SSH Tipps+Tricks Server: Apache, Mail, Samba Franz Schäfer LV Linux: Effiziente Anwendung an Hand von Fallbeispielen.

Slides:

Advertisements

Ähnliche Präsentationen

Code-Injection in PHP Realworld Beispiel: SSH-Public Key per Code-Injection einbauen.

Advertisements

Überwachung des Nagios-Servers

Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.

Allgemeine Technologien II

Werkzeuge und Softwareumgebung von Christian Michele.

Windows auf öffentlichen PCs

Sicherheit und Personalisierung Internet Portal der Universität München.

POKUS Portal für Kurs und Studienplanung

Webserver, © Till Hänisch 2002 Apache The open way.

Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.

Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.

Werkzeuge und Softwareumgebung von Christian Michele.

Einführung MySQL mit PHP

Herbert Mackert RRZE ssh client. Herbert Mackert secure shell client Gliederung Was ist ssh ? Entstehung von ssh Plattform unabhängig.

Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH

Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,

SQL PHP und MySQL Referat von Katharina Stracke und Carina Berning

Kommunikation zwischen BS2000 Host und PC

Installationsdiskette booten Startdiskette und CD-1 einlegen und den Rechner starten Auswahl: Deutsch Auswahl: Farbbildschirm Auswahl: Deutsch Auswahl:

Netzfort – Instituts-Namensraum

Client-Server Modell Advanced IT Basics Nicolas Frings.

Client-Server Systeme

Das Client/Server – Modell und die XAMPP-Distribution

Allgemeine Technologien I Sitzung am Mailserver

IFB Speyer Daniel Jonietz dj 2 XAMPP - Was ist das? Paket mit: – X – Apache (Webserver) – MySQL oder SQLite (Datenbank) – Perl (Skriptsprache) –

Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler

Absicherung eines produktiven Webservers und Entdeckung von Angreifern

Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

Bereitstellen von PHP-Webanwendungen auf Windows Azure

Webseiten mit PHP, SQL, XML und Webservices Anhand praktischer Beispiele.

Hacking InfoPoint Jörg Wüthrich Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.

Mag. Andreas Starzer weloveIT – EDV Dienstleistungen

Cyrus IMAP-Server mit Sieve Schnittstelle. Gliederung Warum ein neuer IMAP-Server? Technischer Hintergrund Wozu Mailfilter mit Webschnittstelle? Vorteile.

© Fink/Spengler/AINF-Lehrgang 2003 – Folie 1 AINF/3. Jahrgang Netzwerke Anwendungen (Clientseitig) Karl Brenner, Andreas Fink, Gerhard Jüngling, Albert.

->Prinzip ->Systeme ->Peer – to – Peer

Mailserver Protokollen Universität zu Köln WS 2008/09 Allgemeine Technologien I Dozentin: Susanne Kurz M.A. Referentin: Bethzy Gianella.

Ubuntu Postfix-Mailserver auf Windows Azure

Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH

Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran

Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH.

FTS usage at GridKa Forschungszentrum Karlsruhe GmbH

Remotezugriffe unter Linux Leo Besold Azubi Juni 2015.

Seite 1 - TYPO3 auf IIS typohead s Willkommen TYPO3 auf IIS ● Christian Kurta

Internet-Standarddienste

M AILSERVER Universität zu Köln IT- Zertifikat Seminarleitung: Susanne Kurz M.A Referentinnen: Saskia Giersch und Lisa Berger.

1 Servlets Stephan Baldes. 2 Was ist ein Servlet? S E R V L E T = Eine auf Java-Technologie basierte Web-Komponente, die von einem Container.

Mailserver Ansgar Schlüter Up‘n Bült Meppen.

Rechen- und Kommunikationszentrum (RZ) Sicherheitsorientierte Webentwicklung am Beispiel der Matse-Dienste Jan-Frederic Janssen.

1Crypto AG / P_M_HC-2650-Course-Notes-d_0833_rd.PPT Training and Education HC-2650 Kursunterlagen.

LINUX II Unit 7 LAMP Server. LAMP ● Linux – Apache - MySQL – PHP ● Leistungsfähiges und kostenloses System zur Genrierung von dynamischen Webseiten und.

Fedora als Eier legende Wollmilchsau im Heimnetzwerk Benedikt Schäfer Von: Ambassador License statement goes here. See

LINUX II Harald Wegscheider

SSH Tipps+Tricks Server: Netcat, inetd, Apache, Mail, Samba, Mysql, NFS Franz Schäfer LV Linux: Effiziente Anwendung an Hand von Fallbeispielen.

LINUX II Samba Verbindung mit Windows. Samba Übersicht ● Samba dient zur Verbindung von Linux-Clients mit Windows Rechnern ( samba-client ) sowie von.

IT-Struktur an Schulen 1 Administrativer Zugriff von außen mit PuTTY und Xming paedML ® 3 Novell Autor: Uwe Labs Stand: 25. Nov

LINUX II MAIL. Mail Protokolle ● SMTP: Simple Mail Transport Protocol ● Transport von s, Port: 25 ● ESMTP: Extented SMTP ● Server gibt Infos über.

LINUX II Unit Remote Zugriff via SSH.

PuTTY in der paedML® 3.0 Novell

Azure Backup, Azure Backup Server und Azure Site Recovery

Camil Bartkowiak Serhat Cinar Leonardo Di Lella Jan Finsel

• Projektdialog paralleler Plagiatschutz- projekte

Apache The open way.

Systeme II 6. Die Anwendungsschicht

Dreamweaver-Grundkurs

Sicherheitslabor — Einführung

Niedersächsisches Ministerium

Sicherheitslabor — Einführung

HTTP-Server Konfiguration

Präsentation transkript:

SSH Tipps+Tricks Server: Apache, Mail, Samba Franz Schäfer LV Linux: Effiziente Anwendung an Hand von Fallbeispielen

Franz Schäfer ● ZID ● ISP (akis, silverserver,...) ● Nachtrichtentechnik, Regelungstechnik, Computertechnik ● Linux User seit 1995 (kernel )

Themenübersicht ● Advanced SSH ● Apache Webserver ● Mailserver Grundlagen

Wozu SSH? ● für – terminal verbindung – file transfer – remote execution, automatisierung ● verschlüsselte verbindung – sichert nicht vor: ● kompromitierten eigenen hosts ● kompromitierten fremden hosts

Übersicht SSH ● Implementierungen – openssh – putty –... ● remote einloggen mit ssh – mit passwort – mit kerberos ticket – mit RSA/DSA key

password login mit ssh # ssh The authenticity of host 'login.wu- wien.ac.at ( )' can't be established. RSA key fingerprint is a2:61:d0:f8:1a:13:f7:71:51:26:b8:c2:5f:6 f:00:97. Are you sure you want to continue connecting (yes/no)?

ssh mit kerberos # kinit h # ssh -K -K.... Enables forwarding (delegation) of GSSAPI credentials to the server.

man in the middle ssh WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the- middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is 90:9c:46:ab:03:1d:30:2c:5c:87:c5:c7:d9:13:5d:7

scp – secure copy # echo bla >bla.txt # scp bla.txt # scp # scp -r diplomarbeit/

ssh configuration ●.ssh/config Host wu HostName pecuchet.wu-wien.ac.at User h ●.ssh/known_hosts ●.ssh/authorized_keys ● Sitewide: – /etc/ssh/ssh_config – /etc/ssh/sshd_config

einlogen mit RSA/DSA key # ssh-keygen (eventuell -f) normalerweise mit passphrase # scp.ssh/id_rsa.pub wu: # cat id_rsa.pub >>.ssh/authorized_keys # ssh -i andererschluessel alternativ: # ssh-copy-id -i.ssh/id_rsa.pub wu

remote execution ssh “ls -l /tmp” echo didldoe | ssh \ “cat -> bla.txt” ssh “ls -l /tmp” | grep bla nützlich für scripts zum automatisieren von abläufen

Remote Ausführung einschränken ● im.ssh/authorized_keys from=" ",no-pty,no-port- forwarding,command="/root/bla.sh" ssh-dss AAAUH7T9Y....

X11 forwarding # ssh -X # echo $DISPLAY # localhost:10.0 # xterm & # xauth list Achtung: Remote Angreifer bekommt zugriff aufs lokale display

ssh agent ssh-agent kann zugriff auf passphrase cachen # ssh-agent xterm & # ssh-add.... passphrase

ssh port forwarding # ssh \ -L 3333:proxy.wu-wien.ac.at:8080 \ ● von lokal erlauben den wu proxy auf localhost port 3333 zu verwenden (optional: -g ) # ssh -R 4567:localhost:80 \ ● zugriff auf den lokaeln webserver von remote host aus erlauben (default: nur von da)

ssh socks proxy # ssh -D 9999 ● socks proxy ● z.B.: via browser verwendbar

URL in KDE und GNOME

Zusammenfassung SSH ● SSH – mit passwort – mit kerberos – mit RSA Keys – scp – konfiguration – remote kommandos – keys einschränken – X11 Forwarding – port forwarding – agent – eingebauter Socks-Proxy – sftp in KDE/GNOME

Apache Webserver ● Marktanteil ca 50% (Nov 2007) ● Vergleich IIS ca 35%

Zugriff auf Webserver # telnet 80 GET / # telnet 80 HEAD / HTTP/1.1 HTTP/ Bad Request Date: Wed, 05 Dec :38:35 GMT Server: Apache Connection: close Content-Type: text/html; charset=iso # wget -S

Apache Installieren, Start/Stop # apt-get install apache oder # apt-get install apache2 # apachectl configtest # apache2ctl configtest # apachectl restart # /etc/init.d/apache2 restart

Apache Configuration ● /etc/apache2/httpd.conf ● /etc/apache/httpd.conf ● manches auch in.htaccess ● weitere files via Include /etc/apache2/bla/*.conf

Apacheconfig Bereiche ● Sitewide – z.B.: Listen 80 – DocumentRoot /var/meinwww/ ● VirtualHost ● Directory ● Location

Excurs: Einfaches HTML ● z.B.: index.html test überschrift test fett

VirtualHost Name/IP-Based ServerAdmin DocumentRoot /var/www/meinserver/ ServerName ServerALias meinserver.at php_flag register_globals 0 RedirectPermanent /w/

Beispiel: Directory AllowOverride AuthConfig Options +ExecCGI -Indexes Addhandler cgi-script.cgi ScriptAlias /cgi/ /var/www/scripts/

Beispiel Location SetHandler server-status Order Deny,Allow Deny from all Allow from Allow from

Apache SSL ( SSLEngine on SSLCertificateFile /etc/cert/mein.crt SSLCertificateKeyFile /etc/cert/mein.key ServerName meinserver.at DocumentRoot /var/www-secure Keys mit openssl erzeugen Problem mit name-based VirtualHosts

Einschub: Keys mit openssl # openssl req -new -nodes \ -newkey rsa:1024 -keyout mein.key \ -out mein.csr # openssl x509 -req -in mein.csr \ - signkey mein.key -out mein.crt \ - days 365 ● zur kontrolle: # openssl rsa -in mein.key -text # openssl req -in mein.csr -text # openssl x509 -in mein.crt -text

Offizielle Zetrifizierung ● Verisign, Thawte, & Co... ● SureServerEDU TLS ● Kostenlose Peer2Peer Zertifizierung:

Einfaches CGI script ● im file: test.cgi #!/bin/bash echo Content-type: text/plain echo echo ich bin: id echo datum ist: date

Ein einfaches PHP script

Sicherheit 1.) Updaten 2.) Oft Updaten 3.) Regelmäßig Updaten 4.) Achtung bei Scripts 5.) Achtung bei PHP Scripts! 6.) Forum/CMS/Fertigpackte: Updaten!

Beispiel PHP Insecurity ● /PHP-Security-Mistakes/ include('vorlagen/'. $template) ● $template – aus formular? – aus cookie? ● $template=“../../../../etc/passwd“

Beispiel SQL Injection ● $res= mysql_query( 'SELECT * FROM bla WHERE id="'. $_GET['id']. '"'); ● möglicher Inhalt von 'id': ● "; DELETE FROM bla != "dfssdf ● "; DROP DATABASE meinforum;

Zusammenfassung Apache – webzugriff per telnet GET / – apache start stop, configtest – wichtige config files – Gültigkeits- bereiche der Direktiven – einfches HTML – Name vs. IP Based VirtualHosts – Directory – Location – https, openssl, Zertifizierung – cgi, php, und Sicherheit

Mail Server Grundlagen ● Transport via SMTP: Store and Forward ● Abfrage von Mailboxen: – lokal: /var/spool/mail – POP3 – IMAP ● Hauptproblem: SPAM

Übersicht: MTA ● sendmail: alt aber gut ● exim: klein aber fein ● postfix: der herausforderer ● qmail: hauptsache anders

Eine Verbindung mit einem Mailserver # telnet mx1.wu-wien.ac.at mx1.wu-wien.ac.at ESMT.. helo. mail from: rcpt to: data bla. quit

IMAP Server ● courier – für mittlere installationen – maildir format ● cyrus – für große installationen ● uw-imapd – standard mbox

Commandline Mail # echo test | \ mutt -s test # mutt -f

sendmail config Übersicht ● im Directory /etc/mail/ ● in sendmail. mc (o.ä) ● file editieren # make # make restart

nützliches für.mc file (m4) MASQUERADE_AS(`blabla.at')dnl FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl FEATURE(`genericstable', `hash -o /etc/mail/genericstable.db')dnl FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl FEATURE(access_db)dnl define(`SMART_HOST', `smtp.wu- wien.ac.at')

Samba Linux Server für Windows Netze ● apt-get install samba ● datei: /etc/samba/smb.conf /etc/init.d/samba restart [musik] comment = meine mp3sammlung als share writable = no locking = no path = /extraplatte/mp3/ public = yes hosts allow = /

Zusammenfassung ● Advanced SSH ● Apache Grundlagen ● Mail Server Übersicht ● Einblick in Samba