Vraag & Antwoord

OS Linux

4 kleine vraagjes over o.a. rechten in linux (fedora)

20 antwoorden
  • Hallo Ik heb sinds kort een eigen web/dc++ server draaiende onder Fedora Core I. Dit werkt opzich prima. Er zijn alleen 4 kleine dingen die ik niet voor elkaar krijg. - Als ik een bestand in /var/www/html plaats (of in de toekomst iemand via ftp) moet ik eerst chmod 755 doen om het toegankelijk te maken op het internet. Kan ik zorgen dat alle files in deze map automatisch ge-chmod worden naar 755? Is dit trouwens aangeraden of raden jullie een ander "rechtengetal" (noem ik het maar even, is "umask" het goede woord?) aan? - Ik heb bij het installeren van Fedora opgegeven dat ik "FTP server" wilde installeren. Nu kan ik geen ftp server vinden, enkel een programmaatje "gFTP" maar het lukt met niet te ontdekken hoe ik mensen een account met wachtwoord geef en toegang tot een upload map. - Voor mijn DC++ hub draai ik "OpenDChub". Dit is een deamon zonder grafische schil. Opzich niet erg, maar ik wil users alleen erin laten als ze een password invullen bij het connecten. Dit moet kunnen met dit prog, ik heb het al vaak gezien, alleen ik weet niet hoe. Ik kan wel via "ip:53696" op de admin interface komen, maar dan staat er: [code:1:186a9457dc]Open DC Hub, version 0.7.14, administrators port. All commands begin with '$' and end with '[/code:1:186a9457dc] Alleen ik heb geen enkel idee wat voor commando ik zou moeten invoeren. Ik zoek me suf op internet, maar ik vind nergens iets erover, hooguit een link om opendchub te downloaden. - Ik wil graag dat bij het starten van mijn server direct de DC hub software ook start. Dat moet ik nu doen door in de terminal "opendchub" te typen. Ik weet dat je dit kunt aanpassen in een initrd file, maar ik weet niet hoe ik het programma dan laat starten. Hopelijk kunnen jullie mij helpen met deze waslijst met vragen :oops: Bedankt alvast! Lennard
  • - Als ik een bestand in /var/www/html plaats (of in de toekomst iemand via ftp) moet ik eerst chmod 755 doen om het toegankelijk te maken op het internet. Kan ik zorgen dat alle files in deze map automatisch ge-chmod worden naar 755? Is dit trouwens aangeraden of raden jullie een ander "rechtengetal" (noem ik het maar even, is "umask" het goede woord?) aan? -> als je dit doet als de user die je apache draait gaat het vanzelf. En 755 is ok, omdat webservers meestal weinig/geen local users hebben voor andere diensten. Lees verder in http://mrlee.homelinux.net/linux-security.htm - Ik heb bij het installeren van Fedora opgegeven dat ik "FTP server" wilde installeren. Nu kan ik geen ftp server vinden, enkel een programmaatje "gFTP" maar het lukt met niet te ontdekken hoe ik mensen een account met wachtwoord geef en toegang tot een upload map. -> Weet niet zeker, maar gFTP is een variant op wsFtp of zo. Een ftp-client. WU-Ftp is geloof ik wel goed, maar ik adviseer geen ftp te gebruiken, maar ssh. Win-user gebruiken dan gewoon winscp als client. Stuk veiliger. - Ik wil graag dat bij het starten van mijn server direct de DC hub software ook start. Dat moet ik nu doen door in de terminal "opendchub" te typen. Ik weet dat je dit kunt aanpassen in een initrd file, maar ik weet niet hoe ik het programma dan laat starten. Bij RedHat is het /etc/rc.d/rc.local. Leuke plek om ook iets te doen als "hdaprm -c1 -d1 -m16 /dev/hda", als je hd nog niet goed getuned is.
  • Bedankt voor de tips. Ik heb alleen gehoord dat SSH wel veiliger is, maar dat je dat niet kunt benaderen met een FTP client op windows pc, bijvoorbeeld als iemand ws_ftp heeft kan hij er niet op komen. Is dit juist? Zoja, dan kan ik geen ssh gebruiken, en wil ik graag een ftp programma hebben, zonee, dan wil ik heel graag uitleg hoe ik e.a.a met ssh moet instellen. [quote:f1171c72be]-> als je dit doet als de user die je apache draait gaat het vanzelf. En 755 is ok, omdat webservers meestal weinig/geen local users hebben voor andere diensten. Lees verder in http://mrlee.homelinux.net/linux-security.htm [/quote:f1171c72be] Dit snap ik niet helemaal. Hoe bedoel je "als je dit doet als de user die je apache draait" als ik mijn server aanzet, start apache al op voor iemand is ingelogd... is dat soms de user "apache"?
  • je kutn in httpd.conf in apache instellen onder welke user/groep apache moet draaien.
  • > maar dat je dat niet kunt benaderen met een FTP client op windows pc, bijvoorbeeld als iemand ws_ftp heeft kan hij er niet op komen. Is dit juist? Dat klopt. Ipv wsftp moet je winscp gebruiken. Een ander proggie ja. Maar wel veiliger!!!!!
  • Veel ftp daemons hebben tegenwoordig ook SSL ondersteuning, zoals vsftpd, een windows ftp programma zal daar ook wel mee om kunnen gaan.
  • Voordeel van ssh is dat je er een shell-toegang bij hebt. Iedereen moet doen wat hem handig lijkt.... ik persoonlijk heb het liefst ssh.
  • SSH is wel veiliger dan Ftp maar dat Ftp veel onveiliger is vind ik overdreven. Ik heb meerdere ftp servers onder mijn beheer (of gehad) en ik kan je verzekeren dat zelfs de meest doorgewinterde cracker daar een behoorlijke kluif aan zal hebben. Maar ik ben ook een echte Ftp liefhebber :D
  • [quote:02bd1e006f="MrLeeJohn"]Voordeel van ssh is dat je er een shell-toegang bij hebt.[/quote:02bd1e006f] Dat is wel een voordeel ja. Helaas snappen velen niets van de beveiliging van SSH gezien het aantal servers dat middels SSH gehackt wordt.
  • > dat Ftp veel onveiliger is vind ik overdreven Meestal gebruikt men geen sftp maar gewoon ftp . En dat is niet encrypted en dus met de simpelste sniffer zijn de wachtwoorden zomaar te lezen. Ssh is wel encrypted. Da's een feit en dus veeeeel veiliger. Dat vervolgens ssh zoveel gehackt zou worden.... dat vind ik op mijn beurt dan weer overdreven. Men kan ssh wat extra beveiligen dmv tcpwrappers/hosts.deny, no-root, only-allowed-adresses, enz. Dat is idd wel aan te bevelen, maar het concept is secure-by-default. Bepaalde versies hebben verder last van buffer-overflows ja. Maar om te zeggen dat op grote schaal ssh gehackt wordt.... Het is simpeler een cleartext password te sniffen en vervolgens legaal te ftp-en, dan ssh te bestoken en via de achterdeur in te breken. Bij ftp vind je dan ook geen verkeerde log-gegevens. > ik kan je verzekeren dat zelfs de meest doorgewinterde cracker daar een behoorlijke kluif aan zal hebben. Als (speculatief dus) het gewoon ftp was ipv sftp, dan is het "kippetje" om een wachtwoord te sniffen en met dat wachtwoord te ftp-en. Dat kan ik je ook verzekeren. Dus.... of een ftp-server met alleen sftp (liefst met wat extra security).... of ssh (liefst met wat extra security). In het laatste geval heb je de shell als extraatje gratis.... die zou ik dus kiezen. Maar goed.... tismaarmijnmening.... shoot... :wink:
  • SSH wordt meer gecracked dan je denkt. Want mensen zijn per default lui of onwetend dus wat kom je in praktijk tegen accounts als: root:root admin:admin en ga zo maar door. Accounts jawel zonder passwords ook een leuke combinatie met SSH. Het toestaan van het inloggen van root-accounts. Er wordt niet voor niets zoveel op SSH gescanned De beste beveiliging SSH blijft in mijn opine nog gebruik te maken van RSA/DSA keys met daarop een strong password. Het niet toestaan van het inloggen van root-accounts. Maar een serveradmin account die d.m.v. PAM wheel via SU root kan worden. En het draaien van SSH op een niet default poort. Helaas gebeurt dit in 9 van de 10 gevallen niet. FTP is ook redelijk goed te beveiligingen door accounts aan te maken die alleen vanaf bepaalde IP adressen toegang hebben. Die zelfde accounts een shell geven als /bin/false. Upload en Download accounts scheiden van elkaar en strong passwords gebruiken. Je FTP server in een root-jail te laten draaien. Quota's voor accounts instellen. Root logins op je FTP server niet toestaan. Een dubbele validatie van accounts instellen middels PAM en in je FTP server config. En het draaien van FTP op een niet default poort. Ik ben het met je eens dat SSH door encryptie veiliger is maar het is niet zo dat FTP veel onveiliger is. Maar zoals met alles veel hangt af van de kennis en ervaring van de serveradmin en helaas er zitten veel prutsers tussen. Dat weten jij en ik maar al te goed :wink:.
  • Effe een voorbeeldje ter illustratie van de onveiligheid van ftp: een kennis van me (ikzelf zou zoiets nooooit doen) had onlangs wat gesnift op het universiteitsnetwerk en had binnen de kortste keren wat usernames en paswoorden van ftp accounts onderschept. Na enkele pogingen hadden we (oei, deed ik dan toch mee?) een user gevonden die ook een shell had op de betreffende server. De server (OS: debian woody) had een uptime van een half jaar, de kernel was dus ook al wat gedateerd: lager dan 2.4.26 en had dus één van de beruchte mremap bugs. Een exploit van 100 lijnen code (zo te vinden op het net) downloaden, compileren en uitvoeren was genoeg om root toegang te krijgen. Dus kiddos, zeer goed oppassen voor je met ftp begint te spelen. Dus zo veel mogelijk sftp gebruiken (en je ssh daemon goed configureren), en als je om één of andere reden toch ftp wil draaien: gebruik vsftpd en timmer hem goed dicht, dwz configureer hem zodanig dat enkel bepaalde gebruikers toegang hebben en geef die gebruikers zéker geen shell (dus /bin/false instellen als shell). En lock ze in hun home directory. Ook geen gek idee is om je firewall zo strict mogelijk in te stellen, dus enkel verbinding op ssh/ftp poorten aannemen van hosts of domeinen die je vertrouwt. Is helemaal niet moeilijk en verkleint het risico op een inbraak aanzienlijk.
  • [offtopic] admin:god is ook een leuke enne... "Hackers" citaat: de 4 meest gebruikte wachtwoorden zijn: love, secret, sex and god. :P [/offtopic] Ik snap uit jullie (afschrik)verhalen dat ik toch echt beter ssh kan gebruiken. Ik heb al een SSH op mijn server staan. Is er daar een grafische schil voor of een duidelijk overzicht met instellingen? Ik heb middels ip tables zo strict mogelijk de firewall ingesteld. Alleen poort 1257 (web) 1412 (opendchub) en 80 (surfen) zijn open met alleen toegangsrechten op eth0. Mailen doe ik niet op mijn server dus 25 en 110 zijn ook dicht. Verder stond 21 open voor ftp maar die is nu dicht. Op welke poort runt ssh? Of moet ik dat zelf instellen? Verder, alle public files zijn ge-chmod op 644. Is dit goed? Of kan ik beter uitvoerrechten toekennen (nooit echt begrepen wat voor een html pagina het verschil is tussen lezen en uitvoeren, wel bij software natuurlijk) En weet iemand een site of boek of iets met de commando's voor de deamon "OpenDChub"? Ik zoek me suf op het net al 3 dagen lang maar zonder succes. Grt, Lennard
  • [quote:7321980f0f="Bamboe"]configureer hem zodanig dat enkel bepaalde gebruikers toegang hebben en geef die gebruikers zéker geen shell (dus /bin/false instellen als shell). En lock ze in hun home directory. Ook geen gek idee is om je firewall zo strict mogelijk in te stellen, dus enkel verbinding op ssh/ftp poorten aannemen van hosts of domeinen die je vertrouwt. Is helemaal niet moeilijk en verkleint het risico op een inbraak aanzienlijk.[/quote:7321980f0f] Dat zei ik toch :D
  • owja, had o.a. niet gezien dat je dat van die shell ook had gezegd. Maar dat van die firewall heb jij niet gezegd, want met iptables verbindingen blokkeren is nog net iets anders dan sshd of je /etc/hosts zodanig instellen. ;)
  • [quote:ccccf050df="Bamboe"]owja, had o.a. niet gezien dat je dat van die shell ook had gezegd. Maar dat van die firewall heb jij niet gezegd, want met iptables verbindingen blokkeren is nog net iets anders dan sshd of je /etc/hosts zodanig instellen. ;)[/quote:ccccf050df] Dingen die logisch zijn hoef ik toch niet voor te kauwen ;) Moet ik dan echt alles uitleggen *zucht* :roll: Want dan kan ik nog wel even doorgaan zoals: patch je server met grsecurity, installeer tripwire, installeer Rootkit Hunter, check je logs regelmatig, blablabla. Kan wel een adviesbureau beginnen :-?
  • Ik zal eens het e.e.a. over SSH lezen en wat proberen. 1 ding is mij nog niet duidelijk. Moeten ftp users [b:2d0dbae7fd]lokaal[/b:2d0dbae7fd] een account hebben op het systeem (dus geen ftp maar een "echte") om te kunnen ftp'en? Maar ik ga SSH gebruiken, hier even iets over. Als ik iemand "lock" in z'n /home kan ik dan die map mounten in /var/www/html/*gebruikersnaam* of moet ik hem gewoon locken in /var/www/html/*gebruikersnaam*? Wat is het meest handig / veilig. Iemand een goede site-tip (liefst NL) voor uitgebreide uitleg over SSH? Grt, Lennard
  • [quote:b65460ad9d="SAPPhIRE"]Iemand een goede site-tip (liefst NL) voor uitgebreide uitleg over SSH? [/quote:b65460ad9d] Deze site http://www.phil.uu.nl/sysdox/helpdesk/howto/ssh.html En een site over OpenSSH http://www.openssh.com/nl/index.html Voor uitgebreidere uitleg zou je de aanschaf van een boek kunnen overwegen. Alleen is die wel Engelstalig. SSH, the Secure Shell - The Definitive Guide http://www.comcol.nl/detail/42830.htm
  • Heh, toch leuk dat wij filosofen weer uit moeten leggen hoe SSH werkt ;). (Oh, nee, ik ben geen full-time filosofiestudent meer :p) man sshd man sshd_config
  • Een probleemje nog denk ik :wink: SSH staat voor secure shell. Maar ehhh, SAPPhIRE doet toch het liefst alles grafisch op zijn server ;)

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.