Sicherheit für Debian-Server bzgl. Webinfo und Telnetinfo

[Fernseher]

Hallo,

ich habe meinen Server nach dieser Anleitung HowTo Debian CCcam-Server aufbauen Teil 1,2 und 3 !! eingerichtet und alles funktioniert einwandfrei. Nun möchte ich für meinen Server mehr Sicherheit haben. Dazu habe ich in der CCcam.cfg die die Standardports für Telnetinfo und Webinfo verändert. Ebenso habe ich der Datei CCcamTest.sh (s. o.g. Anleitung Teil 2, Schritt 5 - 7) den Telnetport angepasst. Sowohl für Telnetinfo als auch für Webinfo habe ich Username and Password vergeben.

Problem:
Wenn ich nun im Browser die Webinfo aufrufe, komme ich nicht zur Aufforderung wie in Teil 3 Schritt 5, der o.g. Anleitung, sondern direkt zu Home der CCcamInfoPHP. Beim Update der Anzeige passiert nichts und ich bekomme die Nachricht, dass Port 16001 nicht zu finden ist (oder so ähnlich).

Frage:
Wo muss ich noch weitere Veränderungen vornehmen, dass ich mit individuellen Ports die Funktionen Webinfo und Telnetinfo nutzen kann?

Grüße
Fernseher

 

[aragorn]

es wäre wichtig zu wissen um was für einen server es sich dabei handelt, homeserver oder internetserver?
wenn es sich um einen homeserver handelt sollte man nur den SERVER LISTEN PORT weiterleiten aber als externen port also der aus dem internet sichtbar ist einen anderen wählen als er in deinem lokalen netzwerk tatsächlich is
wenn du CCcamInfoPHP auf einem internetserver laufen hast benötigst du zusätzlich auch noch eine weiterleitung für den WEBINFO port aber beachte dabei auch obiges und setz auf jedenfall inviduelle und komplexe passwörter! bei sonderzeichen müsstest du allerdings das jeweilige überprüfungsscript auch noch ein bischen anpassen wie es zum beispiel hier steht

die anleitung ist leider nicht ganz optimal, von teil 1 schritt 29 bis 35 sollte man überspringen da das die meisten probleme verursacht, lass das lieber auf dhcp stehen sofern du einen router hast der einen dhcp-server eingebaut hat

telnetinfo benötigst du auch nicht
der grund für diese überprüfung in teil 2 ist dass es manchmal vorkommt das zwar der prozess noch läuft aber cccam sich aufgehängt hat. das lässt sich aber auch über das webinterface von cccam überprüfen, wenn das reagiert läuft cccam auch noch
dafür gibt es zum beispiel ein script von feissmaik@ipc:

Spoiler

#!/bin/bash
#
### CONFIG - START

# /path/to/CCcam.cfg ... if your using USER/PASS ("" to disable and use below settings)
# CCcam-default: /var/etc/CCcam.cfg
CCcamCFG="/var/etc/CCcam.cfg"

# ONLY if you dont run CCcam-Server on same Box (else set above CCcamCFG)
USERNAME=""
PASSWORD=""
WEBINFOPORT=""

# IP/Host of your CCcam-Server to connect to...
CCCAMIP="localhost"

# which command restarts cccam?
RestartCAMcmd="/var/emu/script/cccam restart"

### CONFIG - END

# -------------------------------------------------------------- #
# >>> >> >  DO NOT MESS WiTH ANYTHiNG BELOW THiS LiNE!  < << <<< #
# -------------------------------------------------------------- #


_tmpdirs="/tmp /var/tmp /var/emu/tmp /usr/tmp /usr/local/tmp"
[ ! -z "$HOME" ] && _tmpdirs="${_tmpdirs} $HOME"
for _td in $_tmpdirs; do
    [ -d "$_td" -a -w "$_td" ] && TMPd=$_td && break
done
[ -z "$TMPd" ] && TMPd="" || TMPd=$TMPd/


# read CCcam.cfg and extract user/pass/port
proc_read_CCcamcfg() {
    [ ! -z "$CCcamCFG" -a ! -f "$CCcamCFG" ] && echo "ERROR cant find $CCcamCFG" && exit 1
    USERNAME=`grep -i "WEBINFO USERNAME" $CCcamCFG | cut -d ":" -f2 | sed -e 's/ //g' | sed -e 's/\r//g'`
    PASSWORD=`grep -i "WEBINFO PASSWORD" $CCcamCFG | cut -d ":" -f2 | sed -e 's/ //g' | sed -e 's/\r//g'`
    WEBINFOPORT=`grep -i "WEBINFO LISTEN PORT" $CCcamCFG | cut -d ":" -f2 | sed -e 's/ //g' | sed -e 's/\r//g'`
}

proc_get_infos() {
    [ ! -z "$CCcamCFG" ] && proc_read_CCcamcfg
    [ -z "$WEBINFOPORT" ] && WEBINFOPORT="16001"
    [ -z "$CCCAMIP" ] && CCCAMIP="127.0.0.1"
    if [ -z "$USERNAME" ]; then
        URL="http://${CCCAMIP}:${WEBINFOPORT}"
    else
        URL="http://"${USERNAME}":"${PASSWORD}"@${CCCAMIP}:${WEBINFOPORT}"
    fi
}

proc_get_infos

rm -f ${TMPd}CCcamCheck.html
wget -q -O - "${URL}/" > ${TMPd}CCcamCheck.html
if [ $? -ne "0" ]; then
    echo "Fehler beim anmelden/verbinden aufs CCcam WebIf!"
    exit 1
fi

if [ ! -f "${TMPd}CCcamCheck.html" ]; then
    echo " BAD - CCcam seems frozen, restarting CCcam!"
    $RestartCAMcmd
    if [ $? -ne "0" ]; then
        echo "Fehler beim ausfuehren des CCcam-restart commands!"
        exit 1
    fi
else
    echo "Ok!"
fi


exit 0

um auf das cccam eigene webinterface zu connecten musst du in deinem browser auch den port vom cccam webinterface angeben also zum beispiel: http://192.168.0.10:16001
und in der CCcam.cfg nicht vergessen " ALLOW WEBINFO: yes " einzustellen bzw wichtig ist " ALLOW TELNETINFO: no " zu setzen da es standardmässig auf "yes" steht wenn du es auskommentierst oder garnicht drin stehen hast

 

[Fernseher]

Ich habe es hinbekommen. Ich musste die Datei config.php entsprechend bearbeiten, dann hatte ich das gewünschte Ergebnis.

@aragorn:
Dein Lösungsvorschlag hat nicht ganz das getroffen, was ich wollte, aber trotzdem danke für deine Bemühungen.

 

[aragorn]

nun ich bin davon ausgegangen das du die anleitung beachtet und teil 3 schritt 5 ebenfals gemacht hast denn dort bearbeitet man sozusagen die config.php und trägt die jeweiligen webinfo daten für cccamwebinfo ein die wiederum zum abrufen der statistiken verantwortlich sind, eben durch klicken auf ( ) sofern noch keine daten in der config.php eingestellt stehen

aber, wenn du um die sicherheit deines cs bemüht bist frag ich dich warum du sowohl telnetinfo als auch webinfo in deinem router als portweiterleitung eingerichtet hast?
nur weil es so in irgendeiner anleitung steht? laut teil3 der anleitung die du befolgt hast läuft cccaminfophp auf dem gleichen server wie auch das cccam also wofür brauchst du dann diese ports für einen zugriff aus dem internet?
telnetinfo zu nutzen ist sehr unsicher weswegen ich dir davon auch abgeraten habe denn schlieslich ist bereits webinfo an was du ebenfals als respons check nutzen kannst

also, der überschrift und auch deinem anliegen aus dem ersten post nach habe ich denk ich schon dein anliegen getroffen, wenn du aber nicht vorher nach denkst bevor du was machst ist das nicht mein problem also entschuldige das ich dir helfen wollte...

 

[Fernseher]

@aragorn

Ich bin für alle Ratschläge dankbar, viele Wege führen nach Rom.

Die Ausgangssituation war, dass ich alles so gemacht habe wie in der Anleitung und es hat mit den Standardports funktioniert. Dann habe ich die Standardports verändert. Ich will nach wie vor Telnetinfo und Webinfo, so wie in der Anleitung beschrieben nutzen, allerdings mit anderen Ports. Wenn du mir den Rat gibst, Telnetinfo auf no zu setzten, entspricht das ja nicht ganz meiner Frage, oder nicht?

Und warum soll ich ein Script von Feissmaik nutzen? Dieser User wurde von Board-Verantwortlichen gesperrt und steht/stand zumindest unter dem Verdacht, Ports zu scannen. Da bin ich dann wirklich vorsichtig.

Dennoch habe ich ein Ratschlag von Dir befolgt: Ich habe die Portweiterleitung im Router, die ich unsinnigerweise gesetzt habe, wieder entfernt. Außerdem habe ich Usernames und Passwörter vergeben. Damit so denke ich, habe ich einiges an mehr Sicherheit bekommen als vorher.

 

[aragorn]

Dieser User wurde von Board-Verantwortlichen gesperrt und steht/stand zumindest unter dem Verdacht, Ports zu scannen. Da bin ich dann wirklich vorsichtig.

ein wenig voreingenommen?
die sperrung feissmaik´s erfolgte viel früher und hatte nichts mit den portscans zu tun
wenn du dir ein eigenes urteil darüber bilden möchtest dann guck am besten in feissmaik sein forum und lese die entsprechenden posts um genauer verstehen zu können wieso und was genau er eigentlich macht denn mit dem was er macht konnte er soweit ich das gelesen habe schon sehr gute erfolge erzielen
ich erlaube mir mal hier einen post aus seinem forum zu quoten aber hoffe das weder feissmaik noch die boardführung hier mir das übel nimmt

Spoiler

NUR wenn jemand auf unseren WebOrdner /ipc/ zugreift erfasst das ein Script und überprüft ob derjenige
1) die IPC Standard Ports offen sind: 80, 443, 9080, 16000, 16001 und 16002
1.1) Wenn Port 80 offen wird geprüft ob http://ipc:ipc@<ip>/ipc/index.php funktioniert und "CS-Server IPC" enthällt
1.2) Wenn Port 443 offen wird geprüft ob https://ipc:ipc@<ip>/ipc/index.php funktioniert und "CS-Server IPC" enthällt
1.3) Wenn Port 16001 offen wird geprüft ob http://cccam:cccam@<ip>/servers funktioniert und "CCcam" enthält
1.4) Wenn Port 16002 offen wird geprüft ob http://oscamscam@<ip>/status.html funktioniert und "OScam" enthällt
...Port 9080 und 16000 überprüfe ich derzeit noch nicht...

Hierbei muss man ganz stark unterscheiden das ich NICHT wild irgendwelche Zugansdaten durchprobiere sondern NUR die IPC-Standard-Daten wie sie nach der Installation eingestellt sind - dh ich mache kein bruteforce und nutze auch keine wordlist oder sowas!
Ebenfals scanne ich nicht ALLE Ports sondern wie gesagt ausschlieslich die Standard-IPC-Ports; ich möchte also NICHT herrausfinden ob derjenige andere Ports eingestellt hat o.ä.!
Genauso überprüfe ich NICHT die Peers des betroffenen sondern ausschlieslich denjenigen der wie gesagt auf unseren /ipc/ Ordner zugegriffen hat!
Das mach ich auch nur EIN MAL für diese IP, nicht jedesmal!

Wenn nun bei 1.1 bis 1.4 etwas gefunden wurde wird nur MIR eine Notiz hinterlassen die ich dann manuell überprüfe; komme ich aufs IPC WebIf hinterlasse ich demjenigen einen ACHTUNG-Hinweis in seinen Configs und beende Cron sowie die jeweilige Cam
Beachtet derjenige das nicht sondern spielt zb einfach nur ein Backup drüber und startet wieder die Cams aber ändert keinerlei Zugangsdaten, trage ich ihn manuell in unsere Blacklist ein inkl. evtl. vorhandener Peers ABER die letzte Stelle der IPs sowie dyndns.org etc natürlich ausge'x't
Das sind zZt auch nur 3 die aber leider seit ca. 2 Wochen nichts an diesem Zustand ändern

Du musst angemeldet sein, um Bilder zu sehen.

Es ist leider sogar einer dabei der KEINE Zugangsdaten fürs IPC-WebIf und CCcam-WebIf eingestellt hat!

Jeder, der sich IPC offline installiert und mein ipc-luf.tgz nutzt wird somit natürlich NICHT überprüft!
Ich habe kein interesse daran irgendjemanden auszuspionieren o.ä. - mein einziges Interesse besteht darin IPC möglichst sicher zu machen - mein IPC telefoniert also NICHT nachhause; das könnt ihr natürlich gerne überprüfen aber werdet nichts finden...
Solange das nicht der Fall ist würde ich euch deshalb auch bitten solche Vermutungen für euch zu behalten sonst schnappt das jemand auf und verschluckt sich dabei... Ist ja leider schon vorgekommen

Wer also KEINE Standard-Ports nutzt wird somit auch nicht überprüft!


Warum ich das mache sollte denk ich nun klar sein - man sollte eben beachten das es heutzutage mehr als normal ist das irgendwelche Scriptkiddies ganze Subnetze nach potenziell gefärdeten Systemen durchsuchen und sogar InternetServiceProvider ihre Nutzer dahingegend überprüfen ob diese zb p2p betreiben o.ä. und wenn dort dann zb Port 12000 offen ist liegt es quasi auf der Hand das derjenige CardSharing betreibt denn auf diesem Port läuft standardmässig sonst nichts!

Also wer sich an das hällt, hat absolut garnichts zu befürchten, weder vor mir noch vor jemand anderem und genau das ist mein Ziel

Dennoch habe ich ein Ratschlag von Dir befolgt: Ich habe die Portweiterleitung im Router, die ich unsinnigerweise gesetzt habe, wieder entfernt. Außerdem habe ich Usernames und Passwörter vergeben. Damit so denke ich, habe ich einiges an mehr Sicherheit bekommen als vorher.

das ist in jedemfall sehr sinnvoll auch wenn es derzeit keine portweiterleitung gibt aber wenn die ausversehen wieder an sein sollte ist es zumindest geschützt