Linux UUCP HOWTO: Sicherheit

15. Sicherheit

Es gibt ein paar wichtige Dinge, die Sie beachten sollten, wenn Sie ein UUCP-System betreiben. Die meisten dieser Tips beziehen sich auf Dateirechte. Lesen Sie die Manual Page zu chmod und chown, um die Rechte anzupassen.

15.1 UUCP

Die Dateien im UUCP-Verzeichnis müssen teilweise allgemein zugänglich sein, z.B. damit der Sendmail Mails zustellen kann. Andere Dateien sollten allerdings nur vom User uucp aus der Gruppe uucp lesbar sein, da Paßwörter enhalten sind. Die Dateien passwd und call enthalten Paßwörter.

Hier eine sichere Konfiguration:


/etc/uucp > ls -l
-r--r-----   1 uucp     uucp          161 Oct  2 20:14 call
-rw-r-----   1 uucp     uucp          120 May 23 23:58 config
-rw-r-----   1 uucp     uucp          724 May 23 23:58 dial
-rw-r-----   1 uucp     uucp           18 Oct  2 20:24 passwd
-rw-r-----   1 uucp     uucp          162 May 23 23:58 port
-rw-r--r--   1 uucp     uucp         3027 Oct  2 20:22 sys

15.2 INN (1.x und 2.x)

Der INN ermöglicht eine Paßwortabfrage beim Zugang zum Server. Wenn die Paßwörter, die im Klartext gespeichert werden, für alle frei zugänglich sind, bringt der Schutz nicht sehr viel. Setzen Sie die Rechte für die Datei nnrp.access, in der die Daten gespeichert sind, also entsprechend:


/etc/news > ls -l nnrp.access 
-rw-r-----   1 news     news         1293 Sep 17 10:41 nnrp.access

15.3 Sendmail

Die Konfigurationsdateinen des Sendmail dürfen von allen gelesen werden, allerdings nur von root geändert werden:


/etc > ls -l sendmail.cf
-rw-r--r--   1 root     root        30910 Oct  2 17:20 sendmail.cf
/etc/mail > ls -l
lrwxrwxrwx   1 root     root           10 May 23 13:01 aliases -> ../aliases
-rw-r--r--   1 root     root           85 Jan 20  1999 genericstable
-rw-r--r--   1 root     root        16384 May 23 11:19 genericstable.db
-rw-r--r--   1 root     root         8137 Jan 20  1999 linux.mc
-rw-r--r--   1 root     root          166 Jan 20  1999 linux.nullclient.mc
-rw-r--r--   1 root     root         1536 Oct  2 17:32 mailertable
-rw-r--r--   1 root     root        16384 Oct  2 17:33 mailertable.db
-rw-r--r--   1 root     root          267 Jan 20  1999 userdb
-rw-r--r--   1 root     root            0 May 23 11:19 userdb.db
-rw-r--r--   1 root     root           73 Jan 20  1999 virtusertable
-rw-r--r--   1 root     root        16384 May 23 11:19 virtusertable.db

15.4 Sicherheitsprobleme bei SSH-Tunneln

SSH-Tunnel werden genutzt, um UUCP über IP sicherer zu machen. Damit es keine Probleme bei der Paßwortabfrage gibt, wird ein Public Key erzeugt. Mehr dazu finden Sie im anschliessenden Kapitel. Dieser Public Key ersetzt das Paßwort. Sie können sich nach Kopieren des Keys auf einen anderen Rechner auf diesem per ssh einloggen, ohne ein Paßwort eingeben zu müssen. Dies hat auch Nachteile. Wenn jemand Ihren Arbeitsplatzrechner gehackt hat und Ihren lokalen Account nutzen kann, kann dieser sich ebenfalls ohne Paßwort auf dem anderen Rechner einloggen. Wenn Sie den SSH-Tunnel nutzen, besteht die Möglichkeit, daß ein Angreifer sich bei Ihrem Provider mit Ihrem Shell-Account einloggen kann. Wenn Sie Ihren Rechner per Firewall oder setzen von sicheren Paßwörtern sicher gemacht haben, ist diese Lücke meiner Meinung nach allerdings zu vernachlässigen.