go-linux.info

 Start

1. Überblick
 Was ist Linux?
 Programme
 Security
 Root
 Dienste konfigurieren
 Paketfilter
 Encryption
 kmail+gnupg

2. Arbeiten mit Linux
 Einleitung
 Grundlagen
 Berechtigungskonzept
 Textbearbeitung
 Was ist eine Shell?
 Prozesse / Jobs

3. Anwendungen Shell
 Einleitung
 Die Kommandozeile
 Systemverwaltung
 Netzwerk
 Dateien
 Multimedia

4. Look and Feel
 Einleitung
 Windowmanager
 Desktop Environments


Start arrow Security arrow Dienste konfigurieren
Dienste konfigurieren   PDF  Drucken 
Konfiguration der Dienste

Wenn ihr unserem Ratschlag befolgt habt, bei der Installation keine Dienste einzurichten (wie z.B. Apache, einem Webserver, oder sendmail, einem email-Server), muß hier gar nicht mehr viel getan werden. Der Sinn einer Workstation- statt einer Serverinstallation ist also vor allem Bequemlichkeit. Wenn man keinen Server einrichten will, muß man bei einer Server-Installation alle Dienste nachher abschalten, die man ja gar nicht anbieten will. Das kann man natürlich, aber besser ist es (man übersieht bei dieser Prozedur nämlich garantiert irgendwas) diese Dienste erst gar nicht einzurichten.

Aber auch wenn ihr das getan habt: Vertrauen ist gut, Kontrolle ist besser. Schauen wir also einmal nach!

Aber zunächst mal lernen wir ein kleines Tool kennen, das unheimlich praktisch für alles nachfolgende ist. Alle, die den NC kennen, kommen damit auf Anhieb zurecht. Und schneller als der Konqueror ist er allemal, also überaus nützlich für die nächsten Aufgaben. Also: Shell starten, mc eingeben.


Kernel 2.2.x

Bei älteren Systemen (Kernel bis 2.2.x) werden die meisten gestarteten Dienste über die Datei /etc/inetd.conf konfiguriert. Wenn ihr sie gefunden habt, klickt "Edit" (F4 bei mc -- in jedem Fall sollte Root-Login? notwendig sein, also vorher einloggen!).

Dann: Wenn ihr keinen Server einrichten wollt, kommentiert alle Einträge aus (#).

ALLE!


Kernel 2.4.x

Bei neueren Systemen ist das ein wenig anders. Viele Dienste werden von der Datei /etc/xinetd.conf kontrolliert, die aber oft nur das Verzeichnis /etc/xinet.d aufruft. Wir könnten jetzt mit mc in dieses Verzeichnis wechseln, alle Dateien nacheinander öffnen, und 'disable=yes' eingeben, aber oft geht es einfacher und übersichtlicher.

Ein schönes Beispiel dafür ist das Kontrollzentrum von Mandrake 9.x. (Mandriva) Öffnet man es, und wechselt in den Ordner System/DrakXServices, werden alle verfügbaren Dienste aufgelistet. Gleichzeitig hat man die Option, diese Dienste zu starten oder zu stoppen, sowie festzulegen, ob diese beim Start des Sytems gestartet werden. Auch andere Distributionen bieten diese Möglichkeit.

Eine andere und allgemeingültigere Lösung ist der Einsatz eines RunLevel-Editors wie z.B. ksysv, der sogar die Möglichkeit bietet, für alle Runlevels die zu startenden und anzuhaltenden Dienste einzustellen.

Wie immer bei Linux lassen sich all diese Einstellungen auch direkt an der Kommandozeile vornehmen. Die Verzeichnisse /etc/xinit.d sowie /etc/rc.d sind hierfür die wichtigsten Anlaufspunkte. Dazu jedoch später.


Der X-Server

Ein Service läuft aber immer noch, nämlich der Xserver (Port 6000). Um auch diesen auszuschalten, öffnet sowohl /etc/X11/xdm/Xservers als auch /usr/X11R6/bin/startx und tragt dort ein

:0 local /bin/nice -n -10 /usr/X11R6/bin/X -nolisten tcp -deferglyphs 16

(d.h. ergänzt die bestehende Zeile um -nolisten tcp wie oben angegeben).

Cups

Bei der Installation von Mandriva (Mandrake)-Linux mit dem Druckdienst CUPS ist Port 631/tcp ipp zum WAN hin meist offen (dies kann von Distribution zu Distribution variieren, sollte aber dennoch überprüft werden). Dieser Port ist daraufhin auf allen Netzwerkinterfaces verfügbar und sollte bei einer lokalen Installation abgeschaltet werden. Die Lösung ist in /etc/cups/cupsd.conf zu finden. Dort sollte man die Zeile Listen Port 631 suchen und durch Listen 127.0.0.1:631 ersetzen. Port 631/tcp ipp ist dann nur über Localhost verfügbar und kann nicht von außen komprimitiert werden.

Nach einem Neustart von CUPS sollte die Ausgabe von netstat -l folgendes...

bash-2.05b$ netstat -l

Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:ipp *:* LISTEN

ausgeben.

tmdns

kann bei Installationen auf "Workstations" die allenfalls als Client im Internet agieren deaktiviert werden. Tmdns ist ein DNS-Responder für Linux.

portmap (RPC)

wird nur benötigt wenn Freigaben über die Protokolle nfs (Network File System) bzw. nsi (Network Service Interface) auf anderen Rechnern über das Netzwerk genutzt werden sollen. Ist dies nicht der Fall, sollte portmap deaktiviert werden.

netfs

mountet beim Start automatisch alle Netwerk-Dateisysteme . Dies können z.B. NFS-Freigaben, Samba-Freigaben (SMB) auf anderen Rechnern in einem Netzwerk sein. Ist der Rechner nicht in einem Netzwerk eingebunden was über NFS oder Samba Daten austauscht, sollte der Dienst deaktiviert werden.

webmin

ist ein Remote-Konfigurationswerkzeug mit dem sich konfortabel die verschiedensten Dienste auf einem entfernten Rechner über ein Webinterface steuern lassen. Hier gilt wieder der Grundsatz: Wenn der Dienst nicht benötigt wird sollte er deaktiviert werden.




 


Miro International Pty Ltd. ©2000 - 2003 All rights reserved.
Mambo Open Source is Free Software released under the GNU/GPL License.
Powered by Mambo Open Source