[06:24] <doev> morgen
[06:25] <doev> Unser Firewall hat relativ wenig ports geöffnet, per ssh komme ich aber auf einen externen Server. Wie ist es sicherheitstechnisch zu bewerten, wenn ich mir die notwendigen Ports einfach tunnele?
[06:27] <dadrc> SSH-Tunnel sind toll
[06:27] <Frickelpit> doev: der Tunnel geht durch deine SSH Verbindung, da kann nicht viel passieren.
[06:27] <dadrc> Gerade, wenn du sie nur aufmachst, wenn du sie wirklich brauchst
[06:27] <doev> praktisch über einen internen Server und nicht über die Workstation:     Workstation <---> interner Server <-- ssh-tunnel --> externer Server
[06:29] <doev> Selbst wenn der externe Server komprometiert wird, wäre der Angreifer ja nicht in der Lage ins interne Netz zu kommne, oder sehe ich das falsch?
[06:35] <dadrc> Wenn du dir die Ports von der lokalen Kiste holst, sollte da nichts passieren.
[06:36] <dadrc> Pauschal ausschließen, dass da irgendwer irgendwie irgendwelche Lücken findet, über die man doch durchkommt,  kann man natürlich nicht
[06:44] <doev> aber ich merke, dass ich vom internen server garnicht per ssh raus kommen. mist.
[06:49] <janda> wahrscheinlich ist in der firewall port 22 nicht offen?
[06:53] <doev> janda: wie kann ich das denn testen? Sonst komme ich mit anderen Rechnern auch über ssh raus.
[06:54] <Frickelpit> bekommst du eine Meldung beim Versuch über den Server raus zu gehen?
[06:55] <doev> es ist eigentlich ein normaler ubuntu server, allerdings hat die installierte software auch iptables konfiguriert.
[06:55]  * janda wollte das auch gerade fragen
[06:55] <doev> Frickelpit: nein
[06:55] <Frickelpit> doev: ssh ist installiert auf dem Server? Wenn ja, teste mal eine Verbindung nach draussen mit ssh -vv user@host
[06:56] <doev> sieht nach einem timeout aus.
[06:57] <Frickelpit> hat dein user auf dem Server sudo?
[06:57] <doev> ich könnte doch iptables mal kurz speichern und dann alles löschen?
[06:58] <Frickelpit> du könntest auch erst mit iptables -S nachschauen, welche Regeln aktiviert sind
[06:58] <doev> ja, sudo auf allen servern#+
[07:02] <doev> mist, jetzt komme ich nicht mehr auf den server
[07:03] <doev> dachte wenn ich mit iptables -F alles lösche wäre es in Ordnung.
[07:06] <doev> nicht mal mehr ping geht.
[07:10] <koegs> Tja, hättest vorher lieber mal geguckt
[07:11] <doev> ja
[07:11] <Frickelpit> doev: Warum hast du die Session zum Server beendet, anstatt diese offen zu lassen und eine neue Session zu starten?
[07:12] <doev> die sesesion war plötzlich tot
[07:14] <janda> "…Bevor man anfängt, Regeln zu definieren, sollte man sich bewusst sein, dass in der Standard-Einstellung von ufw alle nicht explizit erlaubten Verbindungen verboten sind. Wenn man den fraglichen Rechner nicht physisch vor sich hat, sondern z.B. nur per SSH verbunden ist, kann dies dazu führen, dass man sich selber aussperrt. …!
[07:15] <doev> tja, ich dachte, ohne reglen wäre alles offen. So lernt man auch was neues.
[07:16] <janda> https://wiki.ubuntuusers.de/ufw/ könnte nützlich sein
[07:17] <Frickelpit> gut, Beine in die Hand nehmen un zum Server laufen. Beim nächsten mal weißt du ja nun bescheid.
[07:18] <doev> zum Server laufen ist nicht drin. Ist ein V-Server (VMWARE)
[07:21] <koegs> Ist doch umso besser, vsphere Console anschmeissen :)
[07:23] <doev> installiere ich gerade.
[07:44] <doev> so, alter Zustand wieder hergestellt.
[07:51] <doev> 22                         ALLOW       Anywhere ... dann wird es wahrscheinlich an VM-Ware liegen, dass ich nicht raus komme.
[08:04] <yogg> hi
[08:06] <yogg> wie übergebe ich bei einem nfs mount usernamen und passwort? mount -t nfs -o user=myuser,password=mypass nfs-server:/share /tmp/mynfs   gibt ein "incorrect mount option was specified" zurück
[08:08] <yogg> ein "mount -t nfs -o user=myuser nfs-server:/share /tmp/mynfs" gibt ein "mount.nfs: access denied ..." zurück. Es scheint also do "password" option zu sein die er nicht kennt
[08:16] <yogg> nfs kann ohne kerberos nur auf ip adressen filtern. Das ist also mein problem
[09:02] <micha_> Hallo, ich zeige gerade einer Freundin, wie das hier funktioniert