wollte basierend auf Artikel einmal Kopano live testen.
Problem dabei ist aber, dass ich entweder den Server direkt in Internet stellen muss oder aber einen zweiten Root-Server nehmen und da ein internes LAN aufbauen darf.
Jetzt hat Univention ja von Hause aus iptables dabei. Und auch eine Menge Dienste aktiviert:
22/tcp open ssh
37/tcp open time
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
111/tcp open rpcbind
389/tcp open ldap
443/tcp open https
464/tcp closed kpasswd5
544/tcp open kshell
636/tcp open ldapssl
749/tcp open kerberos-adm
2049/tcp closed nfs
5666/tcp open nrpe
7777/tcp open cbt
32768/tcp closed filenet-tms
32769/tcp closed filenet-rpc
Einige dieser Dienste sind sicherlich notwendig für Kopano. Aber eben doch nur auf localhost (ok, 22, 25 und 443 INPUT ausgenommen).
Mit den Firewallregeln in der Registry kann ich ja nicht nach Interface filtern, oder?
Wie kriege ich einen UCS ins Internet, ohne dass er offen ist wie ein Scheunentor aber dennoch alle Dienste lokal anbietet?
für die Möglichkeit, bei der Firewallkonfiguration einen Port angeben zu können gibt einen Enhancementrequest [bug]34411[/bug].
Die Definition, wie ein System im Internet mit Hinblick auf höhere Sicherheit zu konfigurieren wäre, ist stark vom Blickwinkel abhängig,
Der Default ist jedenfalls darauf ausgerichtet, dass alle installierten Komponenten problemlos funktionieren. Das machen m.E. mittlerweile alle so.
Wenn man jetzt ein UCS als Single-Server ins Internet stellen will, könnte man natürlich überlegen, die Ports, die nur für nicht zutreffende Anwendungsfälle geöffnet wurden, wieder zu schließen.
Man sollte aber bedenken, dass ggf. bestimmte Funktionen nicht zwingend über “localhost” gehen, sondern sich zum Beispiel den LDAP-Master aus dem Verzeichnis holen und dann die Public-IP nehmen.
Im SDB-Artikel Which TCP / UDP ports on the DC master must be accessable by other UCS systems? stehen die Ports, die in einer Installation ohne zusätzliche Applikationen benötigt werden und somit offen sein dürften.
Ein denkbarer Ansatz wäre zum Beispiel, die in der eigenen Definition nicht gewünschten Ports über die vorhandenen UCR-Variablen zu schließen und dann nach Bedarf in /etc/security/packetfilter.d/50_local.sh wieder mit den eigenen Regeln und somit auch inklusive Quell- und Zieladresse zu öffnen.
danke für die Hinweise. Die Problematik, dass manche Dienste die IP nehmen, habe ich nicht- das geht ja dann über VPN und läuft prima.
Es soll halt wirklich keiner auf die Dienste zugreifen können, die nicht öffentlich sind!
Ich habe jetzt tatsächlich mit ucr set alle geöffneten Ports (außer 22 und 443) wieder geblockt und nmap scheint auch zufrieden zu sein.
Werde den SErver jetzt ins Netz stellen, VPN einrichten und dann mal sehen, ob die Verbindung funktioniert.
Es gibt bestimm ein Befehl, mit dem man feststellen kann, ob sich der Slave mit dem Master syncronisiert?