server

[anoniem]

Ik hoor het alweer :grin: Ik voel me dan ook zeer vereerd :wink: Maar ff terzaken: Wat ik opmaak uit de berichten van het afgelopen jaar is dat de mannen die hier al sinds mensen heugenis rondhangen en zin en tijd hebben kunnen steken in de verkenning van de BSD's tot de conclusie kwamen dat dit naast het hun gekoesterde Linux toch beter voldoet aan de eisen die je aan een server zal stellen. Mijn idee is danook (en ik spreek hier met kennis van anderen want ik heb noch de tijd noch de zin me er persoonlijk in te verdiepen) dat een BSD beter is. Zoals ik danook al zei en dat zal een ieder met me eens zijn, Mithrandir merkte het juist op, is ook linux wel geschikt en elke distro kun je maken zoals JIJ dat wil maar alleen de hoeveelheid werk die je erin moet steken om je doel te bereiken verschilt. Mijn advies dus voor wat het waard is: Heb je en ?zware? machine draai dan als desktop gewoon een bekende distro. Heb je veel tijd meem dan Slack, LFS ed. Heb je behoefte aan veiligheid doe dan zoveelmogelijk zelf. Heb je een apparte file/printserver-router/firewall ga dan voor een BSD systeem. Ohja ben je echt HEEL lui en geen hekel aan blauw neem dan dat OS dat eindigd bij start :wink: [ Dit bericht is bewerkt door: wstolk op 2002-04-03 22:00 ]

[anoniem]

dan moet je zeker ook geen hekel hebben aan crackers... :grin:

[anoniem]

[quote:dbf2688be4] Op 03-04-2002 17:13 schreef opamax: Maar geen nood. We vorderen gestaag. Heb hier nu geleerd dat het in ieder geval NIET Linux moet zijn. Best al wel een stap. [/quote:dbf2688be4] Linux is zeker wel een optie. Veel sites op het internet draaien probleemloos Linux. Ook veel sites draaien Linux, maar worden platgelegd. Het is een kwestie van de juiste afwegingen maken. SuSE kan best als server gebruikt worden, maar je moet weten waarmee je bezig bent... Zorgen dat er geen onnodige daemons draaien, bijv. met nmap controleren of alleen de nodige poorten berijkbaar zijn enz. Bovendien moet je heel erg goed het beveiligingsnieuws in de gaten houden, want distro's als SuSE, Redhat e.d. hebben vaak beveiligingsproblemen in packages. Dat hoeven niet eens per se servergerelateerde packages te zijn (kijk maar naar de zlib/glibc malloc problem), maar ook onderliggende libraries of packages die lokale users root rechten kunnen geven, enz. Bij andere distro's kun je er gewoon beter op aan dat de instellingen veiliger zijn en de packages zijn vaak uitvoeriger getest. Jammer genoeg zijn deze distro's vaak gelijk ook wat moeilijker, ongeveer vergelijkbaar met FreeBSD (OpenBSD en NetBSD zijn veel moeilijker), maar zeer geschikt voor server gebruik. De namen hebben al vaak de revu gepaseerd, maar je kunt denken aan bijvoorbeeld Debian of Slackware.

[anoniem]

[quote:4ee04c39c5] Bij andere distro's kun je er gewoon beter op aan dat de instellingen veiliger zijn en de packages zijn vaak uitvoeriger getest. [/quote:4ee04c39c5] 'andere distro's' zijn dan de niet-linux ?? opamax

[anoniem]

"andere distro's" zijn oa: slackware, debian dus WEL linux (anders zou het geen distro heten, FreeBSD/OpenBSD/NetBSD hebben geen distro's... dat is ieder 1 systeem)

[anoniem]

[quote:57d6eb5f4f] . Ook veel sites draaien Linux, maar worden platgelegd. [/quote:57d6eb5f4f] Wat is dat, platgelegd ?? Is dan de site gekraakt ? Of niet meer beheersbaar ? enneuhh, en wat is een daemon ?? Die moeten er niet TE veel draaien. Kan het niet zonder ? opamax

[anoniem]

een daemon = een duiveltje :grin: je kunt niet zonder daemons, zonder kun je dmv telnet/ssh geen verbinding leggen. zonder werkt er geen website enz enz. alleen: sommige daemons zijn beter dan andere, ssh is beter dan telnet (beter=veiliger) ik weet niet wat danieldk met platleggen bedoeld

[anoniem]

[quote:105ba2f4f6] Op 04-04-2002 15:54 schreef opamax: [quote:105ba2f4f6] . Ook veel sites draaien Linux, maar worden platgelegd. [/quote:105ba2f4f6] Wat is dat, platgelegd ?? Is dan de site gekraakt ? Of niet meer beheersbaar ?[/quote:105ba2f4f6] De site is dan gekraakt neem ik aan. [quote:105ba2f4f6] enneuhh, en wat is een daemon ?? Die moeten er niet TE veel draaien. Kan het niet zonder ?[/quote:105ba2f4f6] daemons zijn programma's die op de achtergrond draaien. Deze daemons bieden diensten aan en luisteren vaak op bepaalde poorten. Bekende daemons zijn: telnet, inet, printerdaemons, Sendmail, Apache, PCMCIA, en nog vele anderen. Kijk in de map /etc/rc.d voor een lijsie van wat er zoal aan daemons opgestart kan worden. Sommige daemons kunnen voor beveiligingsproblemen zorgen. Telnet is een goed voorbeeld, als iemand er in slaagt om via telnet op je pc in te breken (wat schijnbaar nogal eenvoudig is), dan heeft die vrij spel, zeker als hij root-permissies weet te bemachtigen. De e-mailserver sendmail is in het verleden veel geplaagd door inbraken via beveiligingsgaten. Verder kun je leuk chatten met sendmail als je iemands ip kent.... Max

[anoniem]

[quote:45d16693a6] Op 04-04-2002 23:28 schreef maximilaan: Sommige daemons kunnen voor beveiligingsproblemen zorgen. Telnet is een goed voorbeeld, als iemand er in slaagt om via telnet op je pc in te breken (wat schijnbaar nogal eenvoudig is), dan heeft die vrij spel, zeker als hij root-permissies weet te bemachtigen. De e-mailserver sendmail is in het verleden veel geplaagd door inbraken via beveiligingsgaten. Verder kun je leuk chatten met sendmail als je iemands ip kent.... Max [/quote:45d16693a6] Wat een groot aantal daemons. En evenzoveel gevaren dus. Geven beveiligingsproblemen.. Kunnen die problemen verholpen worden ? opamax

[anoniem]

[quote:25d5bd8795] Op 03-04-2002 21:50 schreef wstolk: Heb je behoefte aan veiligheid doe dan zoveelmogelijk zelf. [/quote:25d5bd8795] Ja, heb behoefte aan veiligheid, maar wat is er dan allemaal zelf te doen ??? opamax

[anoniem]

[quote:c356f6c7fe] Op 03-04-2002 21:50 schreef wstolk: Heb je een apparte file/printserver-router/firewall ga dan voor een BSD systeem. [/quote:c356f6c7fe] heb 2 machines beschikbaar, zeg A en B A zou kunnen dienen als server, NIET gekoppeld aan Novell, wel gekoppeld aan internet (kabel), kan in de "muurkast" en heeft geen monitor en toetsenbord nodig (toch ?) Op deze pc uitsluitend FreeBSD ?? Dus geen ander OS? B zou kunnen dienen als 'werk'-pc (ontwikkelen, testen etc) is gekoppeld aan A en ook aan Novell. Heeft beschikbaar de netwerk printer PLUS een EIGEN printer/ scanner/copier/fax. Op deze machine zou dan Suse kunnen draaien ?? naast bijv WinME ?? Wat is het idee van de specialisten ?? opamax

[anoniem]

[quote:08bcdc31cd] [/quote:08bcdc31cd] [ Dit bericht is bewerkt door: opamax op 2002-04-05 15:20 ]

[anoniem]

[quote:dd15dc5a96] Op 05-04-2002 14:40 schreef opamax: Wat een groot aantal daemons. En evenzoveel gevaren dus. Geven beveiligingsproblemen.. Kunnen die problemen verholpen worden ? opamax [/quote:dd15dc5a96]Yep, verwijder of deactiveer die daemons die je niet nodig hebt, bekijk de daemons die je wilt gebruiken kritisch, en vervang ze eventueel door veligere varianten. zorg er voor dat de daemons goed geconfigureerd zijn en check regelmatig de site van je distro ivm beveiligingsupdates e.d. voorbeelden van het vervangen van daemons: sendmail -> wordt gebruikt als mailserver. postfix -> idem, maar staat bekend als veiliger. telnet server-> om op afstand te kunnen inloggen ssh daemon -> idem, maar een wereld van verschil tav veiligheid. Max [ Dit bericht is bewerkt door: maximilaan op 2002-04-05 22:58 ]

[anoniem]

[quote:569969e441] Op 05-04-2002 14:46 schreef opamax: Ja, heb behoefte aan veiligheid, maar wat is er dan allemaal zelf te doen ??? opamax [/quote:569969e441] simpel, je kunt alles aan wizards e.d. overlaten, of zelf de mouwen op stropen en het betreffende systeem gehele handmatig, door het editten van configuratiebestanden e.d. instellen. Als je echte veiligheid wilt vertrouw je dus niet op die automatica zoals de SuSE firewall, maar stel je zelf alles in. Max

[anoniem]

[quote:cca9701d92] Op 05-04-2002 22:56 schreef maximilaan: voorbeelden van het vervangen van daemons: sendmail -> wordt gebruikt als mailserver. postfix -> idem, maar staat bekend als veiliger. telnet server-> om op afstand te kunnen inloggen ssh daemon -> idem, maar een wereld van verschil tav veiligheid. Max [/quote:cca9701d92] vooral ook: vervang de initd door niets of door xinitd

[anoniem]

[quote:90040e40b2] Op 05-04-2002 22:56 schreef maximilaan: telnet server-> om op afstand te kunnen inloggen ssh daemon -> idem, maar een wereld van verschil tav veiligheid. </font> [/quote:90040e40b2] En dat is zelfs een understatement. Telnet zend alles in clear text. SSH doet eerst een key-exchange met een assymmetrische cipher (asym. ciphers gebruiken public en private keys, dus je weet zeker dat alleen de host waar de sleutel naartoe gestuurt wordt de sleutel kan lezen), vervolgens vind alle gegevensuitwisseling, inclusief wachtwoorden, gecodeerd plaats via een symmetrische cipher. Het voordeel is dat je verschillende ciphers kunt gebruiken als je wilt. Bovendien ondersteunen de nieuwste OpenSSH versies "privlege seperation", waardoor OpenSSH in 2 delen is opgedeelt; een "master-daemon" met priviles en deze kan een unprivileged (d.w.z. niet met SUID, dus normale gebruiker) deel opstarten die een connectie afhandelt. Het voordeel hiervan is dat bij een eventuele bug in OpenSSH de kans op root rechten een fractie is van dat van normale SSH daemons. Dat was weer de achtergrondinformatie voor vandaag... Probeer ook ander verkeer (bijv. Webmin, IMAP, etc.) gecodeerd te laten verlopen (via SSL). En zoals Maximilaan al zei, draai alleen de noodzakelijke daemons, configureer ze goed en controleer af en toe of er beveiligingsfouten zijn gevonden (over het algemeen in de distro).

[anoniem]

[quote:835c8acc6d] Op 05-04-2002 23:15 schreef Mithrandir: [quote:835c8acc6d] Op 05-04-2002 22:56 schreef maximilaan: voorbeelden van het vervangen van daemons: [/quote:835c8acc6d] vooral ook: vervang de initd door niets of door xinitd [/quote:835c8acc6d] init.d is dat de sub-dir (van /etc) waar de daemons staan ? Kun je dan die hele groep verwijderen ? opamax

[anoniem]

[quote:44ade662cd] Op 05-04-2002 23:01 schreef maximilaan: [quote:44ade662cd] Op 05-04-2002 14:46 schreef opamax: Ja, heb behoefte aan veiligheid, maar wat is er dan allemaal zelf te doen ??? opamax [/quote:44ade662cd] simpel, je kunt alles aan wizards e.d. overlaten, of zelf de mouwen op stropen en het betreffende systeem gehele handmatig, door het editten van configuratiebestanden e.d. instellen. Als je echte veiligheid wilt vertrouw je dus niet op die automatica zoals de SuSE firewall, maar stel je zelf alles in. Max [/quote:44ade662cd] OK, opteer voor veiligheid en dus alles zelf doen. Ergens een handleiding beschikbaar ?? btw; hierboven staat 2x een bericht (hetzelfde) waarop ik wilde reageren. Na het invullen van het wachtwoord heb ik op ENTER gedrukt, was het helemaal kwijt en zag later waar het was terechtgekomen. Zal -uiteraard- proberen dat niet weer te doen. Staan nu wel overbodige berichten(en ruimte). Zou jij die wissen ?? Vriendelijk dank. opamax

[anoniem]

[quote:cbde064a23] Op 06-04-2002 19:22 schreef opamax: [quote:cbde064a23] Op 05-04-2002 23:15 schreef Mithrandir: [quote:cbde064a23] Op 05-04-2002 22:56 schreef maximilaan: voorbeelden van het vervangen van daemons: [/quote:cbde064a23] vooral ook: vervang de initd door niets of door xinitd [/quote:cbde064a23] init.d is dat de sub-dir (van /etc) waar de daemons staan ? Kun je dan die hele groep verwijderen ? opamax [/quote:cbde064a23] SRY nee dat was een typefout. je moet de in[b:cbde064a23]e[/b:cbde064a23]td vervangen door de xin[b:cbde064a23]e[/b:cbde064a23]td blijf alsjeblieft van de init dingen af... zonder wil je systeem niet starten. inetd is een daemon die 'luistert' of er op je netwerk-interface een aanvraag gedaan wordt voor telnet/ssh/finger/enz als dat zo is dan start inetd de benodigde daemon. dit heeft als groot voordeel dat je daemons niet voortdurend 'in de lucht' zijn. dat bespaart weer geheugen en zo. xinetd is een grote uitbreiding op inetd. xinetd maakt het mogelijk om - als je twee netwerkkaarten/ip-adressen hebt op je pc - telnet via het ene ip wel maar via het andere niet toe te staan. verder zijn er dacht ik nog wat voordelen, maar dat weet ik allemaal niet meer/nog niet precies. komt later :grin:

[anoniem]

[quote:8aea4af624] Op 06-04-2002 21:06 schreef Mithrandir: xinetd is een grote uitbreiding op inetd. xinetd maakt het mogelijk om - als je twee netwerkkaarten/ip-adressen hebt op je pc - telnet via het ene ip wel maar via het andere niet toe te staan. [/quote:8aea4af624] Dat kan ook met iptables + normaal inetd.