hthede.de

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » reelhttp » zugriff_aus_dem_internet_und_zugriffsschutz
Zuletzt angesehen: uebersicht unterschied_basis-_und_vollversion vlc wechsle_hintergrundbilder zugriff_aus_dem_internet_und_zugriffsschutz
reelhttp:zugriff_aus_dem_internet_und_zugriffsschutz

Inhaltsverzeichnis

Zugriff aus Internet und Zugriffsschutz

Zugriff aus Internet

(Dynamisches DNS mit DSL - Router)

www.dyndns.org aufrufen, registrieren und freien Dynamischen DNS - Service einrichten, der eigene Rechner ist dann zB unter „heiko20.dyndns.org“ zu erreichen, wenn der Router eingerichtet ist. Bei meiner FritzBox brauchte ich dazu nur den DynDNS - Dienst einzurichten (Eintragen heiko20.dyndns.org, Nutzername und Passwort lt. Registrierung dort) und dann eine Portweiterleitung für den Port 80 einzurichten.

Zugriffsschutz für Lite

folgende Befehle per telnet eingeben: 

/etc/init.d/httpd stop
echo "/:nutzername:passwort" > /etc/httpd.conf
/etc/init.d/httpd start

Damit wird beim nächsten Aufruf nach Nutzernamen und Passwort gefragt, im Beispiel oben sind „nutzername“ und „passwort“ natürlich durch eigene Werte zu ersetzen.

Dank Passwortmanager muss man am heimischen Browser auch die Nutzerkennung nicht unbedingt immer eingeben, einmal und Speichern reicht.

Telnet und FTP

Problem: Auf der Reelbox sind noch Nutzer für Systemzwecke, wie zB „bin“, „daemon“ und Überreste aus Linux - Standardsystemen wie „www-date“ usw. definiert. Diese sind, wie „root“ auch ohne Passwort. Gibt man beim Zugriff über das Internet auch FTP (23) und Telnet (21) frei, hat man freien Zugriff auf die Box.

Deswegen sollte „root“ ein Passwort bekommen:

Telnet auf die Box:

passwd

+ ENTER eingeben; dann Passwort eingeben und merken.

Telnet (Port 21) nicht durchlassen

Damit hat man mit den anderen Nutzern immer noch Zugang zum System, aber mit Ausnahme von /tmp nur lesenden Zugang, keinen schreibenden. Da dies trotzdem u.U. ausreicht, um einen Denial of Service zu starten oder ein Rootkit zu installieren, sind entweder penibel den entsprechenden Nutzern alle Rechte zu nehmen (viel Spass), oder man sollte den telnet - Zugriff über das Internet unterbinden / nicht erlauben.

Damit verhindert man allerdings eine Nutzung z.B. von RCC. ReelHTTP geht, da die Kommunikation nur über Webserver läuft.

Gesichertes FTP

Um den Zugriff per FTP auf die Box ohne Password zu unterbinden, sind die beiden Dateien aus der zip - Datei (Link folgt) einfach in das Verzeichnis „/etc“ zu kopieren (mit Überschreiben).

Die geänderte bftpd.conf verweigert anonymous - Login und die ftp-users listet alle vorhandenen Nutzer m.A. von „root“ auf. (Download)

Damit ist für diese Nutzer ein Zugriff per FTP verboten und nur root hat mit dem oben generierten Passwort Zugriff per FTP.

Nach einem Imageupdate ist diese spezielle Konfiguration wieder weg.

Zugriffsschutz für Avantgarde

Bei der Avantgarde wird eine „Basic-Authentification“ des lighttpd - Webservers genutzt und mit dem Setup ausgerollt.

Zum Einrichten muss eine .htaccess - Datei mit einem Nutzer und einem Nutzernamen einrichtet werden. Diese .htacess - Datei ist dann nach /etc/reelhttp-base zu kopieren.

Zur Vereinfachung der notwendigen Schritte bitte folgende Befehle per telnet oder per KDE-Konsole als root ausführen: 

cd /etc/reelhttp-base/install
./edit_authentification.sh

Im Folgenden wird nach einem Nutzernamen, dann nach einem Passwort der eigenen Wahl gefragt. Diese Angaben bitte gut merken!

abschließend

Mittlerweile nutze ich nur noch SSH (Putty) und SCP (WinSCP). VNC wird über putty getunnelt. Der Zugriff per ReelHTTP ist ebenfalls verschlüsselt, dazu habe ich meinem lighttpd SSL beigebracht. (siehe Google)

reelhttp/zugriff_aus_dem_internet_und_zugriffsschutz.txt · Zuletzt geändert: 2009/05/13 19:30 von heiko

Seiten-Werkzeuge

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki