PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hilfe, tcpd wrapper funktioniert nicht richtig, verweigert zugriff auf die dienste



Catonga
11.06.01, 00:48
Hallo

Ich habe folgendes Problem.
Ich wollte wu-ftp und sendmail
von der inetd.conf Datei aus über den
tcpd wrapper starten.

Leider kann ich nicht mehr zu den Diensten connecten, weil es bis zum starten des Dienstes nicht mehr kommt.


Wenn ich z.b. folgendes eingebe um sendmail zu testen:

$ telnet rechner 25

erhalte ich folgende Meldung:
--------------
Trying 192.168.100.5...
Connected to rechner.WORKGROUP
Escape character is '^]'.
connection closed by foreign host.
-----------------
Bei dem direkten weg, also ohne das tcpd angesprochen wird, geht sendmail,
bekomme also den sendmail begrüßungstext.
leider ist besonders schlimm das es nicht geht, weil sendmail jetzt nichtmal über das loopback device geht wenn tcpd aktiviert ist.


Für sendmail steht in der inetd.conf folgendes:
--------------------
smtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sendmail -bd -q15m
------------------

in der /etc/hosts.allow steht:
---------------------
smtp: localhost, rechner: allow
---------------------

in der /etc/hosts.deny steht:
---------------------
ALL:ALL: deny
--------------------

und wenn ich tcpdchk eingebe
erhalte ich folgendes:
------------
warning: /etc/hosts.allow, line 7: can't verify hostname: gethostbyname(rechner.WORKGROUP) failed
---------


Der Rechnername "rechner" ist ordnungsgemäß in der /etc/hosts Datei eingetragen:
------------------
192.168.100.5 rechner.WORKGROUP rechner
------------------
das gleiche gilt fürs loopback device.

Was habe ich hier falsch gemacht.
Der Eintrag in der hosts.allow Datei müßte mir doch den zugriff auf sendmail erlauben.

[ 11. Juni 2001: Beitrag editiert von: Catonga ]

micha
11.06.01, 01:24
Hi Catonga,


--> man hosts.allow

WI S
The access control language supports explicit wildcards:
ALL The universal wildcard, always matches.

HOSTS_ACCESS(5) HOSTS_ACCESS(5)


LOCAL Matches any host whose name does not contain a dot
character.

UNKNOWN
Matches any user whose name is unknown, and matches
any host whose name _ o_ r address are unknown. This
pattern should be used with care: host names may be
unavailable due to temporary name server problems.
A network address will be unavailable when the
software cannot figure out what type of network it
is talking to.

KNOWN Matches any user whose name is known, and matches
any host whose name _ a_ n_ d address are known. This
pattern should be used with care: host names may be
unavailable due to temporary name server problems.
A network address will be unavailable when the
software cannot figure out what type of network it
is talking to.

PARANOID
Matches any host whose name does not match its
address. When tcpd is built with -DPARANOID
(default mode), it drops requests from such clients
even before looking at the access control tables.
Build without -DPARANOID when you want more control
over such requests.



Vielleicht hilft folgendes:

smtp: LOCAL, rechner.WORKGROUP : allow


Gruß micha

[ 11. Juni 2001: Beitrag editiert von: micha ]

Catonga
12.06.01, 21:37
OK, ich habe es jetzt nochmal mit Local probiert, aber leider erhalte ich immer noch den gleichen Fehler.


Weiß vielleicht noch jemand woran es liegen könnte?


Tut der tcpdwrapper vielleicht merken das anstatt eines Mail programmes telnet den sendmail port anspicht und verweigert daher den zugriff?

Kann ich Sendmail per loopback device vielleicht noch anders testen, außer mit telnet, z.b. einem Mail client, um also mail innhalb des selben rechners zu verschicken?

Catonga
14.06.01, 18:24
Weiß denn niemand hier einen Rat wie es noch funkionieren könnte?

rbla
14.06.01, 21:05
bist du sicher, dass du den tcpwrapper brauchst, bzw. dass er dir was bringt?

was willst du denn erreichen, vielleicht findet sich eine bessere lösung

Catonga
14.06.01, 22:18
Nun ja, ich will die Sicherheit erhöhen.

Der tcpd wrapper ermöglicht mir, das ich sehe wer meinen sendmail server kontaktet.
tcpd kann mir halt hilfreiche logging informationen geben.

Wenn ich sendmail direkt laufen lasse habe ich nicht diese Möglichkeiten, zumindest kenne ich diese nicht.

Die meisten sagen zwar, es besser ist sendmail ohne tcpd umweg laufen zu lassen, was auch richtig ist, aber das trifft nur auf mail server zu die so einen großen andrang haben das tcpd den mail verkehr ausbremsen würde.

Aber mein Sendmail server muß so gut wie keine Mails entgegen nehmen, daher trifft das nicht zu.
Im grunde lasse ich ihn nur für den rechner selbst lokal laufen und stelle davor ne ipchain regel so das niemand auf den port zugreifen kann.
sollte aber jemand die ipchains regel umgehen, könnte er sendmail direkt erreichen, und tcpd würde mir dabei helfen dies aufzuspüren.

Wenn tcpd aber net richtig geht, geht nicht mal der lokale email austausch.
Bleibt mir also nur der weg ohne tcpd den ich nicht nehmen will.

rbla
15.06.01, 09:20
wenn du glaubst, dass dich tcpd besser schützt als ein gut konfigurierter paketfilter, dann täuscht du dich
insbesondere bietet tcpd keinen zusätzliche schutz
bei einem ip-spoofing angriff ist der tcpd absolut machtlos
deswegen kannst du auch darauf verzichten

im übrigen ist es besser, die tür zuzuschließen als, als die tür offen zu lassen und jeden zu kontrollieren der rein will
soll heißen, dass dein mailserver sich nur auf eine lokale adresse binden sollte

ich weiß allerdings nicht genau ob das bei sendmail geht
(bei qmail geht's, is klar ;) )

Catonga
15.06.01, 14:11
Also was das ip spoofing betrifft,
das gilt laut dem Buch Maximum Security nur für RPC Dienste und alle anderen die eine IP-Adressauthentifizierung verwenden.
Sowie das X Window System und r Utilites.

Trifft bei sendmail aber doch alles nicht zu.
Zumal ja schon der sendmail Port durch die Firewall geschlossen wird.
Es wäre natürlich praktisch wie du schon sagst, wenn man man sendmail auf loakale
Addressen binden könnte, noch besser wäre es aber, wenn man es gleich auf Device Ebene festlegen könnte.

Also das Sendmail keinen Zugriff auf das ppp device macht oder so.
Wenn ich falsch liege korriegiere mich.

Der tcpd wrapper ist nur eine zusätzliche Sicherheit, ich werde natürlich noch andere Sicherheitsvorkehrungen einplanen.
Im Grunde so gut wie fast alle.
Das fängt bei der Firewall und Lids an und hört beim Backup und md5sum Summenprüfungen auf.
Praktisch ein Rechner der auf Paranoid eingestellt ist. :D

rbla
15.06.01, 14:37
und du nimmst sendmail?

zum ip-spoofing:
du hast beim tcpd keine gewissheit, dass das was er loggt auch stimmt, also ist es sinnlos

mal ein beispiel:
dein schutz gegen ip-spoofing durch paketfilter würde von einem angreifer umgangen (wegen eines bugs z.b.), dann würde der tcpd denke es wäre eine lokale adresse und würde die auch so loggen


fazit:
viel hilft nicht immer viel
lieber wenig und das richtig

die sinnvolle möglichkeit wäre die bindung an die lokale adresse, und wenn im kernel keinen *riesengroßer* bug ist, dann gehört die adresse auch nur zum einem device
plus der paketfilter mit ip-spoofing schutz

wenn du nur einen rechner hast, dann brauchst du gar keinen smtp server (vorausgesetzt du benutzt einen halbwegs gescheiten MUA)

da fällt sendmail natürlich schon wieder raus, ist ja nicht modular

Catonga
15.06.01, 15:30
Ok, aber wenn er sie loggt und sie nicht mit
192.168.100.2 oder 127.0.0.1 übereinstimmt,
dann würde ich doch wissen das ein Angreifer da war.
So gesehen würde mit der tcpd wrapper zumindest sagen das jemand versucht hat einzubrechen.
Und wenn sendmail richtig funktioniert dann werde ich auch den zugriff von 192.168.100.2 auf sendmail abschalten.
Das ist zur Zeit nur zum testen an.


Der grund warum ich sendmail nehme ist
der weil ich mir die konfiguration von qmail
durchgelesen habe und mit das zu aufwendig ist.
Ich weiß qmail ist sicherer.

"wenn du nur einen rechner hast, dann brauchst du gar keinen smtp server (vorausgesetzt du benutzt einen halbwegs gescheiten MUA)"
Hm,ok aber brauchen nicht einige Programme die Anwesenheit von einem mail server um z.b. root ne Nachricht zu verschicken?
Und wäre es nicht ganz praktisch wenn sendmail alle 5 Stunden mir die Log Einträge auf meine gmx Mail Addresse sendet,
falls ein Eindringling versucht trotz lids
md5sum, und log dateien überwachungstool die log einträge zu fälschen?
Ansonsten habe ich noch ne Frage, was bedeutet ein MUA?


Aber vielleicht sollte ich mir das mit qmail doch noch mal anschauen.
Ist halt ziemlich aufwendig qmail im nachhinein in eine distri einzubauen.

[ 15. Juni 2001: Beitrag editiert von: Catonga ]

Catonga
15.06.01, 16:30
Ok, ich habe jetzt mal ein paar logfiles erstellt.

Vielleicht kann einer von euch damit was anfangen und mir bei meinem Problem helfen:


$ tcpdump -i lo > tcpdump.log

-------------------------
16:18:50.816564 localhost.1024 > localhost.smtp: S 3417500103:3417500103(0) win 15536 <mss 3884,sackOK,timestamp 18519 0,nop,wscale 0> (DF) [tos 0x10]
16:18:50.816564 localhost.1024 > localhost.smtp: S 3417500103:3417500103(0) win 15536 <mss 3884,sackOK,timestamp 18519 0,nop,wscale 0> (DF) [tos 0x10]
16:18:50.816564 localhost.smtp > localhost.1024: S 3415697707:3415697707(0) ack 3417500104 win 15536 <mss 3884,sackOK,timestamp 18519 18519,nop,wscale 0> (DF)
16:18:50.816564 localhost.smtp > localhost.1024: S 3415697707:3415697707(0) ack 3417500104 win 15536 <mss 3884,sackOK,timestamp 18519 18519,nop,wscale 0> (DF)
16:18:50.816564 localhost.1024 > localhost.smtp: . ack 1 win 15536 <nop,nop,timestamp 18519 18519> (DF) [tos 0x10]
16:18:50.816564 localhost.1024 > localhost.smtp: . ack 1 win 15536 <nop,nop,timestamp 18519 18519> (DF) [tos 0x10]
16:18:51.176564 localhost.1025 > localhost.auth: S 3418082425:3418082425(0) win 15536 <mss 3884,sackOK,timestamp 18555 0,nop,wscale 0> (DF)
16:18:51.176564 localhost.1025 > localhost.auth: S 3418082425:3418082425(0) win 15536 <mss 3884,sackOK,timestamp 18555 0,nop,wscale 0> (DF)
16:18:51.176564 localhost.auth > localhost.1025: S 3427505086:3427505086(0) ack 3418082426 win 15536 <mss 3884,sackOK,timestamp 18555 18555,nop,wscale 0> (DF)
16:18:51.176564 localhost.auth > localhost.1025: S 3427505086:3427505086(0) ack 3418082426 win 15536 <mss 3884,sackOK,timestamp 18555 18555,nop,wscale 0> (DF)
16:18:51.176564 localhost.1025 > localhost.auth: . ack 1 win 15536 <nop,nop,timestamp 18555 18555> (DF)
16:18:51.176564 localhost.1025 > localhost.auth: . ack 1 win 15536 <nop,nop,timestamp 18555 18555> (DF)
16:18:51.186564 localhost.1025 > localhost.auth: P 1:10(9) ack 1 win 15536 <nop,nop,timestamp 18556 18555> (DF)
16:18:51.186564 localhost.1025 > localhost.auth: P 1:10(9) ack 1 win 15536 <nop,nop,timestamp 18556 18555> (DF)
16:18:51.186564 localhost.auth > localhost.1025: . ack 10 win 15527 <nop,nop,timestamp 18556 18556> (DF)
16:18:51.186564 localhost.auth > localhost.1025: . ack 10 win 15527 <nop,nop,timestamp 18556 18556> (DF)
16:18:52.156564 localhost.auth > localhost.1025: P 1:34(33) ack 10 win 15536 <nop,nop,timestamp 18653 18556> (DF)
16:18:52.156564 localhost.auth > localhost.1025: P 1:34(33) ack 10 win 15536 <nop,nop,timestamp 18653 18556> (DF)
16:18:52.156564 localhost.1025 > localhost.auth: . ack 34 win 15503 <nop,nop,timestamp 18653 18653> (DF)
16:18:52.156564 localhost.1025 > localhost.auth: . ack 34 win 15503 <nop,nop,timestamp 18653 18653> (DF)
16:18:52.166564 localhost.1025 > localhost.auth: F 10:10(0) ack 34 win 15536 <nop,nop,timestamp 18654 18653> (DF)
16:18:52.166564 localhost.1025 > localhost.auth: F 10:10(0) ack 34 win 15536 <nop,nop,timestamp 18654 18653> (DF)
16:18:52.166564 localhost.auth > localhost.1025: . ack 11 win 15536 <nop,nop,timestamp 18654 18654> (DF)
16:18:52.166564 localhost.auth > localhost.1025: . ack 11 win 15536 <nop,nop,timestamp 18654 18654> (DF)
16:18:52.196564 localhost.auth > localhost.1025: F 34:34(0) ack 11 win 15536 <nop,nop,timestamp 18657 18654> (DF)
16:18:52.196564 localhost.auth > localhost.1025: F 34:34(0) ack 11 win 15536 <nop,nop,timestamp 18657 18654> (DF)
16:18:52.196564 localhost.1025 > localhost.auth: . ack 35 win 15536 <nop,nop,timestamp 18657 18657> (DF)
16:18:52.196564 localhost.1025 > localhost.auth: . ack 35 win 15536 <nop,nop,timestamp 18657 18657> (DF)
16:18:54.366564 localhost.1026 > localhost.auth: S 3420402170:3420402170(0) win 15536 <mss 3884,sackOK,timestamp 18875 0,nop,wscale 0> (DF)
16:18:54.366564 localhost.1026 > localhost.auth: S 3420402170:3420402170(0) win 15536 <mss 3884,sackOK,timestamp 18875 0,nop,wscale 0> (DF)
16:18:54.376564 localhost.auth > localhost.1026: S 3422019103:3422019103(0) ack 3420402171 win 15536 <mss 3884,sackOK,timestamp 18875 18875,nop,wscale 0> (DF)
16:18:54.376564 localhost.auth > localhost.1026: S 3422019103:3422019103(0) ack 3420402171 win 15536 <mss 3884,sackOK,timestamp 18875 18875,nop,wscale 0> (DF)
16:18:54.376564 localhost.1026 > localhost.auth: . ack 1 win 15536 <nop,nop,timestamp 18875 18875> (DF)
16:18:54.376564 localhost.1026 > localhost.auth: . ack 1 win 15536 <nop,nop,timestamp 18875 18875> (DF)
16:18:54.386564 localhost.1026 > localhost.auth: P 1:10(9) ack 1 win 15536 <nop,nop,timestamp 18876 18875> (DF)
16:18:54.386564 localhost.1026 > localhost.auth: P 1:10(9) ack 1 win 15536 <nop,nop,timestamp 18876 18875> (DF)
16:18:54.386564 localhost.auth > localhost.1026: . ack 10 win 15527 <nop,nop,timestamp 18876 18876> (DF)
16:18:54.386564 localhost.auth > localhost.1026: . ack 10 win 15527 <nop,nop,timestamp 18876 18876> (DF)
16:18:54.406564 localhost.auth > localhost.1026: P 1:34(33) ack 10 win 15536 <nop,nop,timestamp 18878 18876> (DF)
16:18:54.406564 localhost.auth > localhost.1026: P 1:34(33) ack 10 win 15536 <nop,nop,timestamp 18878 18876> (DF)
16:18:54.406564 localhost.1026 > localhost.auth: . ack 34 win 15503 <nop,nop,timestamp 18878 18878> (DF)
16:18:54.406564 localhost.1026 > localhost.auth: . ack 34 win 15503 <nop,nop,timestamp 18878 18878> (DF)
16:18:54.416564 localhost.1026 > localhost.auth: F 10:10(0) ack 34 win 15536 <nop,nop,timestamp 18879 18878> (DF)
16:18:54.416564 localhost.1026 > localhost.auth: F 10:10(0) ack 34 win 15536 <nop,nop,timestamp 18879 18878> (DF)
16:18:54.416564 localhost.auth > localhost.1026: . ack 11 win 15536 <nop,nop,timestamp 18879 18879> (DF)
16:18:54.416564 localhost.auth > localhost.1026: . ack 11 win 15536 <nop,nop,timestamp 18879 18879> (DF)
16:18:54.446564 localhost.auth > localhost.1026: F 34:34(0) ack 11 win 15536 <nop,nop,timestamp 18882 18879> (DF)
16:18:54.446564 localhost.auth > localhost.1026: F 34:34(0) ack 11 win 15536 <nop,nop,timestamp 18882 18879> (DF)
16:18:54.446564 localhost.1026 > localhost.auth: . ack 35 win 15536 <nop,nop,timestamp 18882 18882> (DF)
16:18:54.446564 localhost.1026 > localhost.auth: . ack 35 win 15536 <nop,nop,timestamp 18882 18882> (DF)
16:18:54.666564 localhost.smtp > localhost.1024: F 1:1(0) ack 1 win 15536 <nop,nop,timestamp 18904 18519> (DF)
16:18:54.666564 localhost.smtp > localhost.1024: F 1:1(0) ack 1 win 15536 <nop,nop,timestamp 18904 18519> (DF)
16:18:54.666564 localhost.1024 > localhost.smtp: . ack 2 win 15536 <nop,nop,timestamp 18904 18904> (DF) [tos 0x10]
16:18:54.666564 localhost.1024 > localhost.smtp: . ack 2 win 15536 <nop,nop,timestamp 18904 18904> (DF) [tos 0x10]
16:18:54.666564 localhost.1024 > localhost.smtp: F 1:1(0) ack 2 win 15536 <nop,nop,timestamp 18904 18904> (DF) [tos 0x10]
16:18:54.666564 localhost.1024 > localhost.smtp: F 1:1(0) ack 2 win 15536 <nop,nop,timestamp 18904 18904> (DF) [tos 0x10]
16:18:54.666564 localhost.smtp > localhost.1024: . ack 2 win 15536 <nop,nop,timestamp 18904 18904> (DF)
16:18:54.666564 localhost.smtp > localhost.1024: . ack 2 win 15536 <nop,nop,timestamp 18904 18904> (DF)
----------------------------

$ tcpdchk -v > tcpdchk.txt
---------------------------
Using network configuration file: /etc/inetd.conf

>>> Rule /etc/hosts.allow line 7:
daemons: wu.ftpd
warning: /etc/hosts.allow, line 7: wu.ftpd: no such process name in /etc/inetd.conf
clients: 192.168.100.0/255.255.255.0 test.WORKGROUP
warning: /etc/hosts.allow, line 7: can't verify hostname: gethostbyname(test.WORKGROUP) failed
option: allow
access: granted

>>> Rule /etc/hosts.allow line 9:
daemons: sendmail
clients: localhost 192.168.100.0/255.255.255.0
option: allow
access: granted

>>> Rule /etc/hosts.deny line 12:
daemons: ALL
clients: ALL
option: spawn /echo Attempt from client_hostname client_addr to daemon_name at $(date) >> /var/log/deny.log
access: denied
--------------------------

/var/log/messages:
---------------------------
Jun 15 16:16:25 wood syslogd 1.4-0: restart.
Jun 15 16:16:27 wood kernel: klogd 1.4-0, log source = /proc/kmsg started.
Jun 15 16:16:27 wood kernel: Loaded 40 symbols from 7 modules.
Jun 15 16:16:27 wood kernel: Checking 386/387 coupling... OK, FPU using exception 16 error reporting.
Jun 15 16:16:27 wood kernel: Checking 'hlt' instruction... OK.
Jun 15 16:16:27 wood kernel: Linux NET4.0 for Linux 2.2
Jun 15 16:16:27 wood kernel: Based upon Swansea University Computer Society NET3.039
Jun 15 16:16:27 wood kernel: NET4: Unix domain sockets 1.0 for Linux NET4.0.
Jun 15 16:16:27 wood kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Jun 15 16:16:27 wood kernel: IP Protocols: ICMP, UDP, TCP
Jun 15 16:16:27 wood inetd[77]: Online and ready (2 sockets)
Jun 15 16:16:27 wood kernel: hda: Conner Peripherals 200MB - CP3204F, 202MB w/64kB Cache, CHS=683/16/38
Jun 15 16:16:27 wood kernel: Floppy drive(s): fd0 is 1.44M
Jun 15 16:16:27 wood kernel: FDC 0 is an 8272A
Jun 15 16:16:27 wood kernel: Uniform CD-ROM driver Revision: 3.11
Jun 15 16:16:28 wood kernel: PPP: version 2.3.7 (demand dialling)
Jun 15 16:16:28 wood kernel: TCP compression code copyright 1989 Regents of the University of California
Jun 15 16:16:28 wood kernel: PPP line discipline registered.
Jun 15 16:16:28 wood kernel: PPP BSD Compression module registered
Jun 15 16:16:28 wood kernel: PPP Deflate Compression module registered
Jun 15 16:16:28 wood kernel: Partition check:
Jun 15 16:16:28 wood kernel: sda: sda1 sda2 sda3 < sda5 sda6 sda7 sda8 sda9 sda10 >
Jun 15 16:16:28 wood kernel: hda: hda1
Jun 15 16:16:28 wood kernel: Adding Swap: 112416k swap-space (priority -1)
Jun 15 16:16:28 wood kernel: SLIP: version 0.8.4-NET3.019-NEWTTY-MODULAR (dynamic channels, max=256).
Jun 15 16:16:28 wood kernel: NE*000 ethercard probe at 0x300: XX XX XX XX XX XX
Jun 15 16:16:28 wood kernel: NE*000 ethercard probe at 0x320: XX XX XX XX XX XX
Jun 15 16:16:58 wood login[91]: ROOT LOGIN on `tty1'
Jun 15 16:17:06 wood login[92]: ROOT LOGIN on `tty2'
Jun 15 16:18:43 wood kernel: tcpdump uses obsolete (PF_INET,SOCK_PACKET)
Jun 15 16:18:52 wood sendmail[130]: connect from root@localhost
Jun 15 16:18:52 wood in.identd[138]: reply to 127.0.0.1: 1024 , 25 : USERID : UNIX :root
Jun 15 16:18:54 wood in.identd[139]: reply to 127.0.0.1: 1024 , 25 : USERID : UNIX :root
Jun 15 16:18:54 wood sendmail[140]: starting daemon (8.10.2): SMTP+queueing@00:15:00
--------------------------------

/var/log/syslog
-----------------------------
Jun 15 16:16:27 wood kernel: Cannot find map file.
Jun 15 16:16:27 wood kernel: Linux version 2.2.19 (root@Blackbox) (gcc version egcs-2.91.66 19990314/Linux (egcs-1.1.2 release)) #5 Fri May 25 16:17:59 CEST 2001
Jun 15 16:16:27 wood kernel: BIOS-provided physical RAM map:
Jun 15 16:16:27 wood kernel: BIOS-88: 000a0000 @ 00000000 (usable)
Jun 15 16:16:27 wood kernel: BIOS-88: 00700000 @ 00100000 (usable)
Jun 15 16:16:27 wood kernel: Console: colour VGA+ 80x25
Jun 15 16:16:27 wood kernel: Calibrating delay loop... 16.58 BogoMIPS
Jun 15 16:16:27 wood kernel: Memory: 6300k/8192k available (1112k kernel code, 412k reserved, 332k data, 36k init)
Jun 15 16:16:27 wood kernel: Checking if this processor honours the WP bit even in supervisor mode... Ok.
Jun 15 16:16:27 wood kernel: Dentry hash table entries: 1024 (order 1, 8k)
Jun 15 16:16:27 wood kernel: Buffer cache hash table entries: 8192 (order 3, 32k)
Jun 15 16:16:27 wood kernel: Page cache hash table entries: 2048 (order 1, 8k)
Jun 15 16:16:27 wood kernel: CPU: 486
Jun 15 16:16:27 wood kernel: POSIX conformance testing by UNIFIX
Jun 15 16:16:27 wood kernel: TCP: Hash tables configured (ehash 8192 bhash 8192)
Jun 15 16:16:27 wood kernel: Initializing RT netlink socket
Jun 15 16:16:27 wood kernel: Starting kswapd v 1.5
Jun 15 16:16:27 wood kernel: hda: Conner Peripherals 200MB - CP3204F, ATA DISK drive
Jun 15 16:16:27 wood kernel: ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
Jun 15 16:16:27 wood kernel: mcd: Mitsumi Single Speed CD-ROM at port=0x380, irq=5
Jun 15 16:16:27 wood kernel: aha152x: BIOS test: passed, auto configuration: ok, detected 1 controller(s)
Jun 15 16:16:28 wood kernel: aha152x0: vital data: PORTBASE=0x340, IRQ=11, SCSI ID=7, reconnect=enabled, parity=enabled, synchronous=disabled, delay=100, extended translation=disabled
Jun 15 16:16:28 wood kernel: aha152x: trying software interrupt, ok.
Jun 15 16:16:28 wood kernel: scsi0 : Adaptec 152x SCSI driver; $Revision: 1.7 $
Jun 15 16:16:28 wood kernel: scsi : 1 host.
Jun 15 16:16:28 wood kernel: Vendor: IBM Model: DPES-31080 Rev: S31Q
Jun 15 16:16:28 wood kernel: Type: Direct-Access ANSI SCSI revision: 02
Jun 15 16:16:28 wood kernel: Detected scsi disk sda at scsi0, channel 0, id 0, lun 0
Jun 15 16:16:28 wood kernel: scsi : detected 1 SCSI disk total.
Jun 15 16:16:28 wood kernel: SCSI device sda: hdwr sector= 512 bytes. Sectors= 2118144 [1034 MB] [1.0 GB]
Jun 15 16:16:28 wood kernel: VFS: Mounted root (ext2 filesystem) readonly.
Jun 15 16:16:28 wood kernel: Freeing unused kernel memory: 36k freed
Jun 15 16:16:28 wood kernel: ne.c:v1.10 9/23/94 Donald Becker (becker@cesdis.gsfc.nasa.gov)
Jun 15 16:16:28 wood kernel: eth0: NE2000 found at 0x300, using IRQ 3.
Jun 15 16:16:28 wood kernel: eth1: NE2000 found at 0x320, using IRQ 10.
Jun 15 16:18:54 wood sendmail[130]: daemon invoked without full pathname; kill -1 won't work
Jun 15 16:18:54 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:18:54 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:18:54 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:18:54 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:18:59 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:18:59 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:18:59 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:18:59 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:04 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:04 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:04 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:04 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:09 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:09 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:09 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:09 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:14 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:14 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:14 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:14 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:19 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:19 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:19 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:19 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:24 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:24 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:24 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:24 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:29 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:29 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:29 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:29 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:35 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:35 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:35 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:35 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:40 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:40 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:40 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:40 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:45 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:45 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: cannot bind: Address already in use
Jun 15 16:19:45 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:45 wood sendmail[140]: daemon MTA: problem creating SMTP socket
Jun 15 16:19:45 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: server SMTP socket wedged: exiting
Jun 15 16:19:45 wood sendmail[140]: NOQUEUE: SYSERR(root): opendaemonsocket: daemon MTA: server SMTP socket wedged: exiting
--------------------------


In syslog scheint Fehlermeldungen betreffs Sendmail zu melden, ich kann leider damit nichts anfange, vielleicht weiß von euch jemand was die Meldungen bedeuten.


Was wu-ftpd betrifft, so habe ich den in inetd.conf auskommentiert.

[ 15. Juni 2001: Beitrag editiert von: Catonga ]

rbla
15.06.01, 18:37
bei sendmail musst du -bd weglassen, das ist für die stand-alone variante

MUA = Mail User Agent z.b. mutt,kmail

MTA = Mail Transfer Agent z.b. sendmail, qmail-smtpd

MDA = Mail Delivery Agent z.b. procmail, qmail-local

<em>Ok, aber wenn er sie loggt und sie nicht mit
192.168.100.2 oder 127.0.0.1 übereinstimmt,</em>
warum sollte die adresse nicht mit 127.0.0.1 übereinstimmen?

<em>Der grund warum ich sendmail nehme ist
der weil ich mir die konfiguration von qmail
durchgelesen habe und mit das zu aufwendig ist.</em>
aufwendig?
was sind denn deine anforderungen?
das man sendmail einfacher konfigieren kann als qmail wäre mir neu :confused:
<em>Hm,ok aber brauchen nicht einige Programme die Anwesenheit von einem mail server um z.b. root ne Nachricht zu verschicken?
Und wäre es nicht ganz praktisch wenn sendmail alle 5 Stunden mir die Log Einträge auf meine gmx Mail Addresse sendet,</em>
einen mail server ja, aber keinen smtp server
bei mir läuft auch keiner und bis jetzt ist noch jede mail angekommen ;)
die meisten programme versenden mails durch aufruf von mail oder sendmail
und wenn sie's nicht von alleine tun (fetchmail), kann man sie dazu überreden

fast vergessen:
ident hast du hoffentlich für zugriffe von außen geblockt

[ 15. Juni 2001: Beitrag editiert von: Ronny Buchmann ]

krusty
15.06.01, 19:08
Hi...

Ohne weiter die syslog-Meldungen gelesen
zu haben, vermute ich das du Sendmail einmal ueber den Init-Prozess und einmal ueber den TCP-Wrappers gestartet hast, besser es versucht hast.

Nochmal zum TCP-Wrappers:

DIENST : RECHNER.DOMAIN.NET

oder auch

DIENST : .DOMAIN.NET

alles ohne dahinter : allow zu schreiben.

Das sagen doch die Dateien host.allow und
host.deny aus.

ciaoi ...

krusty

Catonga
15.06.01, 19:37
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Ronny Buchmann:
<STRONG>bei sendmail musst du -bd weglassen, das ist für die stand-alone variante]</STRONG>[/quote]

Danke, das werde ich mal ausprobieren, hoffe es hilft.


<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Ronny Buchmann:
<STRONG>
MUA = Mail User Agent z.b. mutt,kmail

MTA = Mail Transfer Agent z.b. sendmail, qmail-smtpd

MDA = Mail Delivery Agent z.b. procmail, qmail-local]</STRONG>[/quote]
thx. ;)

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Ronny Buchmann:
<STRONG>
<em>Ok, aber wenn er sie loggt und sie nicht mit
192.168.100.2 oder 127.0.0.1 übereinstimmt,</em>
warum sollte die adresse nicht mit 127.0.0.1 übereinstimmen?]</STRONG>[/quote]
Hm, gute Frage, vielleicht macht er einen Fehler und nimmt ne andere IP als 127.0.0.1?
Wird 127.0.0.1 nicht von den großen Internetrechnern abgeblockt weil das ne lokale Mail addresse ist?

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Ronny Buchmann:
<STRONG>
aufwendig?
was sind denn deine anforderungen?
das man sendmail einfacher konfigieren kann als qmail wäre mir neu :confused:
</STRONG>[/quote]
Naja, sendmail ist ja schon relativ gut für den privaten Gebrauch von der Distri voreingestellt.
Und bei qmail, muß man das ganze Mail System umstellen.
War war glaub was mit den /var und spool directorys und so.

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Ronny Buchmann:
<STRONG>
einen mail server ja, aber keinen smtp server
bei mir läuft auch keiner und bis jetzt ist noch jede mail angekommen ;)
die meisten programme versenden mails durch aufruf von mail oder sendmail
und wenn sie's nicht von alleine tun (fetchmail), kann man sie dazu überreden
</STRONG>[/quote]
Ach so, würde das dann also heißen das ich gar kein Sendmail brauche und es deinstallieren kann, sofern das Programm mail verfügbar ist?
Ich dachte mail bzw. kmail wäre nur ein Client, der zwar Mails verschicken kann, aber einen Mail server braucht wo er neue Mails abrufen kann, oder braucht man für lokale mails keinen mail server?

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von Ronny Buchmann:
<STRONG>
fast vergessen:
ident hast du hoffentlich für zugriffe von außen geblockt
</STRONG>[/quote]
Also ich muß mich noch durch die Ip chains regeln durcharbeiten, wenn man es damit blocken kann dann ist gut.
Falls du aber noch andere Möglichkeiten kennst wie man ident block wäre das natürlich noch besser.

Catonga
15.06.01, 19:43
<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von krusty:
<STRONG>Hi...

Ohne weiter die syslog-Meldungen gelesen
zu haben, vermute ich das du Sendmail einmal ueber den Init-Prozess und einmal ueber den TCP-Wrappers gestartet hast, besser es versucht hast.
</STRONG>[/quote]
Ne, sendmail habe ich in der /etc/rc.M Datei auskommentiert, entspricht quasi dem Init Prozess, sofern ich nichts übersehen habe sollte sendmail nicht mehr im init prozess gestartet werden.


<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR>Original erstellt von krusty:
<STRONG>
Nochmal zum TCP-Wrappers:

DIENST : RECHNER.DOMAIN.NET

oder auch

DIENST : .DOMAIN.NET

alles ohne dahinter : allow zu schreiben.

Das sagen doch die Dateien host.allow und
host.deny aus.

ciaoi ...

krusty</STRONG>[/quote]

Ja, so habe ich das auch schon in einigen Büchern und Anleitungen gesehen.
Habs probiert, hat aber auch nicht geholfen, leider. :(
Einige Anleitunge und Bücher fügen das : allow an, andere nicht, manche schreiben es sogar komplett groß.
Ich wünschte die hosts.allow man page
würde mehr erklären.

Und auf der linuxfibel steht sogar
in.smtpd in der inetd.conf drin,
während dann in dem Bereich mit dem tcpd wrapper in hosts.allow nur smtp angegeben ist.

Catonga
15.06.01, 20:00
J U H U U

Jetzt funktioniert es. :) :) :)


War wie bei allem ein ganz blöder Fehler.
Habe folgenden Eintrag in der /etc/inetd.conf Datei übersehen:

--------------# This is for BSD sendmail. NOTE: It's not a good idea to uncomment this
# one, since sendmail is already set up to run as a daemon in /etc/rc.d/rc.M.
# But, if you really want to run sendmail this way for some reason, you'll
# need to uncomment the smtp line below AND change the line in /etc/rc.d/rc.M
# to run sendmail like this: /usr/sbin/sendmail -q30m
# ...otherwise the queue will not be processed.
smtp stream tcp nowait root /usr/sbin/tcpd sendmail -bs
-------------

mußte also nur das # vor smtp wegmachen und
in der /etc/rc.M Datei sendmail wieder aktivieren und zusätzlich die Optionen die zum starten verwendet wurden in -q30m ändern.

Frage mich echt wie ich den Eintrag übersehen konnte, wo ich doch schon so oft diese Datei geöffnet habe.


Jetzt funktioniert es einwandfrei, mit tcpdwrapper.
Sendmail startet und tcpd protokoliert wie beabsichtigt die Verbindung mit.

Danke an alle. :)

rbla
16.06.01, 17:54
ist ja eigentlich schön, dass es jetzt läuft, aber eine ordentliche konfiguration ist das IMHO noch nicht

<em>Ach so, würde das dann also heißen das ich gar kein Sendmail brauche und es deinstallieren kann, sofern das Programm mail verfügbar ist?
Ich dachte mail bzw. kmail wäre nur ein Client, der zwar Mails verschicken kann, aber einen Mail server braucht wo er neue Mails abrufen kann, oder braucht man für lokale mails keinen mail server?</em>
mail ist nur ein client (oder MUA), der die mails über den aufruf von sendmail verschickt, also nicht über smtp

ich hatte gesagt, bei sendmail würde das nicht gehen, ohne sendmail als smtp-server laufen zu lassen, könnte sein, dass ich mich da geirrt habe, aber ich bin nicht sicher

<em>Also ich muß mich noch durch die Ip chains regeln durcharbeiten, wenn man es damit blocken kann dann ist gut.
Falls du aber noch andere Möglichkeiten kennst wie man ident block wäre das natürlich noch besser.</em>
ich würde ident abschalten, allerdings gefällt das dem tcpwrapper nicht

<em>Naja, sendmail ist ja schon relativ gut für den privaten Gebrauch von der Distri voreingestellt.
Und bei qmail, muß man das ganze Mail System umstellen.
War war glaub was mit den /var und spool directorys und so.</em>
ist zwar empfehlenswert, weil sicherer und zuverlässiger, aber nicht notwendig

sendmail gut voreingestellt? sendmail kann man gar nicht gut einstellen, schon gar nicht voreinstellen (das musste mal raus)

jeder halbwegs normale mensch hat mehr als eine email adresse (ich kenne jedenfalls keinen, der nur eine hat), i.d.r. muss man die mails auch über den jeweiligen provider relayen (weil manche sites sonst nicht mitspielen)
und das geht mit sendmail gar nicht (vielleicht mit hängen und würgen, aber nur für den absoluten sendmail hacker)

Catonga
16.06.01, 18:42
Ok, ich werfe dann nochmal einen Blick auf qmail.

Catonga
16.06.01, 19:09
Hm, also nach dem ich dies hier alles gelesen habe denke ich, das ich doch besser bei Sendmail bleibe:
http://www.slackware.com/forum/read.php?f=5&i=8538&t=8538


hier ein Ausschnitt daraus:
"The problem is that you can't distribute binaries that YOU build, you have to
distribute his prebuilt "/var/qmail" versions. Totally not acceptable. Asking
someone if you can patch the source you have and redistribute it is also not
acceptable and totally different than asking for Sun's permission to distribute
Java. Java is totally closed source and permission was given to ship the J2SE for
Linux. That's it.

This has been discussed many times before and the short answer is that you will
never find qmail in Slackware. Besides, can you point to a remote root exploit in
sendmail within the last year?

-David"


"The fact that we already have to include some non-free software does not give
people license to suggest that we include more. We include a non-free JDK because
there's basically no free alternative. We include Netscape because up until
recently, there was no good free alternative. We are not looking to add more
restricted software to the distribution unless absolutely necissary.

So far, qmail is not absolutely necissary. Whether you like it or not, sendmail
is the standard MTA. At this point, it is very featureful, reasonably secure, and
is what's expected by all the other mail-related programs on the system. We've
already got a good MTA... why would we want to replace it with something that's
going to require us to beg for permission to modify the binary packages we ship?

And yes, that is a big deal. We'd like to think we are capable of figuring out
how to best put the system together. Seeking approval to add symlinks to
someone's binary package (for example) is just ridiculous."

[ 16. Juni 2001: Beitrag editiert von: Catonga ]

rbla
17.06.01, 13:03
dass qmail keine (ganz) freie software ist, ist korrekt
qmail ist aber auch nicht so unfrei wie manchmal dargestellt wird
es erfüllt drei der vier punkte aus der GPL-FAQ (freedom 0, 1 und 3)

die gründe für diese "unfreiheit" sind aber IMO nicht so schwer zu verstehen:
- qmail trägt keine lizenz, wo drin steht:
"..., THERE IS NO WARRANTY
FOR THE PROGRAM, ..."
sondern qmail kommt mit einer garantie, deshalb kann es gar nicht frei sein!

- kompatiblität (man muss bei qmail nciht immer fragen, welche distri u.s.w. die standardpfade sind immer gültig, auch wenn symlinks das an den FHS anpassen)

letzlich muss jeder selbst entscheiden wie wichtig ihm freie software ist, mir ist sie *sehr* wichtig, aber sie steht nicht über allem

Catonga
17.06.01, 16:32
Also das mit der Garantie klingt wirklich gut, wenn man es aus dem Gesichtspunkt sieht dann ist qmail wirklich in Ordnung.

Eines würde mich noch interessieren was enthält die Garantie?
Sagt die z.b. aus, das man Schadensersatzansprüche stellen könnte
wenn ein Hacker aufgrund von qmail in den Rechner eindringen könnte oder besagt die nur aus, das garantiert wird, das der Code mit aller sorgfalt und Achtung auf Sicherheitsaspekte geschrieben wurde?


Ansonsten was mich betrifft, und den Punkt freie Software, so denke ich das qmail für Firmen sicher die sichere und somit auch geeignetere Variante ist.

Dennoch bin ich ja selber Privat User,
d.h. wirklich freie Software sollte für mich im Vordergrung stehen.
Wir Bürger und Privat User auf dieser Welt haben im Grunde ja schon einen sehr guten und Leistungsfähigen Mail Server, nämlich Sendmail, würde man den nicht mehr unterstützen würde er vielleicht irgendwann mal dem Zahn der Zeit hinterherhinken.

Und ich denke was man schon hat, das wirklich frei ist und unter GPL steht sollte man nicht wieder aufgeben.

Z.b. wenn qmail nicht unter GPL steht, besteht dann nicht die Möglichkeit das der Autor irgendwann mal beschließt für qmail Geld zu verlangen?
Wäre doch schade, wenn das passieren würde, und besonders schlimm wäre es insbesondere dann, wenn Sendmail zu diesem Zeitpunkt seit 5 Jahren nicht mehr weiterentwickelt worden wäre und man dann quasi dann ohne Mail Server dastehen würde oder halt die kommerzielle Variante nehmen müßte.

Deswegen denke ich, freie software geht vor.
Und so unsicher ist ja sendmail auch nicht mehr.

Trotzdem danke mit dem qmail Tip. ;)

[ 17. Juni 2001: Beitrag editiert von: Catonga ]

rbla
17.06.01, 19:06
ich möchts nicht abschreiben http://cr.yp.to/qmail/guarantee.html

übrigens ist sendmail *nicht* unter der GPL
die lizenz hat deutliche einschränkungen gegenüber der GPL

mail server, die unter der GPL stehen, sind z.b. smail, xmail, vorpalmail (siehe www.gnu.org) (http://www.gnu.org))
außer mit smail habe ich da aber keine erfahrungen

postfix ist übrigens auch nicht unter der GPL, sondern unter der ibm public license (ist aber sehr gpl ähnlich, soweit ich's verstanden habe)

ich muss zugeben, ich habe die lizenz von sendmail heute zum ersten mal gelesen, und finde qmail ist freier

in diesem sinne
freie software geht vor ;)

[ 17. Juni 2001: Beitrag editiert von: Ronny Buchmann ]

[ 17. Juni 2001: Beitrag editiert von: Ronny Buchmann ]