/usr/share/doc/HOWTO/de-html/DE-UUCP-HOWTO-15.html is in doc-linux-de 2003.10-5.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.65">
<TITLE>Linux UUCP HOWTO: Sicherheit</TITLE>
<LINK HREF="DE-UUCP-HOWTO-16.html" REL=next>
<LINK HREF="DE-UUCP-HOWTO-14.html" REL=previous>
<LINK HREF="DE-UUCP-HOWTO.html#toc15" REL=contents>
</HEAD>
<BODY>
<A HREF="DE-UUCP-HOWTO-16.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-UUCP-HOWTO-14.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-UUCP-HOWTO.html#toc15"><IMG SRC="toc.png" ALT="Inhalt"></A>
<HR>
<H2><A NAME="s15">15.</A> <A HREF="DE-UUCP-HOWTO.html#toc15">Sicherheit</A></H2>
<P>Es gibt ein paar wichtige Dinge, die Sie beachten sollten, wenn Sie ein
UUCP-System betreiben. Die meisten dieser Tips beziehen sich auf Dateirechte.
Lesen Sie die Manual Page zu <CODE>chmod</CODE> und <CODE>chown</CODE>, um die
Rechte anzupassen.</P>
<H2><A NAME="ss15.1">15.1</A> <A HREF="DE-UUCP-HOWTO.html#toc15.1">UUCP</A>
</H2>
<P>Die Dateien im UUCP-Verzeichnis müssen teilweise allgemein zugänglich sein,
z.B. damit der Sendmail Mails zustellen kann. Andere Dateien sollten
allerdings nur vom User <CODE>uucp</CODE> aus der Gruppe <CODE>uucp</CODE> lesbar
sein, da Paßwörter enhalten sind. Die Dateien <CODE>passwd</CODE> und
<CODE>call</CODE> enthalten Paßwörter.</P>
<P>Hier eine sichere Konfiguration:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
/etc/uucp > ls -l
-r--r----- 1 uucp uucp 161 Oct 2 20:14 call
-rw-r----- 1 uucp uucp 120 May 23 23:58 config
-rw-r----- 1 uucp uucp 724 May 23 23:58 dial
-rw-r----- 1 uucp uucp 18 Oct 2 20:24 passwd
-rw-r----- 1 uucp uucp 162 May 23 23:58 port
-rw-r--r-- 1 uucp uucp 3027 Oct 2 20:22 sys
</PRE>
</CODE></BLOCKQUOTE>
</P>
<H2><A NAME="ss15.2">15.2</A> <A HREF="DE-UUCP-HOWTO.html#toc15.2">INN (1.x und 2.x)</A>
</H2>
<P>Der INN ermöglicht eine Paßwortabfrage beim Zugang zum Server. Wenn die
Paßwörter, die im Klartext gespeichert werden, für alle frei zugänglich
sind, bringt der Schutz nicht sehr viel. Setzen Sie die Rechte für die
Datei <CODE>nnrp.access</CODE>, in der die Daten gespeichert sind, also
entsprechend:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
/etc/news > ls -l nnrp.access
-rw-r----- 1 news news 1293 Sep 17 10:41 nnrp.access
</PRE>
</CODE></BLOCKQUOTE>
</P>
<H2><A NAME="ss15.3">15.3</A> <A HREF="DE-UUCP-HOWTO.html#toc15.3">Sendmail</A>
</H2>
<P>Die Konfigurationsdateinen des Sendmail dürfen von allen gelesen werden,
allerdings nur von <CODE>root</CODE> geändert werden:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
/etc > ls -l sendmail.cf
-rw-r--r-- 1 root root 30910 Oct 2 17:20 sendmail.cf
/etc/mail > ls -l
lrwxrwxrwx 1 root root 10 May 23 13:01 aliases -> ../aliases
-rw-r--r-- 1 root root 85 Jan 20 1999 genericstable
-rw-r--r-- 1 root root 16384 May 23 11:19 genericstable.db
-rw-r--r-- 1 root root 8137 Jan 20 1999 linux.mc
-rw-r--r-- 1 root root 166 Jan 20 1999 linux.nullclient.mc
-rw-r--r-- 1 root root 1536 Oct 2 17:32 mailertable
-rw-r--r-- 1 root root 16384 Oct 2 17:33 mailertable.db
-rw-r--r-- 1 root root 267 Jan 20 1999 userdb
-rw-r--r-- 1 root root 0 May 23 11:19 userdb.db
-rw-r--r-- 1 root root 73 Jan 20 1999 virtusertable
-rw-r--r-- 1 root root 16384 May 23 11:19 virtusertable.db
</PRE>
</CODE></BLOCKQUOTE>
</P>
<H2><A NAME="ss15.4">15.4</A> <A HREF="DE-UUCP-HOWTO.html#toc15.4">Sicherheitsprobleme bei SSH-Tunneln</A>
</H2>
<P>SSH-Tunnel werden genutzt, um UUCP über IP sicherer zu machen.
Damit es keine Probleme bei der Paßwortabfrage gibt, wird ein
<EM>Public Key</EM> erzeugt. Mehr dazu finden Sie im anschliessenden Kapitel.
Dieser <EM>Public Key</EM> ersetzt das Paßwort. Sie können sich
nach Kopieren des Keys auf einen anderen Rechner auf diesem per ssh
einloggen, ohne ein Paßwort eingeben zu müssen. Dies hat auch Nachteile.
Wenn jemand Ihren Arbeitsplatzrechner gehackt hat und Ihren lokalen
Account nutzen kann, kann dieser sich ebenfalls ohne Paßwort auf dem anderen
Rechner einloggen. Wenn Sie den SSH-Tunnel nutzen, besteht die Möglichkeit, daß
ein Angreifer sich bei Ihrem Provider mit Ihrem Shell-Account einloggen kann.
Wenn Sie Ihren Rechner per Firewall oder setzen von sicheren Paßwörtern
sicher gemacht haben, ist diese Lücke meiner Meinung nach allerdings zu
vernachlässigen.</P>
<HR>
<A HREF="DE-UUCP-HOWTO-16.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-UUCP-HOWTO-14.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-UUCP-HOWTO.html#toc15"><IMG SRC="toc.png" ALT="Inhalt"></A>
</BODY>
</HTML>
|