Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
tipps_und_tricks [2009/08/12 14:45] flacco |
tipps_und_tricks [2009/08/29 09:36] flacco |
||
|---|---|---|---|
| Zeile 12: | Zeile 12: | ||
| Das hat zwei Gründe: | Das hat zwei Gründe: | ||
| - | - Die smbclient-Methode funktioniert nicht, weil der PTY-Support in PHP seit einiger Zeit nicht mehr aktiviert ist. Dies zu lösen würde bedeuten PHP selbst neu zu übersetzen. Das wurde hier schon mehrfach diskutiert und stellt definitiv keine Lösung dar!!!! | + | - Die smbclient-Methode funktioniert nicht, weil der PTY-Support in PHP seit einiger Zeit nicht mehr aktiviert ist. Dies zu lösen würde bedeuten PHP selbst neu zu übersetzen. Das wurde im Group-e Forum schon mehrfach diskutiert und stellt definitiv keine Lösung dar!!!! |
| - | - Die smbmount Methode funktioniert nicht, da smbmount schlicht in openSUSE nicht mehr enthalten ist. (Dürfte bei anderen Distris möglicherweise auch schon so sein) smbmount bzw. smbfs wird nicht mehr wirklich gepflegt. Als Ersatz ist das Paket cifs-mount mit den Kommandos mount.cifs und umount.cifs enthalten. | + | - Die smbmount-Methode funktioniert nicht, da //**smbmount**// schlicht in openSUSE nicht mehr enthalten ist. (Dürfte bei anderen Distris möglicherweise auch schon so sein) //**smbmount**// bzw. smbfs wird nicht mehr wirklich gepflegt. Als Ersatz ist das Paket cifs-mount mit den Kommandos //**mount.cifs**// und //**umount.cifs**// enthalten. |
| - | Im Gegensatz zu den alten Kommandos smbmount und smbumount ist bei den neuen aus Sicherheitsgründen das SUID-Bit nicht gesetzt. | + | Im Gegensatz zu den alten Kommandos //**smbmount**// und //**smbumount**// ist bei den neuen aus Sicherheitsgründen das SUID-Bit nicht gesetzt. |
| Um diese Kommandos für group-e nutzbar zu machen muss zunächst allen Sicherheitsbedenken zum Trotz das SUID-Bit für beide Kommandos gesetzt werden: | Um diese Kommandos für group-e nutzbar zu machen muss zunächst allen Sicherheitsbedenken zum Trotz das SUID-Bit für beide Kommandos gesetzt werden: | ||
| Zeile 49: | Zeile 49: | ||
| ===== Nein Danke Zensursula ===== | ===== Nein Danke Zensursula ===== | ||
| - | Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserverabfragen nicht von "manipulierten" Namesevern beantwortet werden, kann dies durch Ändern der "forwarders" in der bind-Konfiguration umgehen. | + | **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** |
| + | Ab Oktober 2009 soll das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft treten. Da dieses Gesetzt, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei geht und allenfalls eine Zensurinfrastruktur im Internet etabliert, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Möglicherweise hilft das ja dabei die Wirkungslosigkeit dieses Gesetzes zu verdeutlichen. | ||
| + | |||
| + | Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserverabfragen nicht von "manipulierten" Nameservern beantwortet werden, kann dies durch Ändern der "forwarders" in der bind-Konfiguration umgehen. | ||
| + | |||
| + | Ändern Sie einfach in der Datei "/etc/named.conf" die Einträge hinter "forwarders": | ||
| + | |||
| + | <code> # The forwarders record contains a list of servers to which queries | ||
| + | # should be forwarded. Enable this line and modify the IP address to | ||
| + | # your provider's name server. Up to three servers may be listed. | ||
| + | # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS | ||
| + | # zu erweitern. | ||
| + | |||
| + | forwarders { 194.25.2.129; 192.168.178.1; }; | ||
| + | |||
| + | # Enable the next entry to prefer usage of the name server declared in | ||
| + | # the forwarders section. | ||
| + | |||
| + | forward first; | ||
| + | </code> | ||
| + | |||
| + | Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) bis zu drei Nameserver aus der unter [[http://www.ungefiltert-surfen.de]] zu findenden Liste ein und starten Sie **//bind//** mit: | ||
| + | |||
| + | <code> | ||
| + | Kommandozeile: /etc/init.d/named restart | ||
| + | </code> | ||
| + | |||
| + | neu. | ||
| + | |||
| + | ===== Deeplinks verhindern ===== | ||
| + | Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch über direkte Eingabe der Zieladresse ohne Umweg über das invis Portal erreicht werden. | ||
| + | |||
| + | Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /etc/apache2/vhosts.d/i7ssl.conf erweitert werden. | ||
| + | |||
| + | Tragen Sie dort für jede Applikation die nicht direkt angesprochen werden soll folgenden Eintrag ein: | ||
| + | |||
| + | <code> | ||
| + | # Deeplinks verhindern | ||
| + | <Directory /srv/www/htdocs/phpMyAdmin> | ||
| + | SetEnvIfNoCase Referer "^http://invis.invis-net.loc" dontblock | ||
| + | SetEnvIfNoCase Referer "^https://your.dyndns-domain.net" dontblock | ||
| + | Order Deny,Allow | ||
| + | Deny from all | ||
| + | Allow from env=dontblock | ||
| + | </Directory> | ||
| + | </code> | ||
| + | |||
| + | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. | ||