVER NAME Der Name die IP Adresse oder der DNS Name des WWW Servers m SERVER SOFTWARE Der Name und die Versionsnummer des Apache Folgende Variablen werden in Abh ngigkeit von der Anfrage gesetzt m AUTH TYPE Art des Authentifikationsverfahrens derzeit nur Basic m CONTENT LENGTH Die L nge der Anfrage in Bytes m CONTENT TYPE Der Datentyp MIME Typ m PATH INFO Die Eingabe f r das Gateway Skript das am Ende des virtuellen Pfadnamens des Gateways abgelegt wurde m PATH TRANSLATED Bietet den absoluten Pfadnamen f r PATH INFO m QUERY STRING Die Daten vom Web Client z B aus einem Formular also alles was in der vom Client zur ckgelieferten URL nach dem Fragezeichen steht REMOTE ADDER IP Adresse vom Host des Clients m REMOTE HOST Der Name vom Host des Clients m REMOTE USER Wenn der Client Host eine Benutzerverwaltung besitzt ist dies die Benutzer ID des Users am Client m REQUEST METHOD Die Abfrage Methode z B GET POST und HEAD m SCRIPT NAME Der virtuelle Pfad zum Gateway Skript m SERVER PORT Die Portnummer der Client Anfrage SERVER PROTOCOL Der Name und die Versionsnummer vom Informati onsprotokoll der Anfrage 138 4 WWW Server Apache Zus tzlich zu diesen Variablen gibt es noch Inhalte von Headerzeilen der HTTP Anfrage Sie besitzen alle den Pr fix HTTP Zwei h ufig auftretende Header variablen sind m HTTP_ACCEPT Definiert die MIME T
567. tiefer in die Hintergr nde von Linux und freier Software eintauchen m chte dem empfehlen wir das Buch The Cathedral amp the Bazaar von Eric S Raymond erschienen bei O Reilly Wir verwenden Linux als Basis unserer Server weil es einerseits freie Software ist und daher auch f r jeden erschwinglich und weil andererseits ein gro er Teil der im Internet eingesetzten Server auf Linux laufen Deshalb ist dieses Buch auch stark Linux lastig Alle verwendeten Programme sind aber f r nahezu je de UNIX Plattform einsetzbar und werden auch dort sehr h ufig eingesetzt Die Unterschiede bei Installation und Konfiguration sind zwar hie und da vorhanden jedoch so marginal da ein Systemadministrator keine Probleme haben sollte un sere Beschreibung zu adaptieren Oft sind nur die Pfade unterschiedlich Deshalb verzichten wir im Buch auf die Nutzung Distributions spezifischer Tools und be schreiben daf r die Installation Somit sind die Anwender der unterschiedlichen UNIX Varianten keineswegs ausgeschlossen und k nnen gleicherma en Nutzen aus diesem Buch ziehen Wir haben uns auch verkniffen eine CD mit Linux Distribution und Pro grammen beizulegen denn die Daten sind sp testens drei Monate nach Erscheinen des Buchs veraltet und die Dateien aus dem Buch k nnen Sie jederzeit von den jeweiligen Webseiten der Programmautoren in aktuel ler Version laden Quellenangaben im jeweiligen Kapitel Die Buchauto ren erreichen Sie unter http ww
568. tion keine Sicherheits einstellung aktiv Alles ist erlaubt offene Scheunentore 13 7 Angriffe ber das Netz F r Benutzer und Administratoren von Netzwerken oder Einzelrechnern mit In ternetzugang wird es immer wichtiger sich mit der Sicherheit ihrer Rechner zu befassen Die hier beschriebenen Sicherheitsl cken und Angriffsmethoden bilden 13 7 Angriffe ber das Netz 373 die Grundlage der meisten Attacken in heutigen TCP IP Netzwerken Oft wer den bei Angriffen mehrere der beschriebenen Methoden kombiniert 13 7 1 Security im Data Link und Network Layer Sniffing Wie schon weiter oben gezeigt lassen sich Daten abh ren Im lokalen Netz ge langen die Datenpakete an alle Rechner Normalerweise werden Daten die nicht an einen bestimmmten Rechner adressiert sind von diesem verworfen Genau an dieser Stelle setzen die Sniffing Attacken an Statt die fremden Daten zu verwer fen kann man diese Daten speichern und eventuell weiterverwenden So ist es z B m glich durch einen entsprechenden Filter eine komplette Verbindung zu protokollieren Auf diese Weise kann ein Angreifer auch an Pa w rter gelangen wenn diese unverschl sselt ber das Netzwerk bertragen werden Das gilt nat rlich auch f r IP Verbindungen Bei vielen Betriebssystemen geh ren entsprechende Programme zum Lieferumfang da sie f r den Test und die Feh lersuche in Netzen notwendig sind z B tcpdump Da auch die Pa w rter beim Telnet oder ftp Log
569. tor des Briefes welcher im From Feld genannt sein sollte und demjenigen der den Brief abgeschickt hat Die Ant wort wird automatisch an die Adresse im From Feld gerichtet In den Feldern Comments und Keywords k nnen zus tzliche Informationen untergebracht werden W hrend das Feld Comments einen zusammenh ngen den Text der sich ber mehrere Zeilen erstrecken kann erlaubt m ssen die Stichw rter hinter Keywords durch Kommata voneinander getrennt werden Neue Zeilen im Comments Feld m ssen mit einem Leer oder Tabulator Zeichen beginnen Neuerdings greift bei einigen Softwareherstellern u a auch Microsoft die Unsitte um sich die in den Standards RFC Request for Comment festgelegten Formate des Headers zu umgehen So wird beispielsweise bei einer Antwort dem Betreff ein Re f r engl Reply Antwort vorangestellt Steht schon ein Re da unternimmt das Mail Programm nichts weiter Die eingedeutschten Programme verwenden AW f r Antwort und so ergeben sich nach mehrmaligem Hin und Her h liche Re AW Re AW Folgen 2 1 2 Mailing Listen Mailing Listen gibt es zu Hunderten im Netz Sie befassen sich mit allen m gli chen Themen und funktionieren immer nach dem gleichen Muster ein Brief an die Adresse der Liste wird an s mtliche Abonnenten der Liste weitergeleitet Sie eignen sich beispielsweise auch f r Rundschreiben Da bei Mailinglisten jeweils nur ein Empf nger im Ma
570. tragen die den Benutzern individuelle Heimat verzeichnisse zur Verf gung stellt Die smb conf kann um beliebige von Ihnen selbst definierte Freigaben erg nzt werden Mit einer Konfiguration aus nur wenigen Zeilen kann schon ein funktionierender Server aufgebaut werden Dazu ein Beispiel einfache smb conf H global workgroup Netzbuch printing bsd printcap name etc printcap load printers yes security user homes public no writeable yes browseable no printers printable yes path tmp browseable no Das obige Beispiel definiert einen Server der f r alle Benutzer die in der Pa wort datei des Linuxrechners eingetragen sind einen Zugriff auf ein eigenes Heimat verzeichnis erm glicht Gleichzeitig stehen alle Unix Drucker f r die Windows Klienten zur Verf gung Ist die smb conf wie gew nscht konfiguriert kann der Server gestartet wer den Am besten erledigt man das ber ein eigenes Skript das beim Booten des Rechners automatisch ausgef hrt wird Besitzer einer Distribution wie SuSe Linux finden nach der Installation des Samba Pakets schon eine fertige Datei vor etc init d smb und m ssen lediglich in der etc rc config die Varia ble START_SMB auf den Wert yes setzen Hat man das Quellpaket installiert und selbst bersetzt mu man das Skript selbst erstellen Dazu erzeugt man eine Datei namens etc init d smb und schreibt die folgenden Zeilen hinein bin sh Skr
571. triebssystems wie bei spielsweise m Ein und Ausgabe von Dateien m Netzwerkfunktionalit t m Thread und Prozessverwaltung m Speicherverwaltung m Laden dynamischen Codes ber entsprechende Funktionsaufrufe an Die Implementierung der APR ist nat rlich betriebssystemabh ngig Die APR nutzt soweit m glich die Systemcalls der realen Betriebssysteme Zudem versuchen die APR Methoden die fr heren Posix Methoden nachzubilden damit lterer Code leichter portiert werden kann Der erste Schritt alle f r Apache 2 0 n tigen Funktionen bereitzustellen ist er reicht In der Zukunft soll das APR auch unabh ngig von Apache als Basis f r weitere plattformunabh ngige Programme dienen und nat rlich allen interessier ten Programmieren zur Verf gung stehen 178 4 WWW Server Apache Die einzigen weiteren plattformabh ngigen Komponenten des Apache Webservers au er der APR sind die Multi Processing Modules MPMs Dies sind spezielle Module die bestimmen wie eine Aufspaltung des Apache Webservers in verschiedene Prozesse bzw Threads vorgenommen wird um die Verarbeitung eingehender HTTP Anfragen sicherzustellen Trotz des Aufbaus als Modul muss das zu verwendende MPM w hrend der Konfiguration des Apache Webservers angegeben und in ihn hineinkompiliert werden Es darf au erdem nur ein MPM zur Laufzeit verwendet werden Aufgrund der unterschiedlichen M glichkeiten auf den verschiedenen Plattfor men sind nicht alle MPMs au
572. tsph re m http netsecurity miningco com Links zum Thema Hacker Active X Java Javascript Verschl sselungstechnik und software FAOs speziell auch Linux Windows und Mac m http www rootshell com Tips und Hinweise zu Sicherheitsproblemen m http www ufaq org Diese inoffizielle Site liefert eine gr ere Menge Tips zu Browsern Dar ber hinaus viele Tuning Tips Die als FAQ aufgebaute Site wird regelm ig upge datet Anhang A Glossar Account Zugangsberechtigung Benutzername und Pa wort f r einen Ccmpu ter oder ein Online Angebot ActiveX Microsofts Antwort auf Java ActiveX Controls sind Programmteile die der Browser vom Web Server l dt und automatisch ausf hrt AdClick Begriff aus der Leistungsmessung f r Online Werbung Anzahl der Clicks auf einen Hyperlink der zu den Informationen eines Werbetreibenden f hrt AdClick Rate Verh ltnis von AdClicks zu PageViews Gibt an wie viele Nutzer eine Online Werbung tats chlich angeklickt haben Address Spoofing Vort uschen einer falschen Internet Adresse Administrator Systemverwalter in einem Netzwerk der meistens ber alle Zu griffsrechte verf gt AdViews Zahl der Zugriffe auf eine Web Seite Agent Intelligentes Software Programm das im Auftrag des Users im Internet nach Inhalten sucht oder Auftr ge ausf hrt Algorithmus Rechenvorschrift Alias Eine andere E Mail Adresse f r einen Benutzer Aliase werden in Tabellen eingetra
573. tuell noch die Maintainer der verschiedenen Angebote hinzu Wenn es aber ein Samba Server im Windows Netz ist der als File und Printserver arbeitet sollte man sich als Administrator berlegen ob man nicht Disk Quotas einf hrt Einzelne Benutzer k nnen sonst die gesamte Server Festplatte oder zumindest die Home Partition mit Daten f llen und so die Arbeit aller anderen Anwender blockieren Wenn Sie f r das Home Verzeichnis eine eigene Partition angelegt haben so l uft das System zwar weiter aber die User k nnen es nicht mehr wie gewohnt nutzen Linux erlaubt Quotas f r einzelne Benutzer oder f r Gruppen Die Beschr nkun gen gelten jeweils f r eine einzelne Partition Gruppenquotas geben die Summe des Speicherplatzes an den alle Mitglieder dieser Gruppe gemeinsam belegen 58 1 Einf hrung d rfen Es lassen sich Obergrenzen f r den belegten Plattenplatz und f r die Anzahl der Dateien festlegen Bei beiden M glichkeiten k nnen Sie zwei unter schiedliche Grenzen setzen m Das Hard Limit ist eine Grenze die der Benutzer auf keinen Fall berschreiten kann Das Soft Limit darf der Benutzer eine bestimmte Zeit lang berschreiten aber nur bis zum Hard Limit Der Kernel mu mit Quota Unterst tzung kompiliert werden Au erdem brau chen Sie das Paket quota Das ist schon alles Bei der Partition f r die Sie Be schr nkungen aktivieren wollen m ssen Sie das Schl sselwort usrquota f r Be schr nkungen auf Benutz
574. tz c CONFIGFILE Ein grep Aufruf liefert dann z B SBINDIR htdig i c SCONFIGFILE Sopts stats Salt SBINDIR htmerge c CONFIGFILE Sopts stats Salt SBINDIR htnotify c SCONFIGFILE opts SBINDIR htfuzzy c CONFIGFILE opts endings SBINDIR htfuzzy c SCONFIGFILE opts synonyms m Letztes Problem ist das Suchprogramm CGI Programm ht search Dort ist der Name der Konfigurationsdatei fest eincompiliert Es gibt zwei M glichkei ten das Problem zu l sen Erstellen einer zweiten ge nderten Quelle die dann compiliert wird Im Verzeichnis cgi bin gibt es dann zwei unterschiedliche Suchprogramme Daf r reicht dann ein conf Verzeichnis mit zwei verschiedenen Config Dateien Einbinden eines Hidden Feldes ins Suchformular lt input type hidden name conf value home httpd htig conf2 gt Die Variable conf enth lt den Pfad zur Config Datei die selbst immer htdig conf hei en mu Deshalb wird ein zweites conf Verzeichnis ge braucht Zum Schlu wird das Skript rundig2 aufgerufen um die zweite Datenbank zu generieren Fertig Kapitel 6 Webserver Statistik Aus den vielen Programmen f r die Auswertung der Logdateien haben wir nur einige wenige herausgegriffen Einige Programme wie Analog Webalizer oder wusage setzen wir selbst ein Bei anderen haben wir darauf geachtet da die Soft ware frei ist und sich gegebenenfalls leicht an eigene W nsche anpassen l t Pro grammiersprache Perl oder C
575. tzer oder eine Grup pe Zum Beispiel cache mgr proxyadmins Die Zuweisung zur echten E Mail Adresse geschieht mit Hilfe der lokalen Alias Datenbank des Rechners etc aliases Dort steht dann zum Beispiel eine Zeile mit Benachrichtigungsliste fuer den Proxy Cache Server proxyadmins mueller netzmafia de maier netzmafia de Wir raten Ihnen bei allen Serverprogrammen so zu verfahren Soll die Zust ndigkeit ge ndert werden weil zum Beispiel eine Urlaubsvertretung in die Liste eingetragen werden soll oder weil ein Mitarbeiter ausgeschieden ist mu immer nur die etc aliases editiert werden und nicht viele einzelne Dateien mit unterschiedlicher Konfigurationssyntax Vergessen sie dabei nicht die einzelnen Zeilen zu kommentieren damit die Zuordnung der Aliase zu den Funktionen und Programmen klar wird 7 2 Installation und Konfiguration 239 m cache_effective_user Benutzername und ID unter welcher der Cache l uft Aus Sicherheitsgr nden sollte der Server nicht unter der ID root laufen Standardwert ist cache_effective_user nobody m cache_effective_group Gruppenname unter dem Squid l uft Standard ist cache_effective_group nogroup m visible_hostname Hier kann ein besonderer Rechnername angegeben wer den der in allen Meldungen an die Klienten erscheint Wenn nichts angegeben ist wird der Name verwendet der bei Ausf hren des Kommandos hostname erscheint Beispiel Der Proxy Server gremlin netzmafia de soll sich
576. uemlichkeit dann erst nach Sicherheit beurteilt wurden Aus diesem Grund sollte immer mit der allerneuesten Version von Sendmail ge arbeitet werden 2 2 1 Die Datei sendmail cf einrichten Im folgenden soll ganz allgemein beschrieben werden wie man sendmail cf anpa t insbesondere f r den Fall da keine permanente Verbindung zum Inter net besteht Wenn eine E Mail von Sendmail verschickt wird durchlaufen die Headerinfor mationen verschiedene Tests gegen die einzelnen Konfigurationsdateien d h sendmail cf ist nicht die einzige aber die wichtigste Konfigurationsdatei In Bild 2 1 sind der Datenflu durch Sendmail und die au er sendmail c verwen deten Dateien aufgezeigt Einige dieser Konfigurationsdateien m ssen in eine db Datenbank umgewan delt werden Dies erfolgt mit Hilfe des Befehls makemap bzw newaliases Meist steht auch ein Makefile daf r zur Verf gung Nach nderungen der Konfi guration mu der Sendmail Proze veranla t werden die Dateien neu einzulesen Die Dateien werden sp ter in diesem Kapitel genauer besprochen In den meisten Distributionen finden sich nach der Installation des Pake tes sendmail Konfigurationshilfen zum Erstellen von beinahe beliebigen etc sendmail cf Als Makro Sprache wird m4 eingesetzt Meist finden Sie f r verschiedenste Betriebssysteme vorgefertigte m4 Makrodateien Nach Erstellen einer eigenen Makrodatei sendmail cf k nnen unter dem cf Verzeichnis durch den Aufruf d
577. ugriff aller Klienten auf einen Rechner innerhalb vom einschlae gig com gesperrt Tippt ein Benutzer zum Beispiel in seinem Browser den URL http www einschlaegig com ein erh lt er vom Proxy eine Fehlermel dung m stcdom_regex Syntax acl Name i src_regex Ausdruck Statt eines Dom nennamens kann hier zur Identifikation der Klienten ein re gul rer Ausdruck benutzt werden Zum Beispiel acl programmierer srcdom_regex i prog netzmafia de Im obigen Beispiel gehen wir davon aus da in der Dom ne netzmafia de nur f r die Rechner der Programmierabteilung der Proxy Zugriff erlaubt werden soll Alle PCs dieser Abteilung haben die Zeichenkette prog in ihrem Namen Sie hei en zum Beispiel pc1 prog netzmafia de oder pc5 prog netzmafia de Der optionale Schalter i sorgt daf r da die Gro und Kleinschreibung nicht berpr ft wird 250 7 Proxy Cache Wie schon bei srcdom erw hnt wird dabei vorausgesetzt da es einen DNS f r die lokalen Dom nen gibt und alle gew nschten Rechner darin eingetra gen sind m dstdom_regex Syntax acl Name i dst_regex Ausdruck Analog zu srcdom_regex kann hierbei ein regul rer Ausdruck f r den Na men eines Servers angegeben werden Zum Beispiel acl boesenetze dstdom_regex i micro Das obige Beispiel filtert alle Server aus die die Zeichenkette micro in ih rem Dom nen Namen haben Damit k nnen Zugriffe auf Dom nen wie ab microc com microabc com oder abemicro com verhindert
578. ugriffe der lokalen Client PCs ber einen Proxyserver um Diese Umleitung geschieht ohne Umkonfigurieren der Webbrowser auf den Anwender PCs eben transparent Um Squid das Arbeiten in solchen Umgebungen zu erm glichen mu die Konfi gurationsdatei squid conf angepafst werden Wichtig sind die folgenden f nf Ein tr ge http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Wird auf dem Firewall Rechner das Programm iptables eingesetzt dann lauten die Zeilen zum Aktivieren des transparenten Proxies bin bash IPTABLES usr sbin iptables Ethernet Interfaces offizielle Adressen EXT eth0 intern 192er Netz INT ethl Definition internes Netz INTERN 192 168 110 0 255 255 255 0 Proxy Server Port SQUIDSERVER 192 168 110 1 3128 Ports P_HIGH 1024 65535 User Ports Tranparentes HTTP Proxying einschalten echo configuring transparent proxy SQUIDSERVER 7 3 Konfiguration der Webbrowser 243 SIPTABLES t nat A PREROUTING i SINT p TCP sport P_HIGH dport 80 j DNAT to destination SQUIDSERVER Die Variablen am Anfang des Skriptes sind als Konfigurationserleichterung ge dacht Man braucht sie in aller Regel mehrmals und kann so ein universelles Firewall Skript erzeugen das nur noch ber einige Angaben angepa t werden mu Im obigen Beispiel ist das interne Netzwerkinterface der Firewall eth1 und das externe eth0
579. unabh ngige Kommunikationsbe ziehungen Multiplex Verbindung Die Identifikation der beiden Prozesse einer Kommunikationsbeziehung geschieht wie auch bei TCP siehe unten durch Port Nummern kurz Ports die allgemein bekannten Anwendungen fest zugeord net sind Es lassen sich aber auch Ports dynamisch vergeben oder bei einer An wendung durch verschiedene Ports deren Verhalten steuern Die Transportein heiten werden UDP Datagramme oder User Datagramme genannt Sie haben folgenden Aufbau Bild 1 7 Length Data Abbildung 1 7 UDP Protokollkopf Source Port Identifiziert den sendenden Proze falls nicht ben tigt wird der Wert auf Null gesetzt Destination Port Identifiziert den Proze des Zielknotens m Length L nge des UDP Datagramms in Bytes mindestens 8 Headerl nge m UDP Checksum Optionale Angabe falls nicht verwendet auf Null gesetzt einer Pr fsumme Zu deren Ermittlung wird dem UDP Datagramm ein Pseu doheader von 12 Byte vorangestellt aber nicht mit bertragen der u a IP Source Address IP Destination Address und Protokoll Nummer UDP 17 enth lt 1 3 8 TCP Transmission Control Protocol Dieses Protokoll implementiert einen verbindungsorientierten sicheren Trans portdienst als Schicht 4 Protokoll Die Sicherheit wird durch positive Riickmel dungen acknowledgements und Wiederholung fehlerhafter Bl cke erreicht Fast 34 1 Einf hrung alle Standardanwendungen v
580. und IP f r Internet Protocol Schicht 3 Die Pro tokollspezifikationen sind in sogenannten RFC Dokumenten RFC Request for Comment festgeschrieben und ver ffentlicht Aufgrund ihrer Durchsetzung stel len sie Quasi Standards dar Bild 1 2 Die Schichten 5 7 des OSI Standards werden hier in einer Anwendungsschicht zusammengefa t da die Anwendungsprogramme alle direkt mit der Transport schicht kommunizieren In Schicht 4 befindet sich au er TCP welches gesicherten Datentransport ver bindungsorientiert mit Flu kontrolle d h Empfangsbest tigung etc durch Windowing erm glicht auch UDP User Datagram Protocol in welchem verbin dungsloser und ungesicherter Transport festgelegt sind Beide Protokolle erlau ben durch die Einf hrung von sogenannten Ports den Zugriff mehrerer Anwen dungsprogramme gleichzeitig auf ein und dieselbe Maschine 24 1 Einf hrung TCP IP OSI Application Process Application Presentation Session Host to Host rcp up A report Internet IP ICMP Network Data Link Access Abbildung 1 2 Gegen berstellung der Internet Protokollfamilie und der ISO Protokolle In Schicht 3 ist das verbindungslose Internet Protokoll IP angesiedelt Daten pakete werden auf den Weg geschickt ohne daf auf eine Empfangsbest tigung gewartet werden mu IP Pakete d rfen unter bestimmten Bedingungen TTL 0 siehe unten sogar vernichtet werden In Schicht 3 werden damit auch die IP
581. ut dieser Nachrichten nicht mehr dazu kommt die Nachrichten seiner Clients zu behandeln Ein gutes Beispiel f r sol che Nachrichten sind ping Anfragen echo request Wird ein Rechner durch eine gro e Zahl solcher Nachrichten bombardiert so kann dies da zu f hren da er einen Gro teil seiner Rechenzeit damit verbringt die entsprechenden Antworten echo replies zu verschicken Service Overloading Einen hnlichen Weg wie beim Message Flooding gehen die Service Overloading Attacks Allerdings werden hier gezielt Services angesprochen die einen Gro teil der Rechnerressourcen aufzeh ren k nnen Hier ist nicht die Menge der Nachrichten ausschlaggebend sondern es gen gt unter Umst nden sogar eine einzige Nachricht F r einen solchen Angriff ist z B der finger Dienst anf llig der auf den mei sten Rechnern zur Verf gung steht Aber auch speziellere Dienste die nicht gen gend gesichert sind wie z B ein Datenbankserver kommen als Angriffspunkte in Frage Bei einem Datenbanksystem kann eine ent sprechend formulierte Abfrage etwa ein Join ber mehrere Tabellen die Systemressourcen bis an die Grenzen belasten SYN Attacks Hier wird das Drei Wege Handshaking von TCP benutzt um halboffene Verbindungen herzustellen Da TCP ein verbindungsori entiertes bertragungsprotokoll ist gibt es Mechanismen um eine Ver bindung zu synchronisieren Dies wird ber das erw hnte Drei Wege Handshaking von TCP erledigt Wie der
582. ut wie befohlen Drei Wochen sp ter kommt R benk rzer aus dem Urlaub und findet unter seinen Account eine Por nobildersammlung vor 13 6 Sicherheitsl cken des Betriebssystems Da Linux und Unix aber auch Novell Netware Windows 95 oder Windows NT prinzipiell Zugriff von au en erm glichen sind sie auch angreifbar Ein WWW Server ist ja ohnehin f r den Zugriff aus dem Internet konzipiert Bei der Wahl eines Serverbetriebssystems sollten daher Sicherheitsaspekte im Vordergrund ste hen und nicht die scheinbar leichte Bedienbarkeit So haben beispielsweise Viren bei Windowsrechnern leichtes Spiel weil sie alle Programme auf der Platte befal len k nnen Bei Systemen mit Zugriffsrechten f r Dateien Linux Novell Netware etc k nnen sie meist nur die Programme eines Benutzers verseuchen Je nach Sy stem gibt es unterschiedliche Methoden ein System zu manipulieren m Trojanische Pferde sind Programme die einerseits die gew nschte bzw offi zielle Funktion aber gleichzeitig die vom Manipulateur beabsichtigte Neben wirkung ausf hren W rmer oder Wurmsegmente sind Programme die sich selbst ndig ber ein Netz verbreiten und auf anderen Rechnern vervielf ltigen k nnen m Viren sind Programme die sich in andere Programme hineinkopieren repro duzieren und zeit oder ereignisgesteuert Sch den hervorrufen m Logische Bomben sind zus tzliche Programmfunktionen die vom Program mierer eingebaut werden Sie treten
583. utzer die als anonymous oder ftp eingeloggt und per chroot aufeinen Teil des Dateisystems eingeschr nkt sind m guest Benutzer mit User Id und Pa wort die auf einem Teil des Dateisystems eingeschr nkt werden Die Einschr nkung erfolgt in der Datei etc passwd durch den Eintrag des Heimatverzeichnisses Der Verzeichnispfad wird an einer Stelle durch aufgeteilt z B home guests kurs2 In diesem Fall wird ein chroot auf den ersten Verzeichnisteil ausgef hrt home guests und dann normal in den zweiten Teil kurs2 das Heimatverzeichnis des Gast Users gewechselt F r diesen ist oberhalb von kurs2 bereits das Wurzelverzeichnis m real die normalen Benutzer des Rechners mit uneingeschr nkten Rechten Man kann Klassen von Benutzern erstellen und sich bei allen Restriktionen auf solche Klassen beziehen Dabei wird einem Klassennamen ein Benutzertyp und eine Rechner oder Domainadresse zugeordnet Das Format der Zeile ist class Klassenname Typ en Host Domain Beispiel class local real guest anonymous netzmafia de 0 0 0 0 class remote real guest anonymous class friend guest fh muenchen de Man kann den Zugriff auf die Klassen anzahlm ig oder zeitlich begrenzen das Format der Zeile ist 3 4 Konfiguration 109 limit Klassenname Anzahl Zeitraum Dateipfad Die Angabe des Zeitraums besteht aus Wochentagen und Uhrzeiten Any steht dabei f r jeden Tag wie in den L sys Datei
584. uvor bedienten Rechner im Moment gar nicht einge schaltet ist m Manual Allocation In dieser Betriebsart geht es nur darum Verwaltungsauf wand zu minimieren In der Konfigurationsdatei ist f r jeden Klienten im Netzwerk eine IP Nummer fest zugeordnet Der Server ist lediglich f r die Auslieferung der Adresse an den Klienten verantwortlich Dynamic Allocation Jeder Klient bekommt auf Anfrage eine IP Nummer so lange im definierten Pool noch Eintr ge frei sind Der Unterschied gegen ber der Automatic Allocation besteht darin da die IP Nummer nur f r eine be stimmte maximale Zeitspanne Lease Time g ltig ist und vom Klienten inner halb dieser Zeit zur ckgegeben werden kann wenn sie nicht mehr ben tigt wird Als einzige der drei Betriebsarten erlaubt Dynamic Allocation kleine IP Nummern Pools mit einer gro en Anzahl von Rechnern zu teilen Einzige Vor aussetzung nicht alle Maschinen d rfen gleichzeitg laufen Damit lassen sich auch Computer die eher selten ins Netzwerk integriert werden wie Laptops zuverl ssig mit einer IP Nummer versorgen Wird der Rechner vom Netz ge trennt kann die Adresse f r eine andere Station verwendet werden In dieser Betriebsart werden die meisten DHCP Server betrieben DHCPDISCOVER _ DHCPOFFER Klient DHCP Server DHCPREQUEST gt Ll DHCPACK lt DHCPRELEASE e Abbildung 10 1 Ablauf einer DHCP Verbindung Bild 10 1 zeigt den Ablauf einer D
585. verf gt k nnen Freeware Programme kopiert und beliebig weitergege ben werden der Autor bleibt allerdings im Besitz des Copyrights FTP File Transfer Protocol Standard zur Daten bertragung via Internet auf der Grundlage von TCP IP wird von fast allen Browsern unterst tzt 408 A Glossar Gateway bermittlungsstelle als Grenz bergang zwischen zwei verschiedenen Netzen Diensten oder Rechnern Die Daten m ssen beim berschreiten der Grenze eventuell im Format ge ndert erg nzt oder reduziert werden Ga teways zwischen zwei Diensten oder Netzen stellen immer nur eine N he rungsl sung dar da sich beim Grenz bergang auch meistens die Funktiona lit t ndert und somit eventuell einige Eigenschaften wegfallen oder hinzu kommen Zum Beispiel gibt es ein Gateway zwischen dem Internet und Com puServe Aber auch ein Rechner ber den eine E Mail zwischen zwei anderen Rechnern im selben Netz l uft kann als Gateway bezeichnet werden GIF Graphics Image Format im WWW h ufig benutztes Grafikformat mit ma ximal 256 Farben das mit Datenkompression arbeitet um kleine schnell zu bertragende Dokumente zu erzielen Animated GIF Gopher Ein textbasiertes Men System um Angebote auf dem Internet aufzu finden und sichtbar zu machen Bis zur Erfindung des World Wide Web siehe dort die einfachste M glichkeit sich im Internet zu bewegen h ufig noch in lteren Internet Seiten zu finden Handshake Kommunikationsprotokol
586. vers dies schon selbst erledigt hat und sowohl das Startskript als auch die Links bereits angelegt sind Bei SuSE Installationen mu allerdings noch die Datei etc rc config ge ndert werden Dort sind die Variable START_DHCPD auf den Wert yes und DHCPD_INTERFACE auf den Namen der Ethernetkarte zu setzen die an das DHCP Netz angeschlossen wird Besitzt der Rechner nur eine Ethernet Netzwerkkarte ist hier eth0 einzutragen Mit dem n chsten Starten des Serverrechners wird dann der DHCP Dienst aktiv 10 3 Konfiguration des Servers Alle Optionen des DHCP Dienstes werden mit Hilfe der Konfigurationsdatei etc dhcpd conf eingestellt Grunds tzlich gelten innerhalb dieser Datei fol gende Konventionen m Es wird nicht zwischen Gro und Kleinschreibung unterschieden Kommentare k nnen an beliebigen Stellen eingef gt werden Sie werden mit einem Zeichen eingeleitet und gelten jeweils bis zum Ende der Zeile Zusammenh ngende Bl cke werden in geschweifte Klammern eingeschlos sen m Befehlszeilen enden mit einem Semikolon Einen funktionierenden DHCP Server kann man bereits mit einer dreizeiligen etc dhcpd conf erzeugen Beispiel fuer eine einfache dhcpd conf subnet 192 168 1 0 netmask 255 255 255 0 range 192 168 1 10 192 168 1 99 10 3 Konfiguration des Servers 319 Mit dem obigen Beispiel wird ein DHCP Server definiert der im Sub netz 192 168 1 0 arbeitet Mit der Anweisung range lt Obergrenze gt
587. verschiedenen Netzwerken indem sie zur Verkehrsreduktion Inhaltspakete zwischenspeichern D Navigator D Composer O Direkte Verbindung zum Internet D eMails und Diskussionsforen 6 Manuelle Proxy Konfiguration Schriftarten D Instant Messenger 5 3 D Privatsph re und Sicherheit EJE Proxys proxy netzmafia de Port 3128 Erweitert Gopher Proxy Pto Cache HTTP Proxy proxy netzmafia de Port 3128 Proxies Software Installation SR Port o Mausrad SOCKS v5 Host pat E te ES Offline Arbeit und Speiche Kein Proxy f r netamafia del Zum Beispiel ihrefirma com ihrefirma co nz O Automatische Proxy Konfiguration URL Abbildung 7 6 Wahl der manuellen Proxy Einstellungen 7 3 Konfiguration der Webbrowser 245 In den Feldern unter Manuelle Proxy Konfiguration kann der Name des Proxies eingegeben werden Handelt es sich bei dem Proxy lediglich um einen Cache f r Webseiten ist nur die Zeile http auszuf llen Ist der Proxy auch f r FTP Verbindungen zust ndig mu die Zeile FTP den gleichen Inhalt wie http aufwei sen Im Fall der Netzmafia lautet der Eintrag f r die Adresse des Proxies proxy netzmafia de Als Port ist der Wert einzustellen der in der Datei squid conf unter http_port eingestellt wurde In unserem Fall war dies der Port 3128 Mit dem Feld Kein Proxy f r kann angegeben werden f r welche Dom nenna men sich der Weg ber d
588. vider aufge stellt wird So etwas ist auch nur bei spezielleren Nutzungsformen n tig z B bei eigenen Datenbanken oder speziellen Dienstprogrammen Noch seltener ist es wenn der Server im eigenen Unternehmen steht und ber eine Standleitung mit einem Provider verbunden ist In beiden F llen ist man sein eigener Provider und mu daher auch mit allen Sicherheitsproblemen selbst fertig werden 13 2 Gefahren Informationen k nnen wie physische Gegenst nde ge ndert zerst rt oder au er Reichweite f r den rechtm igen Besitzer gebracht werden Aber im Gegensatz zu physischen Gegenst nden k nnen Informationen kopiert und in vielen F llen 13 2 Gefahren 363 modifiziert oder gel scht werden ohne Spuren zu hinterlassen Die Kosten des Kopierens oder Abh rens sind relativ gering im Vergleich zum Wert der aufge schnappten Information Es ist deshalb von wesentlicher Bedeutung da jede Or ganisation als Ganzes Verst ndnis f r die Notwendigkeit von Sicherheitsma nah men hat Die Ma nahmen m ssen die drei prim ren Sicherheitsaspekte ber ck sichtigen m Datenzug nglichkeit Alle Arbeitspl tze im Netz m ssen st ndig Zugang zu ihren Daten haben Zur Aufrechterhaltung der Zug nglichkeit ist es notwen dig Hardware Arbeitsstationen Software Datenkommunikationsleitungen Stromversorgung Geb ude u a zu sichern Daten sind unzug nglich wenn sowohl zentrale als auch dezentrale Systeme nicht funktionieren m Datenqual
589. von DHCP bei Windows 95 98 10 4 Installation der Klienten 10 4 1 Windows 95 und 98 Zur Installation des Klienten m ssen Sie unter Windows 95 und 98 die folgenden Schritte ausf hren m Starten Sie Windows W hlen Sie Start Einstellungen Systemsteuerung um anschlie end das Men f r die Netzwerkeinstellungen mit einem Doppelklick auf das Symbol Netzwerk zu ffnen m Aktivieren Sie die Karteikarte Konfiguration und dort das Protokoll TCP IP Ist es in der Liste noch nicht aufgef hrt mu es nachinstalliert werden Das ge schieht mit einem Klick auf den Schalter Hinzuf gen Protokoll Microsoft TCP IP 10 4 Installation der Klienten 323 m Durch Anklicken des Schalters Eigenschaften gelangen Sie zum Fenster Eigen schaften von TCP IP Auf der Karteikarte IP Adresse wird mit einem Klick auf die Schaltfl che IP Adresse automatisch beziehen der DHCP Klient aktiviert Eigenschaften von TCP IP Tie i Abbildung 10 3 Aktivierung von DHCP bei Windows 95 98 m Ist der Server so eingestellt da er alle weiteren Parameter f r den Einsatz von TCP IP Router Adresse Gateway Adresse des Named Servers und Subnetzmaske vornimmt sind keine weiteren Eintragungen am Klienten Rechner n tig Mit einem Klick auf OK wird die nderung best tigt und der Rechner mu neu gebootet werden Beim Booten wird dann der DHCP Dienst automatisch gestartet und der
590. von SSI Elementen Zudem k nnen die Default Formate f r Feh lermeldungen und Zeitangaben nun ebenfalls in der Serverkonfiguration vorgenommen werden mod_auth_dbm DBM hnliche Datenbanken werden jetzt durch die Konfigurationsanwei sung AuthDBMType unterst tzt Kapitel 5 Die lokale Suchmaschine 5 1 Suchmaschinen Das WWW ist nicht nur ein Informations sondern auch ein Wissensspeicher mit einer gro en Dynamik wobei die Dynamik durch ndern L schen Erg nzen von Inhalten bzw durch Erstellen von neuen Seiten gekennzeichnet ist Es kommt also nicht nur neues Wissen hinzu es verschwindet auch altes Aufgabe der In formationsdienste wird es zuk nftig sein nicht nur Informationen weiterzuleiten sondern auch in einem gewissen Ma e aufzubereiten und zu bewahren Um geeignete Informationen aus den Angeboten im Web zu bekommen bedient man sich einer Suchmaschine die sich die Informationen aber erst selbst beschaf fen mu Dies kann auf zwei Arten geschehen m Bei der automatischen Informationsbeschaffung werden Suchroboter soge nannte Robots Bots oder Spider eingesetzt die das Web nach Informations inhalten durchsuchen und daraus automatisch einen Index erstellen der als Datenbank gespeichert wird m Bei der manuellen Informationsbeschaffung werden die Web Seiten entweder vom Autor selbst oder vom Lektor bei einem Suchdienst angemeldet Sie wer den dann in einer hierarchisch aufgebauten Themenliste gespeic
591. von den in Klammern angegebenen IP Adressen aus m glich ist Mit Hilfe dieser Zeile kann der DNS Spiegel vor Manipulationen von au en gesch tzt werden Die Zone und der Reverse Loopback werden ebenso unver ndert bernom men Die eigentliche Konfiguration des sekund ren Servers steckt in den bei den letzten Sektionen Zun chst wird die Vorw rtsaufl sung der Dom ne netz mafia de abgehandelt Vorw rts bedeutet Ein Klient fragt nach der IP Nummer eines ihm nur namentlich bekannten Rechners Der Server antwortet also auf die Frage Welche IP Nummer hat menetekel netzmafia de zum Beispiel mit 192 168 131 248 Eingeleitet wird diese Definition mit der Zeile zone netzmafia de in F r diese Zone wird der Rechner mit der Anweisung type slave zum se kund ren Server erkl rt Unter file mu ein Dateiname angegeben werden unter dem die vom prim ren DNS kopierten Daten abgelegt werden sollen Diese 8 4 Secondary Server 271 Datei wird vom named Proze beim Start des Servers automatisch angelegt und mit den entsprechenden Daten gef llt In der masters Sektion wird angege ben unter welcher IP Adresse der prim re Server f r die genannte Dom ne zu finden ist Prinzipiell verh lt es sich mit dem Abschnitt f r die R ckw rts Aufl sung eben so Auf die Frage Wie lautet der Name des Rechners mit der IP Nummer 192 168 131 248 soll der Server im Betrieb zum Beispiel mit Der Name lautet m
592. von mehreren Datenbits bedeuten so da die tats chliche Bit bertra gungsrate h her liegen kann als die Baud Rate BBS Bulletin Board System Ein Mailboxsystem bestehend aus einem Computer und der dazugeh rigen Software BBS Systeme werden zunehmend an das Internet angeschlossen BIND Berkeley Internet Name Domain Ein Domain Name Service DNS Body Hauptteil einer E Mail in der die eigentliche Nachricht steht BOFH AKronym f r Bastard Operator From Hell Ein Systemadministra tor ohne Toleranz f r DAUs siehe DAU Viele BOFHs findet man in der Newsgruppe alt sysadmin recovery obwohl es inzwischen eine Toplevel Newsgroup Hierarchie bofh gibt Es gibt etliche Geschichten ber BOFHs Angefangen hat es mit den Stories von Simon Travaglia http prime mover cc waikato ac nz Bastard html Bookmarks Lesezeichen die man benutzt um Seiten auf WWW und ftp Servern wiederzufinden bps Bits per Second maximales Datenvolumen das innerhalb einer Sekunde ber eine Leitung bertragen werden kann blich sind auch Kbps Kilobit s f r 1000 bps und Mbps Megabit s f r 1 000 000 bps Bridge Filterelement das den Datenverkehr zwischen Segmenten regulieren kann Dabei wird f r jedes der ankommenden Datenpakete berpr ft ob eine bertragung in das jeweils andere Segment n tig ist Nur in diesem Fall wird das Paket weitergeleitet andernfalls nicht Browser Programm zum Abrufen von Web Seiten im HTML Forma
593. w nschten Postwurfsendung vergleichen f r die der Empf nger auch noch das Porto bezahlt Leider zeigten sie auf die Reaktion des Netzes hin weder Reue noch Einsicht ihr Machwerk nicht nur in bezug auf den technischen Gehalt verr t offen wohin es mit dem Internet gehen wird wenn wir es in seiner Gesamtheit Anw lten und Gl cksrittern ausliefern Die Autoren sprechen davon da die Netzgemeinschaft aus selbsts chtigen Mo tiven Neues um jeden Preis verhindern will Dabei geht ihnen jegliches Verst nd nis f r die Internet Kultur ab f r sie stellt die alte Garde der Netzaktiven nichts weiter dar als einen verwahrlosten schmutzigen und drogens chtigen Haufen der den falschen Idealen der Sechziger nachh ngt Sie fordern alle Gesch ftsleute auf bedenkenlos das Internet zu st rmen Wie sich das Netz in den letzten Jahren entwickelt hat konnten Sie ja selbst mitverfolgen E Mail Server m ssen gegen Spam gesichert werden Werbebanner auf WWW Seiten sind die Regel Doch wo sind die Grenzen 13 1 1 Paragraphen Nur damit keiner sagen kann er habe nichts gewu t hier einige Paragraphen Strafgesetzbuch m Unbefugte Datenbeschaffung Art 143 Unbefugtes Eindringen in ein Datenverarbeitungssystem Art 143bis m Datenbesch digung Art 144bis Zweites Gesetz zur Bek mpfung der Computerkriminalit t m Paragraph 202a Aussp hen von Daten 1 Wer unbefugt Daten die nicht f r ihn bestimmt und die gegen unberechtig ten Zugan
594. w netzmafia de Dort finden Sie auch unter http www netzmafia de skripten buecher Listings Links und weiterf hrende Hin weise Erg nzendes und Aktuelles zum Buch sowie eine etwas ausf hrlichere Anleitung zur Programmiersprache Perl Die im Buch abgedruckten Perl Skripten 14 Vorwort sind ebenfalls dort abgelegt http www netzmafia de skripten perl Wer sich f r die Programmierung von Server und Clientanwendungen interessiert findet unter http www netzmafia de skripten server eine Einf hrung in das Thema Auch hier gibt es viele Beispielprogramme Lange Zeit galt das Betriebssystem Linux als Spielzeug f r Freaks und das war es sicher am Anfang als wir bei Linux eingestiegen sind pa te eine Distributi on noch auf ca 30 Disketten und man mu te fast alle Konfigurationsdateien von Hand erstellen Doch inzwischen setzt sich die freie Software in immer mehr Un ternehmen durch und wird auf manchen Gebieten zur Konkurrenz f r andere Systeme In diesem Buch wollen wir Ihnen zeigen wie man Linux sinnvoll als Intranet und Internet Server einsetzt Linux ist ein Betriebssystem das auf Intel PCs aber auch auf anderen Rechner Plattformen Apple SUN IBM 390 usw eingesetzt werden kann Von seiner Kon zeption her ist es ein Abk mmling von UNIX einem Multiuser und Multitasking Betriebssystem das lange vor DOS und Windows entwickelt wurde Der offizielle Geburtstag von UNIX ist der 1 1 1970 Bei Linux dessen Geburtstag i
595. wd geh rt dem Superuser hat das SUID Bit gesetzt und kann so auf die User Datei schreibend zugreifen m Wenn das SGID Bit Set Group ID gesetzt ist hat das Programm die Rechte der Gruppe zu der es geh rt Dieses Feature wird z B beim Drucker Spooling verwendet Bei Dateien ohne Ausf hrungsrecht sorgt dieses Bit daf r da die Datei nur von einem Proze ge ffnet werden kann Vermeiden von Verklem mungen Bei Verzeichnissen hat das SGID Bit eine andere Aufgabe Dateien die in ein SGID Verzeichnis kopiert werden erhalten automatisch die Gruppe des Ver zeichnisses man mu also nicht mehr explizit die Gruppe setzen um den Mit gliedern einer Gruppe den Zugriff zu erm glichen Setzen durch das Kom mando chmod g s datei Anzeige s statt x bei den Gruppen Rechten 54 1 Einf hrung m Das STICKY Bit sollte fr her den Systemdurchsatz verbessern Programme bei denen dieses Bit gesetzt ist verbleiben nach dem ersten Aufruf im Speicher und starten bei den folgenden Aufrufen schneller Heute ist das nicht mehr n tig Bei Verzeichnissen dient dieses Bit der Systemsicherheit Auch wenn im Ver zeichnis f r alle User das Schreibrecht existiert L schen und Anlegen von Dateien k nnen bei gesetztem Sticky Bit nur Dateien gel scht werden die einer der folgenden Bedingungen gen gen Die Datei geh rt dem Benutzer der sie l schen will Das Verzeichnis in dem die Datei liegt geh rt dem Benutzer
596. webmaster netzmafia de lt a gt lt br gt Die Indizierung der Dokumente auf den angegebenen Servern erfolgt einmal t auml glich lt body gt lt html gt 5 10 6 rundig Erzeugen der Datenbank Mit BIN_DIR rundig erhalten Sie ein Beispiel Shell Script das eine Datenbank erzeugt Normalerweise kann man das Skript so bernehmen wie es ist Wenn man einmal sehen will wie htDig arbeitet kann man rundig von Hand starten Parameter A vv oder vvv F r den Normalbetrieb wird man die Ak tualisierung der Datenbank jedoch per Cron Job automatisieren Normalerwei se reicht eine w chentliche Aktualisierung bei h ufigen nderungen kann man auch t glich aktualisieren rundig wird dann vom Cron Daemon gestartet Mit crontab e bearbeiten Sie die Cron Job Tabelle f r den User dem die htDig Dateien und Programme geh ren auch ein Eintrag in der Datei etc crontab w re m glich F r eine Aktualisierung um 4 Uhr 17 eines jeden Tages lautet der Eintrag 17 4 x x opt www htdig bin rundig Gegebenenfalls sollte man die Ausgabe und die Fehlerausgabe von rundig in ein Logfile umleiten Wir w hlen brigens mit Absicht immer krumme Zeitangaben da die meisten User ihre Cron Jobs zur vollen oder halben Stunde starten Das entzerrt dann die 5 11 PDF und MS Word Dokumente 213 Systemlast etwas Auch um Mitternacht herum ballen sich die Cronjobs 5 11 PDF und MS Word Dokumente htDig kann in der Version 3 15 HTML
597. werden Viele Proxyver walter in Firmen und Instituten verwenden hier Zeichenketten wie hardcore Beachten Sie dabei da kurze Zeichenketten immer das Risiko in sich bergen da damit auch andere Domains als die unerw nschten ausgeblendet werden Wenn Sie zum Beispiel die Zeile acl boese dstdom_regex i sex verwenden k nnen Sie nicht mehr auf die Homepage der Stadt Essex in Connecticut www essex com zugreifen m time Syntax acl Name time Tag std1 min1 std2 min2 Mit diesem Befehl l t sich die Benutzungszeit des Proxies einschr nken Tag ist das K rzel des gew nschten Wochentages S Sonntag M Montag T Dienstag W Mittwoch H Donnerstag F Freitag A Samstag std und min sind Stunde und Minute Im Beispiel acl geschaeftszeit time 07 00 19 00 http_access allow geschaeftszeit wird die Proxy Benutzung auf die Zeit von 7 Uhr bis 19 Uhr festgelegt 74 3 Fehlersuche Insbesondere wenn Sie mit Hilfe von regul ren Ausdr cken bestimmte Zugriffs regeln f r Ihren Cache Server eintragen schleichen sich schnell Fehler ein Des halb ist ein Test der neu eigef hrten Filterregeln sehr wichtig Squid gibt im Nor malbetrieb keine Information zu den ACL Regeln aus die er gerade verarbeitet Mit dem Befehl debug_options ALL 1 28 9 in der squid conf l t er sich aber in einen Modus umschalten in dem er alle verarbeiteten ACL Anweisungen in die Datei cache log schreibt In der squid conf eines Caches steht beispielswei
598. wird die lokale Zeit des Klienten auf die des Servers synchronisiert Voraussetzung ist nat rlich da die Uhr des Servers einigerma en genau ist Das Login Skript k nnen Sie passend zu Ihrer Netzwerkkonfiguration ndern und darin verschiedenste Programme laden oder Meldungen ausgeben Um die Abarbeitung der Skripten auf der Klientenseite zu aktivieren sind folgende Schritte n tig m Uber die Men s Start Einstellungen und Systemsteuerung Netzwerk ge langen Sie mit einem Doppelklick auf Client f r Microsoft Netzwerke zum Ei genschaftsfenster des Protokolls Dort m ssen Sie wie in Bild 9 10 gezeigt die Option An Windows NT Dom ne anmelden aktivieren und unter Windows NT Dom ne den Namen der Ar beitsgruppe des Servers eintragen Mit einem Klick auf ok wird die nderung best tigt und der Rechner fordert Sie zum obligatorischen Reboot auf gt Nach dem Neustart und Login beim Server erscheint w hrend der Ausf hrung des Login Skriptes ein Fenster das die Programm Ausgaben anzeigt 9 9 Samba als PDC 305 9 9 Samba als PDC Seit der Version 2 2 kann man mit Samba auch einen Primary Domain Contoller f r ein Windows NT oder 2000 Netz realisieren Genauer gesagt simuliert Sam ba einen Windows NT 4 0 Primary Domain Controller mit dem sich Dom nen Logins von Windows NT und 2000 Rechnern erm glichen lassen 9 9 1 Konfiguration des Servers Um Samba in dieser
599. wird festgelegt da zuerst in der lokalen Datenbank etc hosts gesucht werden soll und erst dann eine Nameserveranfrage an einen fernen Rechner gestartet wird Die Datei etc resolv conf enth lt In fos ber den Nameserver search mydomain net nameserver 10 10 10 4 nameserver 10 10 10 1 Wie die Datei etc hosts enth lt auch die Datei etc networks Adressen und Namen Diesmal sind es allerdings Namen f r Netzwerke Die Funktion dieser Datei ist durchaus mit der etc hosts vergleichbar Netzwerk Namen werden in Netzwerk Adressen umgesetzt und umgekehrt Die allgemeine Form eines Eintrags sieht dann so aus Netzwerk Name Netzwerk Adresse Netzwerk Aliase Zum Beispiel loopback 127 admin net 192 168 1 dev net 192 168 2 1 5 4 Services Eine weitere Datei ist f r die Zuordnung der Portnummern zu den einzel nen Diensten wie Telnet FTP WWW Mail usw zust ndig In dieser Datei 46 1 Einf hrung etc services werden der Name des Dienstes die Portnummer das Trans portprotokoll UDP oder TCP und Service Aliase angegeben Die allgemeine Form eines Eintrags in etc services hat die Form lt Service Name gt lt Portnummer Protokoll gt lt Service Aliases gt Wichtig Hier sind nur Portnummern f r Server spezifiziert Client Programme bekommen beim Verbindungsaufbau eine beliebige freie Portnummer zu gewiesen So kann der Server wieder auf der Standard Portnummer aus etc services auf einen weiteren Ver
600. x amp ayes dr a rg das a e 243 7 3 2 InternetExplorer a e u esse sem RN ge 245 ZA Z egriffsrechte obs 2 4 su new na ven ana 246 741 Grundlagen 246 7 4 2 ACL Anweisungen s 66 40 a ose as senken 248 74 3 Fehlersuche 222mm nern 250 7 5 Proxy Verb nde e 2 4 23 aaa aaa ae 251 7 6 Performance Aspekte 2 2 2222 nennen 258 8 Name Service DNS 261 81 DNS Gr ndlagen nba eee na eee EE ae 261 8 2 Installation und Konfiguration 2 22 ooo o 263 8 3 Cache Only Seiver viii namen 267 8 4 Secondaty Server nu bees eee eee ee ba nenn 269 8 5 Primary Server veais ee A ehe 272 9 Samba 277 9 1 Grundlagen ceg so 248 pa ee ee wee ee ee e as 277 9 2 Installation und Konfiguration 279 9 3 Installation der Klienten 281 9 4 Verschliisselt oder unverschl sselt 285 9 4 1 Unverschl sselte Pa w rter 285 9 4 2 Verschliisselte Pa w rter 290 9 5 Dateifreigabe und Rechte o ooo ooo 292 9 6 Druckdienste mn 296 9 7 Sicherheitsmodi 299 9 7 1 Freigabe Ebene cusco a 299 9 7 2 Benutzer Ebene 300 9 7 3 Server Ebene o 301 974 Domain Ebene sisas a san ea 301 98 Losin Server ii wa ar a ne bar 302 99 SambaalsPDC 2 Cm onen 305 9 9 1 Konfiguration des Servers 2 2222 n o ediren 305 9 9 2 Erzeugen des Maschinen Accounts 307 9 9 3 Windows 2000
601. xt alphanumerische Zeichen word Text ohne Leerzeichen d h ein einzelnes Wort Listen Zuweisung in Form eines Here Dokuments Schluesselwort lt lt EndeTag Wert 1 Wert 2 EndeTag Das EndeTag der Listen ist ein selbstdefiniertes Wort welches das Ende der Liste anzeigt In der Regel wird der Text END als Tag genommen Innerhalb eines Here Eintrags ist das Zeichen kein Kommentar Eine Leerzeile ist nur als letzte Zeile innerhalb eines Here Eintrags erlaubt Um eine Leerzeile innerhalb eines Here Dokuments zu erreichen f gt man eine Zeile ein die nur aus dem Minuszeichen besteht Normalerweise werden in nerhalb eines Here Eintrags f hrende Leerzeichen automatisch gel scht Um das zu verhindern setzt man vor die Leerzeichen am Zeilenanfang Minuszei chen Sonst bedeutet ein Minuszeichen am Anfang einer Zeile da diese Zeile verdoppelt wird Dazu ein Beispiel 334 11 Mailing Listen mit Majordomo verwalten message_footer lt lt END Die Liste verlassen Sie mit einer E Mail an majordomo netzmafia de und der Nachricht unsubscribe liste im Text nicht im Subject der Nachricht Es gibt drei vordefinierte Variablen die verwendet werden k nnen LIST Der Name der Mailing Liste SENDER Die E Mail Adresse des Absenders der Mail VERSION Die Versions Nummer von Majordomo Um eine Konfigurationsdatei f r eine neue Liste zu erstellen nimmt man am bes Me ten eine der Beispieldateien von Majordom
602. you disapprove do nothing Wenn Sie der Aktion zustimmen senden Sie eine Mail mit dem approve Kommando zuriick Es ist als Muster bereits in der Mail enthalten ersetzen Sie PASSWORD durch das Admin Pa wort der Liste Stimmen Sie der Aktion nicht zu brauchen Sie nichts zu unternehmen 11 4 Zusammenfassung der Konfiguration In der folgenden Tabelle sind die wichtigsten Eigenschaften und Konfigurati onsm glichkeiten einer von Majordomo verwalteten Mailing Liste aufgef hrt 11 4 Zusammenfassung der Konfiguration 341 11 4 1 Listen Eigenschaften Die folgende Tabelle fa t die wichtigsten Listen Eigenschaften zusammen m Listenname Zeichenkette aus 4 12 Zeichen Buchstaben Ziffern Binde strich Sie mu eindeutig sein da daraus die E Mail Adresse der Liste gebildet wird m Pa wort zur Listenadministration Dieses Pa wort erlaubt dem Listen Administrator die nderung von Listen Eigenschaften Beschreibung Diese Informationen erhalten Teilnehmer beim Einschreiben in die Mailing Liste oder beim Anfordern via intro liste Hier sollten der Zweck der Liste und die Nutzungsrichtlinien Diskussion oder Informations verteilung beschrieben sein Au erdem ist ein kurzer Hinweis zum An und Abmelden angebracht m Kurz Information Dies ist eine einzeilige Kurzbeschreibung zum Zweck der Liste Die Information erhalten Benutzer mit dem Kommando info liste m Maximale Nachrichtenl nge Bei gro en Listen mit viel V
603. ypen die der WWW Client verarbeiten kann HTTP USER AGENT Der Name des WWW Browsers des Clients Zwei Umgebungsvariablen die haupts chlich Daten f r das Gateway Skript bie ten sind PATH INFO und QUERY_STRING Bei der vom WWW Client gesen deten URL http www weitfort com cgi bin asktabout something wird QUERY STRING auf ask about something und PATH INFO auf cgi bin gesetzt Die Request Methode ist dabei GEI Sind die Daten umfangreicher eignet sich die POST Methode besser Hier wer den die Daten auf die Standardeingabe des Skripts geliefert Die Variable CON TENT_LENGTH enth lt dann die Anzahl der Bytes die von der Standardeingabe gelesen werden k nnen 4 7 Server Side Includes SSI Durch SSI k nnen vom Apache Dokumente vor Auslieferung an den Client auf Include Anweisungen hin untersucht werden Sinnvoll ist es diesen Dateien ei ne bestimmte Endung zu geben damit nicht automatisch jedes Dokument unter sucht wird Die Syntax f r eine Include Anweisung sieht folgenderma en aus lt Element Attribut Wert Attribut Wert C gt Eine Anwendung ist das Einf gen von Dateiinformationen z B wann das Doku ment das letzte Mal ver ndert wurde Beispielsweise lt flastmod file index html gt Ein n tzliches Beispiel hierzu ist das Einbinden von Standardbl cken f r Seiten kopf Seitenfu oder Werbung Hier werden ganze Dateien eingef gt Oder es werden Neuigkeiten in eine vorgegebene Rahme
604. ystem Platte mit 10 GByte je zwei 20 GByte Ultra Wide SCSI Platten eingebaut die als Cache konfiguriert werden sollen Der Speicherbedarf kann wieder mit der Faustformel berechnet werden 40 GByte Cache ben tigen 400 MByte Speicher Hinzu kommt Speicher f r Objekte und Betriebssystem Prozesse 512 MByte Speicher sind in diesem Fall also eine gute Wahl Die squid conf aus dem letzten Beispiel kann hier komplett bertragen werden mit Ausnahme der Zeilen die Cache Gr e und Speicherbedarf bestimmen Statt dessen m ssen sie in diesem Beispiel durch folgende Zeilen ersetzt werden Cache auf der ersten Platte gemountet unter var squid diskl Cache dir var squid disk1 20000 16 128 242 7 Proxy Cache 2 Platte gemountet unter var squid disk2 cache_dir var squid disk2 20000 16 128 Speicherbedarf 128 x 3 MB cache_mem 128 Beachten Sie bei diesem Beispiel da die Zeile cache_dir mehrmals in der Kon figurationsdatei auftauchen darf So ist es m glich viele auch verschieden gro e Platten in den Proxy einzubauen und alle zusammen als Cache zu nutzen Die Aufteilung auf mehrere Platten ergibt sogar einen Performance Vorteil wie sp ter noch gezeigt wird 7 2 3 Squid als transparenter Proxy Nachdem heutzutage kaum noch ein Netzwerk direkt das hei t ohne Firewall mit dem Internet verbunden ist wird squid h ufig als sogenannter transparen ter Proxy eingesetzt Das bedeutet Ein Firewall Konzept leitet alle Z
605. ystems angegeben gefolgt von Alias Namen f r dieses System Gibt man als Argument f r ein 1 5 TCP IP unter UNIX und Linux 45 Netzwerk Kommando einen Namen an so wird in dieser Datei die zugeh ri ge Internet Adresse ermittelt Erst ber die Adresse baut der Rechner eine Ver bindung zum Zielsystem auf Die Datei etc hosts wird jedoch auch f r den umgekehrten Vorgang benutzt Mit einem IP Datagram wird nur die Internet Adresse des sendenden Systems mitgeschickt Soll nun der zugeh rige Name er mittelt werden so geschieht dies ebenfalls mittels dieser Datei Das Resultat ist jedoch immer der offizielle Name des Systems Deshalb ist darauf zu achten da stets dieser Name verwendet werden mu wenn ein Rechnername in weite ren Konfigurationsdateien eingetragen wird Nat rlich reicht das System mit etc hosts h chstens f r ein lokales Kleinst netz mit einer Handvoll Rechner aus denn auf jedem Rechner mu die etc hosts auf dem aktuellen Stand gehalten werden Diesem Problem sahen sich auch bald die V ter des Internet gegen ber und so wurde die gr te welt weit verteilte Datenbank das Domain Name System DNS siehe oben erfunden F r den Rechner der DNS nutzen will gibt es zwei Dateien etc hosts conf und etc resolv conf die festlegen wie der Nameserver genutzt wird In etc hosts conf bzw etc nsswitch conf wird festgelegt wie die Namenssuche erfolgen soll order hosts bind multi on Mit order hosts bind
606. zeichnis baum angezeigt lt Directory opt www htdocs rfc gt Options All AllowOverride None Order allow deny Allow from all lt Directory gt Es wird kein Zugriff auf Dateien gestattet die htaccess hei en sich in einem Verzeichnis core befinden die Zeichen bzw enthalten oder mit bak bzw BAK enden lt Files htaccess core bak BAK gt order deny allow deny from all lt Files gt 4 5 Access Control List File htaccess Der Lese Zugriff auf alle Dateien in einem Verzeichnisbaum wird individuell kontrolliert durch eine Datei bestimmten Namens hier htaccess mit bestimm ten Inhalten Sie mu einen Authentifizierungsnamen enthalten AuthName abc xyz sowie eine globale Zugriffsregel und oder eine Liste der zugriffsberech tigten Benutzernamen Um solche gesch tzten Verzeichnisse einzurichten gehen Sie folgenderma en vor Erstellen Sie in dem Verzeichnis welches Sie mit einem Pa wort sch tzen wollen eine Datei namens htaccess mit folgendem Inhalt AuthUserFile pfad zu einer passwortdatei AuthGroupFile dev null AuthName wieimmerdasheissensoll AuthType Basic lt Limit GET POST PUT gt require user webmaster lt Limit gt 132 4 WWW Server Apache Bitte ersetzen Sie pfad zu htpasswd durch einen realen Verzeichnispfad in welchem sich die Datei htpasswd mit den Userdaten befindet Beim Authenti sierungstyp AuthType gibt es derzeit nu
607. zeigt wird wenn die gespeicherte Beschreibung keine Suchw rter enth lt htsearch zeigt dann den Text der im no_excerpt_text Attribut hinterlegt ist Z B no_excerpt_text Keine der Suchwoerter wurden im Dokument Kopf gefunden no_excerpt_show_top yes search algorithm Einsatz von Such Algorithmen Mit dem Programm htfuzzy lassen sich Such Algorithmen festlegen nach denen die Suche erfolgen soll Jeder Algo rithmus wird mit einer Gewichtung 0 0 1 0 versehen so da bei der Kombi nation von Algorithmen einige mehr Einflu auf die Suche haben als andere Die Angabe erfolgt in der Form lt Algorithmus gt lt Gewichtung gt htDig kennt Such Algorithmen exact Das gefundene Suchwort mu mit dem Suchbegriff genau berein stimmen endings Gewichtung der Suche auf bestimmte Wortendungen soundex Ein Algorithmus der es erm glicht Suchbegriffe unterschiedli cher Schreibweise die aber hnlich klingen aufzufinden htDig verwendet nicht den Original Algorithmus sondern sechs Ziffern und den Anfangs buchstaben metaphone Prinzipielle Funktion wie soundex Metaphone zielt aber in erster Linie auf englischsprachige Laute ab prefix Gewichtung der Suche auf bestimmte Wortvorsilben synonyms Gewichtung der Suche auf Synonyme Zu diesem Zweck mu eine Synonym Liste vorhanden sein Beispiel search_algorithm exact 1 synonyms 0 5 endings 0 3 template_name Attribut das die Ausgabe der Suchre
608. zeilenparameter m und zuletzt die Konfigurationsdatei Diese Reihenfolge unterscheidet Hypermail von vielen Programmen denn bei Hypermail kann die Einstellung der Konfigurationsdatei nicht von den Komman dozeilenparametern berschrieben werden In der Konfigurationsdatei werden die Daten in der Form Variablenname Wert eingetragen Bei der Verwendung als Umgebungsvariablen gelten die Regeln der jeweils verwendeten Shell f r die Wertzuweisung Die Werte k nnen entweder Zeichenketten oder Wahrheitswerte 0 oder 1 sein Die Zuordnung zu Kommandozeilenparametern ist in Klammern angegeben sofern ein quivalenter Kommandozeilen Parameter existiert m HM_CONFIGFILE Dateiname Name der Konfigurationsdatei c HM _MBOX Dateiname Name der Mailboxdatei m M_LABEL Labeltext Name des Archivs 1 M_HTMLSUFFIX Suffix Suffix der HTML Dateien s M_ARCHIVES URL Link zu anderen Archiven a M_ABOUT URL Link zur Archiv Information b H H H m HM_LANGUAGE Sprache Sprachdefinition L H H DM DIR Verzeichnis Verzeichnis der HTML Dateien d H M_DEFAULTINDEX Typ Welcher Index soll Hauptindex Datei index html sein M gliche Werte sind date thread subject oder author HM_OVERWRITE 1 Archiv berschreiben x p HM_READONE 1 nur eine E Mail als Eingabe i HM_INCREMENT 1 Nur einen Artikel ins Archiv einf gen 1 Hypermail kennt etliche Variablen zur Steuerung der Ersch
609. ziert mit dem POP Server beim Provider ber ihn werden die vor handenen E Mails angeboten 2 2 Sendmail 69 Eine Kommunikation zwischen dem POP Client und dem POP Server beim Pro vider kann schematisch beispielsweise so aussehen Client Hast Du neue E Mails f r mich Server Ja insgesamt f nf St ck Client Liste mir die Absender auf Server Meier Mueller Huber Schulze Client Zeige die E Mails an Server lt Zeigt E Mails an gt Client lt Speichert E Mails ab gt Client L sche alle angezeigten E Mails Server lt L scht alle angezeigten E Mails gt 2 1 5 IMAP Internet Message Access Protocol IMAP l st das POP Verfahren zunehmend ab und wird zum neuen Standard Der Unterschied liegt unter anderem in der Funktionalit t des IMAP Verfahrens Das Prinzip ist dem POP Verfahren jedoch sehr hnlich Die E Mails werden wie beim POP Verfahren beim Provider zwischengespeichert und k nnen mit einem IMAP Client auf den eigenen Rechner kopiert werden IMAP bietet jedoch zus tzliche Funktionalit ten die von POP noch nicht angeboten werden z B kann der Mail Body getrennt geladen werden und auch die Attachments lassen sich getrennt abrufen 2 1 6 Sendmail der Standard MTA Sendmail ist der Standard MTA im UNIX Bereich Neben dem sehr guten Sup port zeichnet er sich vor allem durch seine hohe Funktionalit t und Flexibilit t aus Sendmail ist auch f r den Offline Betrieb sehr gut geeignet da eine idea le A
Download Pdf Manuals
Related Search