| Kapitel 6. Netzwerkapplikationen | ||
|---|---|---|
 |
 |
|
| Kapitel 6. Netzwerkapplikationen | ||
|---|---|---|
| |
|
|
Inhaltsverzeichnis
Nach dem Aufbau der Netzwerkverbindung (laut Kapitel 5, Netzwerkkonfiguration) können Sie verschiedenste Netzwerkapplikationen nutzen.
![[Tipp]](images/tip.png)
|
Tipp |
|---|---|
|
Bezüglich einer aktuellen Anleitung für Debian zum Thema Netzwerk-Infrastruktur lesen Sie das Debian Administratorhandbuch — Netzwerk-Infrastruktur. |
|
|
Tipp |
|---|---|
|
Falls Sie "2-Schritt-Verifizierung" aktiviert haben, müssen Sie bei manchen Internet-Providern ein Anwendungspasswort beziehen, um aus Ihrem Anwendungsprogramm Zugriff auf POP- und SMTP-Dienste zu erhalten. Auch kann es erforderlich sein, dass Sie im voraus Ihre Host-IP-Adresse bestätigen müssen. |
Es gibt viele Webbrowser-Pakete, um über das Hypertext Transfer Protocol (HTTP-Protokoll) auf ferne Inhalte zuzugreifen:
Tabelle 6.1. Liste der Webbrowser
| Paket | Popcon | Größe | Art | Beschreibung des Webbrowsers |
|---|---|---|---|---|
chromium
|
V:35, I:108 | 234084 | X | Chromium (quelloffener Browser von Google) |
firefox
|
V:10, I:15 | 239492 | " | Firefox, (quelloffener Browser von Mozilla, nur in Debian Unstable verfügbar) |
firefox-esr
|
V:198, I:435 | 228981 | " | Firefox ESR, (Firefox-Variante mit erweitertem Support-Umfang, ESR) |
epiphany-browser
|
V:3, I:15 | 2154 | " | GNOME, HIG-konform, Epiphany |
konqueror
|
V:24, I:106 | 25905 | " | KDE, Konqueror |
dillo
|
V:0, I:5 | 1565 | " | Dillo (ressourcenschonender Browser, FLTK-basiert) |
w3m
|
V:15, I:187 | 2837 | Text | w3m |
lynx
|
V:25, I:344 | 1948 | " | Lynx |
elinks
|
V:3, I:20 | 1654 | " | ELinks |
links
|
V:3, I:28 | 2314 | " | Links (Nur-Text) |
links2
|
V:1, I:12 | 5492 | grafisch | Links (Konsolen-Grafik ohne X) |
Um auf einige übermäßig beschränkte Webseiten zugreifen zu können, müssen Sie unter Umständen die User-Agent-Angabe fälschen, die Ihr Webbrowser zurück gibt. Näheres unter:
![[Achtung]](images/caution.png)
|
Achtung |
|---|---|
|
Eine gefälschte user-agent-Angabe kann möglicherweise nachteilige Nebenwirkungen bei der Verwendung von Java haben. |
Alle modernen grafischen Webbrowser unterstützen quellcode-basierte Browser-Erweiterungen; diese sollen als Web extensions standardisiert werden.
Dieser Abschnitt ist überwiegend für typische tragbare Arbeitsplatzrechner (Laptops) gedacht, die über Internetverbindungen verfügen, wie sie für normale Privatkunden üblich sind.
|
|
Achtung |
|---|---|
|
Falls Sie vorhaben, den Mail-Server so einzurichten, dass Mails direkt über das Internet ausgetauscht werden, gibt es wahrscheinlich bessere Beschreibungen als dieses grundlegende Dokument. |
Eine E-Mail besteht aus drei Komponenten: den Absender- und Empfänger-Informationen, wie sie bei einem normalen Brief auf dem Umschlag stehen würden, den Nachrichten-Kopfzeilen (Header) und der eigentlichen Nachricht (dem "Nachrichtenkörper").
Die "An"- und "Von"-Informationen ("To" und "From") auf dem "Umschlag" werden von SMTP genutzt, um die Nachricht zuzustellen. (Die "From"-Information auf dem Umschlag wird auch mit Bounce address/Envelope sender, From_ usw. bezeichnet).
Die "An"- und "Von"-Informationen ("To" und "From") in den Nachrichten-Kopfzeilen werden vom E-Mail-Client (E-Mail-Programm) angezeigt. (Obwohl es sehr gängig ist, dass diese mit den Informationen vom "Umschlag" übereinstimmen, muss dies nicht immer der Fall sein.)
Das E-Mail-Nachrichtenformat bestehend aus Kopfzeilen (Header) und Nachrichtenkörper (Body) wird erweitert durch die Multipurpose Internet Mail Extensions (MIME), so dass zusätzlich zum reinen ASCII-Text auch andere Zeichenkodierungen unterstützt werden sowie Anhänge mit Audio-, Video-, Grafik- oder Applikationsdaten.
Voll ausgestattete GUI-basierte E-Mail-Clients bieten all diese Funktionen über eine grafische intuitive Konfiguration.
Sie erstellen und interpretieren die Nachrichten-Kopfzeilen und den Nachrichtenkörper unter Verwendung der Multipurpose Internet Mail Extensions (MIME), um den Datentyp und die Kodierung des Nachrichteninhalts korrekt zu bestimmen.
Sie authentifizieren sich selbst gegenüber den SMTP- und IMAP-Servern des ISP mittels der althergebrachten Basic Access Authentication oder der modernen Variante OAuth 2.0. (Um OAuth 2.0 zu nutzen, legen Sie dies über die Einstellungen Ihrer Arbeitsplatzumgebung fest; z.B. über "Einstellungen" -> "Online-Konten".)
Sie versenden die Nachrichten an den SMTP-Server des ISP (über den Message Submission Port 587).
Sie empfangen die auf dem Mail-Server des ISP vorhandenen Nachrichten über den TSL/IMAP4-Port (993).
Sie können Mails über deren Attribute filtern.
Teilweise bieten sie auch weitere optionale Funktionalitäten: Kontakte, Kalender, Aufgaben, Notizen.
Tabelle 6.2. Liste der Mail User Agents (MUA)
| Paket | Popcon | Größe | Art |
|---|---|---|---|
evolution
|
V:30, I:239 | 486 | Programm mit grafischer X-GUI-Oberfläche (GNOME3, Groupware-Suite) |
thunderbird
|
V:48, I:119 | 224760 | Programm mit grafischer X-GUI-Oberfläche (GTK, Mozilla Thunderbird) |
kmail
|
V:38, I:97 | 23871 | Programm mit grafischer X-GUI-Oberfläche (KDE) |
mutt
|
V:16, I:149 | 7104 | Programm für textbasiertes Terminal, zu benutzen u.a. mit
vim |
mew
|
V:0, I:0 | 2319 | Programm für textbasiertes Terminal, zu benutzen mit
(x)emacs |
Moderne E-Mail-Dienste unterliegen einigen Einschränkungen, um die Belästigung/Schädigung durch Spam (unerwünschte und unverlangte E-Mails) zu minimieren.
Sie können nicht davon ausgehen, dass das Betreiben eines SMTP-Servers an einem Endverbraucher-Anschluß (und somit das Senden von Nachrichten direkt an einen fernen Zielrechner) zuverlässig funktioniert.
Eine E-Mail kann an jeglicher Stelle auf der Route zum Ziel ohne weiteren Hinweis verworfen werden, außer sie ist als so authentisch wie möglich erkennbar.
Sie können nicht davon ausgehen, dass das Versenden von Mails an ferne Rechner mit einer zufälligen Absender-Mail-Adresse über einen eigenen Smarthost zuverlässig funktioniert.
Die Gründe hierfür sind:
Kommunikation über den SMTP-Port (25) von Rechnern an einem Endverbraucher-Anschluß wird geblockt.
Kommunikation über den SMTP-Port (25) zu Rechnern an einem Endverbraucher-Anschluß wird geblockt.
Ausgehende Nachrichten von Rechnern an einem Endverbraucher-Anschluß ins Internet können nur über den Message Submission Port (587) versandt werden.
Zur E-Mail-Filterung werden großflächig Anti-Spam-Techniken wie DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) und Domain-based Message Authentication, Reporting and Conformance (DMARC) eingesetzt.
Unter Umständen können Sie zum Versand von Mails über einen Smarthost den DomainKeys Identified Mail-Dienst verwenden.
Der Smarthost-Dienst überschreibt unter Umständen die Absenderadresse in den Nachrichten-Kopfzeilen mit der Ihres Mail-Accounts, um zu verhindern, dass die E-Mail-Adresse gefälscht wird.
Einige Programme im Debian-System erwarten, dass auf den
/usr/sbin/sendmail-Befehl zugegriffen werden kann, um in
der Standardeinstellung (oder auch in benutzerspezifisch angepassten
Konfigurationen) E-Mails verschicken zu können. Der Grund hierfür ist, dass
der Mail-Dienst auf UNIX-Systemen historisch gesehen wie folgt funktioniert:
Eine E-Mail wird als Textdatei erstellt.
Die E-Mail wird an den /usr/sbin/sendmail-Befehl
übergeben.
Wenn die Zieladresse auf dem gleichen Rechner liegt, stellt
/usr/sbin/sendmail die Mail per lokaler Auslieferung zu,
indem sie an die Datei /var/mail/$username angehängt
wird.
Befehle, die diese Funktionalität nutzen:
apt-listchanges, cron,
at, ...
Liegt die Zieladresse auf einem fernen Rechner, sendet
/usr/sbin/sendmail die Nachricht per SMTP an den (per
DNS-MX-Eintrag ermittelten) Zielrechner.
Befehle, die diese Funktionalität nutzen: popcon,
reportbug, bts, ...
Debian mobile workstations can be configured just with full featured GUI based email clients without mail transfer agent (MTA) program after Debian 12 Bookworm.
Debian traditionally installed some MTA program to support programs
expecting the /usr/sbin/sendmail command. Such MTA on
mobile workstations must cope with Abschnitt 6.2.2, „Einschränkungen moderner E-Mail-Dienste“ and Abschnitt 6.2.3, „Historische Erwartungen an E-Mail-Dienste“.
Bei mobilen Arbeitsplatzrechnern ist die typische Wahl für den MTA entweder
exim4-daemon-light oder postfix (bei
diesem wird die Installationsoption "E-Mails direkt mittels SMTP oder über
fetchmail empfangen; ausgehende E-Mails über einen Smarthost versenden."
ausgewählt). Dies sind ressourcen-schonende MTAs, die auch
"/etc/aliases" respektieren.
|
|
Tipp |
|---|---|
|
Die Konfiguration von |
Tabelle 6.3. Liste von Paketen für grundlegende Mail Transfer Agents
| Paket | Popcon | Größe | Beschreibung |
|---|---|---|---|
exim4-daemon-light
|
V:217, I:227 | 1575 | Exim4 Mail Transfer Agent (MTA: Debian-Standard) |
exim4-daemon-heavy
|
V:6, I:6 | 1743 | Exim4 Mail Transfer Agent (MTA: flexible Alternative) |
exim4-base
|
V:224, I:234 | 1699 | Exim4-Dokumentation (Text-Variante) und allgemeine Dateien |
exim4-doc-html
|
I:1 | 3746 | Exim4-Dokumentation (html-Variante) |
exim4-doc-info
|
I:0 | 637 | Exim4-Dokumentation (info-Variante) |
postfix
|
V:124, I:133 | 4039 | Postfix Mail Transfer Agent (MTA: sichere Alternative) |
postfix-doc
|
I:6 | 4646 | Postfix-Dokumentation (html- + Text-Variante) |
sasl2-bin
|
V:5, I:13 | 371 | Cyrus SASL API Implementation (Ergänzung zu Postfix für SMTP AUTH) |
cyrus-sasl2-doc
|
I:0 | 2154 | Cyrus SASL - Dokumentation |
msmtp
|
V:6, I:11 | 667 | Ressourcen-schonender MTA |
msmtp-mta
|
V:4, I:6 | 124 | Ressourcen-schonender MTA (Sendmail-Kompatibilitätserweiterung für
msmtp) |
esmtp
|
V:0, I:0 | 129 | Ressourcen-schonender MTA |
esmtp-run
|
V:0, I:0 | 32 | Ressourcen-schonender MTA (Sendmail-Kompatibilitätserweiterung für
esmtp) |
nullmailer
|
V:8, I:9 | 474 | eingeschränkter MTA, kein lokaler Mail-Transfer |
ssmtp
|
V:5, I:8 | 2 | eingeschränkter MTA, kein lokaler Mail-Transfer |
sendmail-bin
|
V:13, I:13 | 1901 | vollständig ausgestatteter MTA (nur, wenn Sie sich bereits damit auskennen) |
courier-mta
|
V:0, I:0 | 2407 | vollständig ausgestatteter MTA (inklusive Web-Interface usw.) |
git-email
|
V:0, I:10 | 1087 | git-send-email(1) program for sending series of patch
emails |
Für das Verschicken von Mails über das Internet via Smarthost
(re-)konfigurieren Sie die exim4-*-Pakete wie folgt:
$ sudo systemctl stop exim4 $ sudo dpkg-reconfigure exim4-config
Wählen Sie bei "Generelle E-Mail-Einstellungen" den Eintrag "Versand über Sendezentrale (Smarthost); Empfang mit SMTP oder Fetchmail".
Setzen Sie den "E-Mail-Name des Systems" auf seinen Standardwert, den FQDN (Näheres dazu in Abschnitt 5.1.1, „Die Auflösung des Rechnernamens“).
Bei "IP-Adressen, an denen eingehende SMTP-Verbindungen erwartet werden" wählen Sie den Standardwert "127.0.0.1 ; ::1".
Löschen Sie alle eingetragenen Werte bei der Abfrage von "Weitere Ziele, für die E-Mails angenommen werden sollen".
Löschen Sie alle eingetragenen Werte bei der Abfrage von "Rechner, für die E-Mails weitergeleitet werden (Relay)".
Setzen Sie "IP-Adresse oder Rechnername der Sendezentrale für ausgehende E-Mails" auf "smtp.hostname.dom:587".
Wählen Sie "Nein" bei der Frage "Lokalen E-Mail-Namen in ausgehenden E-Mails
verbergen?". (Nutzen Sie stattdessen
"/etc/email-addresses" wie in Abschnitt 6.2.4.3, „Die Mail-Adress-Konfiguration“ beschrieben.)
Bei der Abfrage "DNS-Anfragen minimieren (Automatische Einwahl, Dial-on-Demand)?" gehen Sie wie folgt vor:
Wählen Sie "Nein", wenn Ihr System während des Rechnerstarts mit dem Internet verbunden ist.
Wählen Sie "Ja", wenn Ihr System während des Rechnerstarts nicht (oder nicht immer) mit dem Internet verbunden ist.
Setzen Sie den Wert für "Versandart bei lokaler E-Mail-Zustellung:" auf "Mbox-Format in /var/mail/".
Bei der Frage "Einstellungen auf kleine Dateien aufteilen?" wählen Sie "Ja".
Erzeugen Sie Passworteinträge für den Smarthost, indem Sie
"/etc/exim4/passwd.client" editieren:
$ sudo vim /etc/exim4/passwd.client ... $ cat /etc/exim4/passwd.client ^smtp.*\.hostname\.dom:[email protected]:password
Konfigurieren Sie exim4(8) mit
"QUEUERUNNER='queueonly'",
"QUEUERUNNER='nodaemon'" usw. in
"/etc/default/exim4", um die Nutzung von Systemressourcen
zu minimieren (optional).
Starten Sie exim4 mit folgendem Befehl:
$ sudo systemctl start exim4
Der Rechnername in "/etc/exim4/passwd.client" sollte
nicht der Alias-Name sein. Sie können den echten Rechnernamen wie folgt
herausfinden:
$ host smtp.hostname.dom smtp.hostname.dom is an alias for smtp99.hostname.dom. smtp99.hostname.dom has address 123.234.123.89
Ich verwende reguläre Ausdrücke in
"/etc/exim4/passwd.client", um das Alias-Problem zu
umgehen. SMTP AUTH funktioniert unter Umständen sogar, wenn der
Internet-Diensteanbieter den Host (Rechner), auf den der Alias zeigt,
verändert.
Sie können die exim4-Konfiguration händisch
aktualisieren, indem Sie wie folgt vorgehen:
Aktualisieren der exim4-Konfigurationsdateien in
"/etc/exim4/".
Erzeugen von "/etc/exim4/exim4.conf.localmacros", um
MACROs zu aktivieren und Editieren von
"/etc/exim4/exim4.conf.template" (bei Installation ohne
gesplittete Konfigurationsdateien)
Erzeugen neuer oder Editieren vorhandener Dateien in den Unterverzeichnissen
von "/etc/exim4/exim4.conf.d" (bei Installation mit
gesplitteten Konfigurationsdateien)
Führen Sie "systemctl reload exim4" aus.
|
|
Achtung |
|---|---|
|
Das Starten von |
Lesen Sie bitte die offizielle Anleitung unter
"/usr/share/doc/exim4-base/README.Debian.gz" und
update-exim4.conf(8).
Für das Verschicken von Mails über das Internet via Smarthost sollten Sie zunächst die Postfix-Dokumentation und einschlägige dazugehörige Handbuchseiten lesen.
Tabelle 6.4. Liste von wichtigen Postfix-Handbuchseiten
| Befehl | Funktion |
|---|---|
postfix(1) |
Postfix-Steuerprogramm |
postconf(1) |
Postfix-Konfigurationswerkzeug |
postconf(5) |
Postfix-Konfigurationsparameter |
postmap(1) |
Wartung von Postfix-Lookup-Tabellen |
postalias(1) |
Wartung der Postfix-Alias-Datenbank |
Sie (re-)konfigurieren die postfix- und
sasl2-bin-Pakete wie folgt:
$ sudo systemctl stop postfix $ sudo dpkg-reconfigure postfix
Wählen Sie "Internet mit Smarthost".
Setzen Sie "SMTP-Relay-Server (leere Eingabe: keiner)" auf
"[smtp.rechnername.dom]:587" und konfigurieren Sie ihn
mit folgenden Befehlen:
$ sudo postconf -e 'smtp_sender_dependent_authentication = yes' $ sudo postconf -e 'smtp_sasl_auth_enable = yes' $ sudo postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd' $ sudo postconf -e 'smtp_sasl_type = cyrus' $ sudo vim /etc/postfix/sasl_passwd
Erzeugen Sie Passworteinträge für den Smarthost:
$ cat /etc/postfix/sasl_passwd [smtp.hostname.dom]:587 username:password $ sudo postmap hush:/etc/postfix/sasl_passwd
Starten Sie postfix wie folgt:
$ sudo systemctl start postfix
Hierbei stellt die Verwendung von "[" und
"]" im dpkg-reconfigure-Dialog und in
"/etc/postfix/sasl_passwd" sicher, dass keine MX-Einträge
abgefragt werden, sondern direkt der angegebene Rechnername genutzt
wird. Lesen Sie dazu "Enabling SASL authentication in the Postfix SMTP
client" in
"/usr/share/doc/postfix/html/SASL_README.html".
Es gibt mehrere Dateien zur Konfiguration der Mail-Adresse für Mail Transfer Agents, Mail Delivery Agents und Mail User Agents.
Tabelle 6.5. Liste von Konfigurationsdateien für Mail-Adressen
| Datei | Funktion | Applikation |
|---|---|---|
/etc/mailname |
Standard-Rechnername für (ausgehende) Mails | Debian-spezifisch, mailname(5) |
/etc/email-addresses |
Änderung des Rechnernamens für ausgehende Mails | exim(8)-spezifisch,
exim4-config_files(5) |
/etc/postfix/generic |
Änderung des Rechnernamens für ausgehende Mails | postfix(1)-spezifisch, aktiviert nach Ausführung des
postmap(1)-Befehls |
/etc/aliases |
Kontonamen-Alias für eingehende Mails | Grundlegend, aktiviert nach Ausführung des
newaliases(1)-Befehls |
Der mailname in der Datei
"/etc/mailname" ist normalerweise ein voll-qualifizierter
Domain-Name (FQDN), der sich auf eine der IP-Adressen des Rechners auflösen
lässt. Bei Privatkundenrechnern, die keinen solchen FQDN-Namen mit einer
aufzulösenden IP-Adresse haben, setzen Sie diesen mailname auf den Wert von "hostname
-f". (Dies ist eine sichere Wahl und funktioniert sowohl für
exim4-* wie auch für postfix.)
|
|
Tipp |
|---|---|
|
Der Inhalt von " |
|
|
Tipp |
|---|---|
|
Das Paket |
Wenn Sie den mailname auf den Wert von
"hostname -f" setzen, kann die Änderung der
Mail-Ursprungsadresse via MTA wie folgt realisiert werden:
für exim4(8) über die Datei
"/etc/email-addresses", wie in
exim4-config_files(5) beschrieben;
für postfix(1) über die Datei
"/etc/postfix/generic", wie in
generic(5) beschrieben.
Für postfix sind die folgenden zusätzlichen Schritte
nötig:
# postmap hash:/etc/postfix/generic # postconf -e 'smtp_generic_maps = hash:/etc/postfix/generic' # postfix reload
Sie können die Mailadressen-Konfiguration wie folgt testen:
exim(8) mit den Optionen -brw, -bf, -bF, -bV,
…;
postmap(1) mit der Option -q.
|
|
Tipp |
|---|---|
|
Exim wird zusammen mit mehreren Hilfsprogrammen wie
|
Es gibt mehrere grundlegende MTA-Operationen. Einige könnten über die
sendmail(1)-Kompatibilitätsschnittstelle ausgeführt
werden.
Tabelle 6.6. Liste grundlegender MTA-Operationen
| exim-Befehl | postfix-Befehl | Beschreibung |
|---|---|---|
sendmail |
sendmail |
Mails von der Standardeingabe lesen und für die Zustellung vorbereiten
(-bm) |
mailq |
mailq |
Die Mail-Warteschlange auflisten mit Status und Queue-ID
(-bp) |
newaliases |
newaliases |
Initialisieren der Alias-Datenbank (-I) |
exim4 -q |
postqueue -f |
Wartende Mails zustellen (-q) |
exim4 -qf |
postsuper -r ALL deferred; postqueue -f |
Alle Mails zustellen |
exim4 -qff |
postsuper -r ALL; postqueue -f |
Zurückgehaltene Mails ebenfalls zustellen |
exim4 -Mg queue_id |
postsuper -h queue_id |
Eine durch ihre Queue-ID spezifizierte Nachricht zurückhalten |
exim4 -Mrm queue_id |
postsuper -d queue_id |
Eine durch ihre Queue-ID spezifizierte Nachricht löschen |
| Nicht verfügbar | postsuper -d ALL |
Alle Nachrichten löschen |
|
|
Tipp |
|---|---|
|
Es könnte eine gute Idee sein, alle Mails durch ein Skript in
" |
Die Secure SHell (SSH) ist der sichere Weg für Verbindungen über das
Internet. Eine freie Version von SSH namens OpenSSH ist in Debian über die
openssh-client- und
openssh-server-Pakete verfügbar.
Für den Benutzer fungiert ssh(1) als clevere und sichere
Alternative zu telnet(1). Anders als der
telnet-Befehl scheitert ssh nicht am
telnet-Maskierungszeichen (escape character;
Standardeinstellung STRG-]).
Tabelle 6.7. Liste von Servern für Fernzugriff und Hilfsprogrammen
| Paket | Popcon | Größe | Werkzeug | Beschreibung |
|---|---|---|---|---|
openssh-client
|
V:866, I:996 | 4959 | ssh(1) |
Secure-Shell-Client |
openssh-server
|
V:730, I:814 | 1804 | sshd(8) |
Secure-Shell-Server |
ssh-askpass
|
I:23 | 102 | ssh-askpass(1) |
Fragt den Benutzer nach einer Passphrase für ssh-add (reines X) |
ssh-askpass-gnome
|
V:0, I:3 | 200 | ssh-askpass-gnome(1) |
Fragt den Benutzer nach einer Passphrase für ssh-add (GNOME) |
ssh-askpass-fullscreen
|
V:0, I:0 | 48 | ssh-askpass-fullscreen(1) |
Fragt den Benutzer nach einer Passphrase für ssh-add (GNOME) - etwas hübscher |
shellinabox
|
V:0, I:1 | 507 | shellinaboxd(1) |
Webserver für den VT100-Terminal-Emulator mit Browser-Zugriff |
Obwohl shellinabox kein SSH-Programm ist, ist es hier als
interessante Alternative für fernen Terminal-Zugriff aufgelistet.
Lesen Sie auch Abschnitt 7.9, „X-Server-Verbindungen“ für Infos zur Verbindung mit fernen X-Client-Programmen.
|
|
Achtung |
|---|---|
|
Lesen Sie Abschnitt 4.6.3, „Zusätzliche Sicherheitsmaßnahmen für das Internet“, falls Ihr SSH über das Internet erreichbar ist. |
|
|
Tipp |
|---|---|
|
Bitte nutzen Sie das Programm |
Der OpenSSH-Daemon unterstützt lediglich das SSH-Protokoll 2.
Bitte lesen Sie
"/usr/share/doc/openssh-client/README.Debian.gz",
ssh(1), sshd(8),
ssh-agent(1), ssh-keygen(1),
ssh-add(1) und ssh-agent(1).
![[Warnung]](images/warning.png)
|
Warnung |
|---|---|
|
Wenn Sie den OpenSSH-Server laufen lassen möchten, darf
" Aktivieren Sie NICHT rhost-basierte Authentifizierung
( |
Tabelle 6.8. Liste von SSH-Konfigurationsdateien
| Konfigurationsdatei | Beschreibung |
|---|---|
/etc/ssh/ssh_config |
SSH-Client-Standardeinstellungen, lesen Sie ssh_config(5) |
/etc/ssh/sshd_config |
SSH-Server-Standardeinstellungen, lesen Sie
sshd_config(5) |
~/.ssh/authorized_keys |
öffentliche Standard-SSH-Schlüssel, die Clients verwenden, um sich mit diesem Konto auf diesem SSH-Server zu verbinden |
~/.ssh/id_rsa |
geheimer SSH-2 RSA-Schlüssel des Benutzers |
~/.ssh/id_key-type-name |
geheimer SSH-2 key-type-name-Schlüssel wie
z.B. ecdsa, ed25519, ... des Benutzers |
Mit folgenden Befehlen starten Sie eine ssh(1)-Verbindung
von einem Client:
Tabelle 6.9. Liste von Beispielen zum Start einer SSH-Verbindung auf einem Client
| Befehl | Beschreibung |
|---|---|
ssh [email protected] |
im Standardmodus verbinden |
ssh -v [email protected] |
im Standardmodus verbinden mit aktivierten Debugging-Meldungen (zur Fehlersuche) |
ssh -o PreferredAuthentications=password
[email protected] |
Verwendung des Passworts erzwingen mit SSH Version 2 |
ssh -t [email protected] passwd |
führen Sie passwd aus, um das Passwort auf einem fernen
Rechner zu ändern |
Wenn Sie auf dem lokalen und dem fernen Rechner den gleichen Benutzernamen
verwenden, können Sie "username@" weglassen.
Sogar wenn Sie unterschiedliche Benutzernamen nutzen, können Sie sie
weglassen, sofern Sie "~/.ssh/config" verwenden. Für den
Debian Salsa-Service mit dem
Kontoname "foo-guest" muss
"~/.ssh/config" z.B. folgendes enthalten:
Host salsa.debian.org people.debian.org User foo-guest
Man kann es vermeiden, sich Passwörter für ferne Systeme merken zu müssen,
indem man "PubkeyAuthentication" (SSH-2-Protokoll) nutzt.
Setzen Sie dazu auf dem fernen System die entsprechenden Einträge:
"PubkeyAuthentication yes" in
"/etc/ssh/sshd_config".
Erzeugen Sie die Authentifizierungs-Schlüssel lokal und installieren Sie sie wie folgt auf dem fernen System:
$ ssh-keygen -t rsa $ cat .ssh/id_rsa.pub | ssh user1@remote "cat - >>.ssh/authorized_keys"
Sie können weitere Optionen zu den Einträgen in
"~/.ssh/authorized_keys" hinzufügen, um die erlaubten
Rechner einzuschränken und spezifische Befehle ausführen. Lesen Sie dazu
sshd(8) - "AUTHORIZED_KEYS FILE FORMAT".
Es sind einige freie SSH-Clients für andere Plattformen verfügbar:
Tabelle 6.10. Liste freier SSH-Clients für andere Plattformen
| Umgebung | freies SSH-Programm |
|---|---|
| Windows | puTTY (PuTTY: a free SSH and Telnet client) (GPL) |
| Windows (Cygwin) | SSH in cygwin (Cygwin: Get that Linux feeling - on Windows) (GPL) |
| Mac OS X | OpenSSH; verwenden Sie ssh in der Terminal-Applikation
(GPL) |
Es ist sicherer, Ihren geheimen SSH-Authentifizierungs-Schlüssel mit einer
Passphrase zu schützen. Falls Sie noch keine Passphrase vergeben haben,
verwenden Sie dazu "ssh-keygen -p".
Legen Sie Ihren öffentlichen SSH-Schlüssel
(z.B. "~/.ssh/id_rsa.pub") wie folgt in
"~/.ssh/authorized_keys" auf dem fernen Server ab, und
zwar über eine passwort-basierte Verbindung zum Server, wie oben
beschrieben.
$ ssh-agent bash $ ssh-add ~/.ssh/id_rsa Enter passphrase for /home/username/.ssh/id_rsa: Identity added: /home/username/.ssh/id_rsa (/home/username/.ssh/id_rsa)
Es ist kein Passwort für das ferne System zur Ausführung des nächsten Befehls mehr nötig:
$ scp foo username@remote.host:foo
Drücken Sie Strg-D, um die ssh-agent-Sitzung zu beenden.
Für den X-Server führt das normale Debian-Start-Skript
ssh-agent als Eltern-Prozess aus. Sie müssen
ssh-add daher nur einmal ausführen. Für weitere Details
lesen Sie ssh-agent(1) und ssh-add(1).
Wenn Sie ein SSH-Shell-Konto auf einem Server mit vernünftigen DNS-Einstellungen haben, können Sie eine Mail, die Sie auf Ihrem Arbeitsplatzrechner vorbereitet haben, von dem fernen Rechner aus als E-Mail verschicken:
$ ssh [email protected] /usr/sbin/sendmail -bm -ti -f "[email protected]" < mail_data.txt
Um für eine Verbindung von Port 4025 auf localhost zu
Port 25 auf remote-server (einem fernen Server) oder für
eine Verbindung von Port 4110 auf localhost zu Port 110
auf remote-server via ssh eine
Weiterleitung aufzubauen, führen Sie auf dem lokalen Rechner (localhost)
folgendes aus:
# ssh -q -L 4025:remote-server:25 4110:remote-server:110 username@remote-server
Dies ist ein sicherer Weg für Verbindungen zu SMTP-/POP3-Servern über das
Internet. Setzen Sie in "/etc/ssh/sshd_config" auf dem
fernen Server den Wert für "AllowTcpForwarding" auf
"yes".
Sie müssen den Prozess, der das "shutdown -h now"
ausführt (lesen Sie Abschnitt 1.1.8, „Wie Sie das System herunterfahren“), davor
schützen, durch SSH beendet zu werden. Verwenden Sie dazu wie folgt den
at(1)-Befehl (weiteres zu at in Abschnitt 9.4.13, „Einmalige Aufgaben planen“):
# echo "shutdown -h now" | at now
"shutdown -h now" in einer
screen(1)-Sitzung auszuführen (weitere Infos in Abschnitt 9.1.2, „Das Programm screen“) ist ein anderer möglicher Weg.
Falls Sie Probleme haben, kontrollieren Sie die Zugriffsrechte der
Konfigurationsdateien und starten Sie ssh mit der Option
"-v".
Nutzen Sie die Option "-p", wenn Sie root sind und
Probleme mit einer Firewall haben; dadurch wird die Verwendung der Ports 1 -
1023 auf dem Server vermieden.
Wenn ssh-Verbindungen zu einem fernen Rechner plötzlich
nicht mehr funktionieren, könnte dies auf Spielereien des
Systemadministrators zurückzuführen sein, höchstwahrscheinlich Änderungen am
"host_key" im Rahmen von Systemwartungsarbeiten. Nachdem
Sie sich versichert haben, dass dies der Fall ist und niemand versucht, den
fernen Rechner über einen cleveren Hack zu imitieren, können Sie die
Verbindung wiedererlangen, indem Sie den
"host_key"-Eintrag in der
"~/.ssh/known_hosts"-Datei auf dem lokalen Rechner
entfernen.
Im alten Unix-ähnlichen System war der BSD Line Printer Daemon (lpd) Standard und das Standard-Druckausgabe-Format von freier Software auf Unix-artigen Systemen war PostScript (PS). Ein Filtersystem wurde zusammen mit Ghostscript verwendet, um das Drucken auf nicht-PostScript-Druckern zu ermöglichen. Siehe Abschnitt 11.4.1, „Ghostscript“.
Im modernen Debian-System ist das Common UNIX Printing System (CUPS) der De-Facto-Standard und das Standard-Druckausgabe-Format von moderner freier Software ist das Portable Document Format (PDF).
CUPS nutzt das Internet Printing Protocol (IPP). IPP wird jetzt auch von anderen Betriebssystemen wie Windows XP und Mac OS X unterstützt und ist der plattform-übergreifende De-Facto-Standard für das Drucken von fern; es unterstützt bi-direktionale Kommunikation.
Dank der Dateiformat-abhängigen automatischen Konvertierungsfunktion des
CUPS-Systems sollte die einfache Übergabe jeglicher Daten an den
lpr-Befehl zur gewünschten Druckausgabe führen. (In CUPS
kann lpr aktiviert werden, indem das
cups-bsd-Paket installiert wird.)
Das Debian-System enthält einige erwähnenswerte Pakete für Print-Server und deren Hilfsprogramme:
Tabelle 6.11. Liste von Print-Servern und Hilfsprogrammen
| Paket | Popcon | Größe | Port | Beschreibung |
|---|---|---|---|---|
lpr
|
V:2, I:3 | 367 | printer (515) | BSD lpr/lpd (Line Printer Daemon) |
lprng
|
V:0, I:0 | 3051 | " | " (Erweitert) |
cups
|
V:97, I:441 | 1061 | IPP (631) | Internet-Printing CUPS-Server |
cups-client
|
V:119, I:461 | 426 | " | System-V-Druckerbefehle für
CUPS: lp(1), lpstat(1),
lpoptions(1), cancel(1),
lpmove(8), lpinfo(8),
lpadmin(8), … |
cups-bsd
|
V:32, I:219 | 131 | " | BSD-Druckbefehle für CUPS:
lpr(1), lpq(1),
lprm(1), lpc(8) |
printer-driver-gutenprint
|
V:20, I:114 | 1219 | Nicht anwendbar | Druckertreiber für CUPS |
|
|
Tipp |
|---|---|
|
Sie können das CUPS-System konfigurieren, indem Sie in Ihrem Browser "http://localhost:631/" eingeben. |
Hier einige weitere Netzwerkanwendungs-Server:
Tabelle 6.12. Liste von weiteren Netzwerkanwendungs-Servern
| Paket | Popcon | Größe | Protokoll | Beschreibung |
|---|---|---|---|---|
telnetd
|
V:0, I:2 | 54 | TELNET | TELNET-Server |
telnetd-ssl
|
V:0, I:0 | 159 | " | " (mit SSL-Unterstützung) |
nfs-kernel-server
|
V:49, I:63 | 769 | NFS | Datei-Netzwerkfreigabe unter Unix |
samba
|
V:108, I:131 | 3995 | SMB | Datei- und Drucker-Netzwerkfreigabe unter Windows |
netatalk
|
V:1, I:1 | 2003 | ATP | Datei- und Drucker-Netzwerkfreigabe unter Apple/Mac (AppleTalk) |
proftpd-basic
|
V:8, I:16 | 452 | FTP | Grundlegender Datei-Download |
apache2
|
V:214, I:263 | 561 | HTTP | Grundlegender Web-Server |
squid
|
V:11, I:12 | 9265 | " | Grundlegender Web-Proxy-Server |
bind9
|
V:43, I:49 | 1124 | DNS | IP-Adresse für andere Rechner |
isc-dhcp-server
|
V:18, I:36 | 6082 | DHCP | IP-Adresse des Clients selbst |
Das Common Internet File System - Protokoll (CIFS) ist das gleiche Protokoll wie Server Message Block (SMB) und wird von Microsoft Windows ausgiebig genutzt.
|
|
Tipp |
|---|---|
|
In Abschnitt 4.5.2, „Modernes zentralisiertes Systemmanagement“ finden Sie Informationen zur Integration von Server-Systemen. |
|
|
Tipp |
|---|---|
|
Die Rechnernamenauflösung wird normalerweise über den DNS-Server realisiert. Für IP-Adressen, die dynamisch
über einen DHCP-Server zugewiesen werden, kann
Dynamic DNS eingerichtet werden; dazu
können |
|
|
Tipp |
|---|---|
|
Die Verwendung eines Proxy-Servers wie |
Hier einige weitere Netzwerkanwendungs-Clients:
Tabelle 6.13. Liste von Netzwerkanwendungs-Clients
| Paket | Popcon | Größe | Protokoll | Beschreibung |
|---|---|---|---|---|
netcat
|
I:27 | 16 | TCP/IP | TCP/IP-Alleskönner |
openssl
|
V:841, I:995 | 2111 | SSL | Secure-Socket-Layer-(SSL-)Binärdatei und dazugehörige Kryptografie-Werkzeuge |
stunnel4
|
V:7, I:12 | 548 | " | universeller SSL-Wrapper |
telnet
|
V:29, I:511 | 54 | TELNET | TELNET-Client |
telnet-ssl
|
V:0, I:2 | 196 | " | " (mit SSL-Unterstützung) |
nfs-common
|
V:152, I:234 | 1124 | NFS | Datei-Netzwerkfreigabe unter Unix |
smbclient
|
V:24, I:204 | 2071 | SMB | Datei- und Druckerfreigabe-Client für MS Windows |
cifs-utils
|
V:29, I:121 | 317 | " | Befehle zum Einbinden und Trennen von fern abgelegten MS-Windows-Dateien |
ftp
|
V:7, I:114 | 53 | FTP | FTP-Client |
lftp
|
V:4, I:30 | 2361 | " | " |
ncftp
|
V:1, I:14 | 1389 | " | FTP-Client mit Vollbildschirmdarstellung |
wget
|
V:208, I:981 | 3681 | HTTP und FTP | Programm zum Herunterladen von Dateien aus dem Web |
curl
|
V:185, I:620 | 517 | " | " |
axel
|
V:0, I:3 | 224 | " | Download-Beschleuniger |
aria2
|
V:3, I:20 | 1981 | " | Download-Beschleuniger mit Unterstützung für BitTorrent und Metalink |
bind9-host
|
V:115, I:939 | 393 | DNS | host(1) von bind9, "Priorität:
standard" |
dnsutils
|
V:16, I:280 | 276 | " | dig(1) von bind, "Priorität: standard" |
isc-dhcp-client
|
V:217, I:981 | 2875 | DHCP | IP-Adresse beziehen |
ldap-utils
|
V:12, I:63 | 767 | LDAP | Daten von einem LDAP-Server beziehen |
Das telnet-Programm ermöglicht die manuelle Verbindung zu
den System-Daemons und ihren Diagnosefunktionen.
Um einen reinen POP3-Dienst zu testen, probieren Sie folgendes:
$ telnet mail.ispname.net pop3
Um einen POP3-Dienst mit aktiviertem TLS/SSL (wie sie bei manchen Providern vorkommen) zu
testen, benötigen Sie einen telnet-Client mit aktiviertem
TLS/SSL, z.B. aus dem telnet-ssl- oder
openssl-Paket:
$ telnet -z ssl pop.gmail.com 995
$ openssl s_client -connect pop.gmail.com:995
Die folgenden RFCs enthalten das zur Diagnose erforderliche Wissen für jeden System-Daemon.
Die Verwendung der Ports ist in "/etc/services"
beschrieben.
| |
|
|
| Kapitel 5. Netzwerkkonfiguration |
|
Kapitel 7. GUI-System |