|
Beveiliging: bel altijd in als gebruiker, nooit als root |
Het is onverstandig om op een Linux systeem als root te werken.
Het root account is slechts bedoeld voor systeembeheer. Een systeembeheerder is iemand die het systeem voor de gebruikers instelt: denk aan zaken als programma's en hardware installeren, backups maken en gebruikersbeheer.
Als root kunt u uw systeem onherstelbaar beschadigen. Als gebruiker zelden of nooit. Een door een gebruiker gestart programma heeft slechts een beperkte toegang tot hardware, mappen en bestanden. De macht van een door een root gestart programma is in principe ongelimiteerd. Programma's als kppp die met het SUID bit gestart worden (d.w.z. tijdelijk rootrechten krijgen hoewel ze opgestart zijn door gebruikers) moet u dan ook kritisch bekijken. In het geval van een inbelprogramma (die de pppd deamon moet activeren) is het onvermijdelijk, maar voor spelletjes in het alfa stadium van ontwikkeling is het beslist verkeerd.
Virussen, Trojaanse paarden en wormen die u via het internet binnenhaalt kunnen alleen maar grote schade aanrichten als u ze als root binnenhaalt en later benadert als root (of het SUID bit geeft). Onder Linux kan alleen een als root gestart virus de bootsector of de header van een ander programma beschrijven. Dit is een van de redenen dat er geen "succesvolle" virussen voor Linux en UNIX zijn geschreven.
Vooral indringers van buiten (via het netwerk/internet) kunnen grote schade aanrichten als ze uw root account kraken. Hierbij moet u beseffen dat een Linux systeem vrijwel altijd als server dienst doet. Niet alleen voor u, maar ook voor anderen die het systeem via het netwerk en/of internet benaderen. Op de achtergrond lopende daemonen (telnetd, ftpd, sendmail) kunnen ongemerkt het doelwit zijn van hackers. U merkt er weinig van, want Linux is ontworpen om door meerdere gebruikers tegelijkertijd gebruikt te worden. Linux' multi-user functie is transparant.
Om die reden heeft het sterk de voorkeur om als gebruiker in te bellen. Zeker als u veel online bent met ICQ achtige programma's of spelletjes als Quake en Doom. In Als gebruiker internetten wordt het inbellen als gebruiker nader toegelicht.
POP 3 (Post Office Protocol versie 3) is een protocol voor het ophalen van e-mail. Een eenmaal ingesteld POP 3 mail adres is onder Linux te gebruiken. U moet uw mail-only POP 3 account echter eenmalig onder Windows instellen, omdat er geen RPA software ("Virtual Key") voor Linux is. In uw mail client (bijv. Netscape Messenger) stelt u als POP3-Server pop.compuserve.com in. Uitgaande post verstuurt u gewoon naar smtp.compuserve.com.
De Internet deamon (inetd) moet in /etc/inetd.conf een ingang voor POP 3 hebben. Het programma fetchmail kan de POP 3 post ophalen.
De nieuwsserver sendmail is op de meeste Linux distributies standaard al geactiveerd om de post tussen de gebruikers te verdelen. Sendmail kan op een netwerk ook worden gebruikt om de onder Linux opgehaalde post op een Windows client (bijv. Outlook) te ontvangen. Outlook, Notes of Netscape gebruiken dan als SMTP en POP 3 servers het IP adres van de Linux machine.
Als u uw mail met Netscape ontvangt, bestaat de mogelijkheid om de mail directory op een zowel voor Windows, OS/2 of Linux toegankelijke directory te plaatsen. Hetzelfde geldt voor het BOOKMARK.HTM. Onder Netscape Communicator heet deze overigens bookmarks.html. Ik heb hem hernoemd en een symlink met de oude naam naar mnt/.../netscape/bookmark.htm op een vFAT partitie gemaakt in de verborgen .netscape/ directory. De symlink kunt u ook naar uw gebruikersdirectories (/home/gebruiker/.netscape/) kopieren. Maak de symlink dan wel met toegankelijk met chmod (kan o.a. via de file opties van de mc).
ln -s /mnt/...netscape/bookmark.htm bookmarks.html
Als u Netscape zowel gebruikt als root en gebruiker (hier sjoerd) kunt u evenzogoed een bookmarks.html gebruiken. Met de volgende commando's in /root/.netscape hernoemt u de bookmarks.html in bookmarks.old en zorgt u ervoor dat Netscape de bookmarks.html uit uw home directory gaat gebruiken.
cd /
cd /root/.netscape
mv bookmarks.html bookmarks.old (mv = verplaatsen of hier hernoemen)
ln /home/sjoerd/.netscape/bookmarks.html bookmarks.html (ln = een harde link maken)
Deze commando's zijn alleen uit te voeren als root. Als de /home directory zich op een andere partitie bevindt als de root directory, moet u een softlink (ln -s bestand bestand) aanmaken.
Mensen die alleen met iconen werken vergeten nog wel eens dat Netscape een programma is met vele opstartopties. Vandaar dat ik ze nog, maar eens toon. U kunt ze onder Properties /Exceute/Uitvoeren in de kde link invoeren.
sjoerd@visser:~ > netscape -help
Netscape 4.7/Fortify 15-Sep-99; (c) 1995-1998 Netscape Communications Corp.
usage: netscape [ options ... ] where options include:
-help to show this message.
-version to show the version number and build date.
-display <dpy> to specify the X server to use.
-geometry =WxH+X+Y to position and size the window.
-visual <id-or-number> to use a specific server visual.
-install to install a private colormap.
-no-install to use the default colormap.
-ncols <N> when not using -install, set the maximum number of colors to allocate for images.
-mono to force 1-bit-deep image display.
-iconic to start up iconified.
-xrm <resource-spec> to set a specific X resource.
-remote <remote-command> to execute a command in an already-running Netscape process. For more info, see http://home.netscape.com/newsref/std/x-remote.html
-id <window-id> the id of an X window to which the -remote commands should be sent; if unspecified, the first window found will be used.
-raise whether following -remote commands should cause the window to raise itself to the top
(this is the default.)
-noraise the opposite of -raise: following -remote commands will not auto-raise the window.
-nethelp Show nethelp. Requires nethelp: URL.
-dont-force-window-stacking Ignore the alwaysraised, alwayslowered and z-lock JavaScript window.open() attributes.
-no-about-splash Bypass the startup license page.
-no-session-management
-session-management Netscape supports session management by default. Use these flags to force it on/off.
-no-irix-session-management
-irix-session-management Different platforms deal with session management in fundamentally different ways. Use these flags if you experience session management problems. IRIX session management is on by default only on SGI systems. It is also available on other platforms and might work with session managers other than the IRIX desktop.
-dont-save-geometry-prefs Don't save window geometry for session.
-ignore-geometry-prefs Ignore saved window geometry for session.
-component-bar Show only the Component Bar.
-composer Open all command line URLs in Composer.
-edit Same as -composer.
-messenger Show Messenger Mailbox (INBOX).
-mail Same as -messenger.
-discussions Show Collabra Discussions.
-news Same as -discussions.
Arguments which are not switches are interpreted as either files or URLs to be loaded.
Voor degenen die CompuServe met een ander inbelprogramma dan kppp proberen te benaderen: hier een uitgangspunt voor een ppp-up script .
Verbind met een CompuServe inbelnummer.
Send: "^M"
Receive: "Host Name:"
Send: CIS^M
Receive: "User ID:"
Send "106300,2670/NOINT/PPP:CISPPP^M"
Receive: "Password:"
Send: "uw wachtwoord^M"
Receive: "PPP:"
"^M" is de Carriage Return / Line Feed toets waarmee een regel beeindigd wordt. De eerste regel verstuurd net als in het kppp script dus een lege string.
Voor Teles ISDN kaarten wordt kisdn aanbevolen.
Het bestand /etc/ppp/options bevat instellingen voor de ppp verbinding. De opties worden voorafgegaan door een toelichting. De met # gemerkte regels zijn opmerkingen (de REM(ark) onder DOS) of gedeactiveerde opties.
Door het laatste # teken weg te halen bewerkstelligt u dat de optie geactiveerd wordt (als Kppp dat al niet heeft gedaan). Het weghalen van de eerste # (die van de toelichting) resulteert natuurlijk in een foutmelding.
Verandert u dus:
# Specifies that pppd should disconnect if the link is idle for n seconds.
#idle 600
in:
# Specifies that pppd should disconnect if the link is idle for n seconds.
Idle 300
dan sluit de pppd daemon de verbinding af als er gedurende 5 minuten (300 s) niets is gebeurd. Dit kan u veel telefoontikken besparen.
|
Domain IP address |
198.4.6.2 |
|
DNS server (primary) |
149.174.211.5 |
|
DNS server (secondary) |
149.174.213.5 |
|
SMTP server (simple mail tranfer protocol server) voor het versturen van post |
smtp.compuserve.com |
|
POP3 server (ophalen van post) |
pop.compuserve.com |
|
NNTP server (nieuwsgroep server), hiervoor is geen aanmelding vereist. |
news.compuserve.com |
De Domain Name Servers (DNS) stonden onder Linux traditiegetrouw in /etc/resolv.conf vermeld. Maar kppp heeft de instellingen van dat bestand normaal niet nodig. U voert ze voor kppp in onder de DNS tab van de Account instellingen. Tijdens een internetverbinding voegt kppp ze dynamisch in het bestand /etc/resolv.conf in (Tenzij u "Disable existing DNS Servers during Connection" aan had gezet.).
Zie het voorbeeld hieronder waar kppp tijdelijk de compuserve nameserve aan die van Demon toevoegt .
|
/etc/resolv.conf |
En wat kpp er tijdens een internet sessie onder CompuServe ermee doet |
|---|---|
|
# # /etc/resolv.conf # # Automatically generated by SuSEconfig on Sat Apr 22 05:45:10 CEST 2000. # # PLEASE DO NOT EDIT THIS FILE! # # Change variables (NAMESERVER + SEARCHLIST) in /etc/rc.config instead. # # search visser.thuis nameserver 192.168.1.10 nameserver 194.159.73.136 |
domain compuserve.com #kppp temp entry # # /etc/resolv.conf # # Automatically generated by SuSEconfig on Sat Apr 22 05:45:10 CEST 2000. # # PLEASE DO NOT EDIT THIS FILE! # # Change variables (NAMESERVER + SEARCHLIST) in /etc/rc.config instead. # search visser.thuis nameserver 192.168.1.10 nameserver 194.159.73.136 nameserver 149.174.211.5 #kppp temp entry |
Overigens kunnen andere programma's wel expliciete nameserver (DNS) ingang vereisen: de WWWoffle proxy bijvoorbeeld! U voert ze in met een configuratietool als yast (SuSE).
Met telnet kunt u inloggen op een ander computer. Maar omdat uw PC onder Linux altijd in een multi-user omgeving draait, kunt u ook via de internet deamon inloggen.
sjoerd@visser:~ > telnet -- help
usage: telnet [-l user] [-a] host-name [port]
De kortste optie is telnet naam@domein. Voor domein kunt u natuurlijk ook het IP nummer van uw computer opgeven. Of als u naar uzelf inbelt en de computernaam niet weet: gewoon"localhost".
sjoerd@visser:~ > telnet visser
Trying 127.0.0.2...
Connected to visser.here.
Escape character is '^]'.
Welcome to SuSE Linux 6.1 (i386) - Kernel 2.2.10 (ttyp0).
visser login:
U kunt nu inloggen op uw eigen computer:
visser login: root
Password:
Login incorrect
De "remote login" voor root heb ik uit veiligheidsoverwegingen uitgezet. Als ik met Demon het internet op ga heb ik een vast IP nummer. Ik wil niet hebben dat iemand die weet dat ik op het internet ben (met ping host) een kans maakt om in te loggen als root.
visser login: sjoerd
Password:
Have a lot of fun...
Last login: Wed Dec 8 19:55:08 on tty1.
No mail.
If God is perfect, why did He create discontinuous functions?
sjoerd@visser:~ >
Wie nu een ls geeft weet wat ik in mijn home directory bewaar (en kan het zelfs wissen met rm).
sjoerd@visser:~ > ls
01.html emu10k1-0.3b.tar.gz
etc, etc
sjoerd@visser:~ > logout
Connection closed by foreign host.
Zo iemand kan in het kppp configuratiebestand (~/.kde/share/config/kppprc) het wachtwoord voor uw ISP inzien.
De les:
Verander wachtwoorden regelmatig.
Gebruik verschillende wachtwoorden voor verschillende doeleinden.
Stringente bestandspermissies zijn echt een must!
Installeer het pakket Secure Shell (ssh)
Met Classic CompuServe het internet opgegaan.
Nieuw: Aangepast script, modem Lock problemen onder SuSE beschreven, CS2000 waarschuwing.
Expect regels verwijderd uit script.
De inlogproceduren (Kppp instellen) is niet wezenlijk veranderd. Deze is opnieuw getest en goed bevonden. Wel kwamen er waarschuwingen voor de kppp van KDE versie 1.1.1.
Geheel gemaakt met StarOffice: Frames en meer plaatjes ingevoerd. Er is een No-frames versie voor Lynx en KFM .
De laatste (ontwikkelings)versie is te vinden op het internet onder http://www.sjoerd-visser.demon.nl/cis/
Het maakt onderdeel uit van een groter project: Meerdere besturingssystemen op de PC.
Meer achtergrondinformatie over Linux en het internet. Linux gebruikers willen doorgaans weten waarmee ze bezig zijn.
Een handleiding voor de installatie van de good old OLR Tapcis onder bijv. Caldera's DrDos en Linux/GNU's DOSEMU. Hiervan zouden classic gebruikers enorm van kunnen profiteren.
Succes en veel plezier met Linux!
Deze tekst mag niet worden gewijzigd, vermenigvuldigd of voor commerciële doeleinden gebruikt worden zonder toestemming van de auteur. © Sjoerd Visser (2000).