---

Hejsa,

Hvis man åbner en filserver mod Internet og forwarder AFP's port mod
serveren, hvor sikkert er det så?

Jeg vil godt tillade kunder at logge ind via AFP på serveren, men det
skal jo kun være dem med konto, som har adgang. Det er sat op nu, men
er man helt sikker på denne måde?

Er der nogen kendt måde hvorpå udbodne gæster kan få adgang til en
AppleShare server, selvom de ingen konto har, eller er det bare "helt
sikkert"*?

* Intet er _helt_ sikkert, men hvis det kræver noget lignende NSA for
at bryde ind, så er jeg tilfreds

--
Mvh.
René Frej Nielsen
PowerMac G4 MDD Dual 867 Mhz Verax | 1 GB RAM | 370 GB HD | Apple iSight
Samsung SM-193t 19" TFT | Radeon 8500 | AlchemyTV DVR

---

René Frej Nielsen wrote:
> Hejsa,
>
> Hvis man åbner en filserver mod Internet og forwarder AFP's port mod
> serveren, hvor sikkert er det så?

Hvilken server snakker vi om her? OSX? eller os9 ?


> Jeg vil godt tillade kunder at logge ind via AFP på serveren, men det
> skal jo kun være dem med konto, som har adgang. Det er sat op nu, men
> er man helt sikker på denne måde?

Du kunne lave firewall regler så kun dine kunder kan få adgang til din
maskine, det hjælper bare ikke hvis de har en omskiftende adresse, eller
at du får nye kunder. Evt. kunne du bruge ftp, eller smb, problemet her
er at finder i OSX ikke kan skrive på ftp, men med smb virker det.


> Er der nogen kendt måde hvorpå udbodne gæster kan få adgang til en
> AppleShare server, selvom de ingen konto har, eller er det bare "helt
> sikkert"*?

Jeg har ikke kendskab til noget men jeg følger heller ikke med omkring
AFP. Måske du skulle se på securityfocus.com eller tilsvarende?


> * Intet er _helt_ sikkert, men hvis det kræver noget lignende NSA for
> at bryde ind, så er jeg tilfreds

hvad med den fysiske sikkerhed af serveren? Hvad hjælper det at den er
hacker proof, når man bare kan sparke døren ind og løbe med hele serveren?



JonB

---

Jon Bendtsen <noone@example.com> wrote:

>> Hvis man åbner en filserver mod Internet og forwarder AFP's port mod
>> serveren, hvor sikkert er det så?
>
> Hvilken server snakker vi om her? OSX? eller os9 ?

En Mac OS X Server 10.3.3. Det burde jeg nok have nævnt

>> Jeg vil godt tillade kunder at logge ind via AFP på serveren, men det
>> skal jo kun være dem med konto, som har adgang. Det er sat op nu, men
>> er man helt sikker på denne måde?
>
> Du kunne lave firewall regler så kun dine kunder kan få adgang til din
> maskine, det hjælper bare ikke hvis de har en omskiftende adresse, eller
> at du får nye kunder. Evt. kunne du bruge ftp, eller smb, problemet her
> er at finder i OSX ikke kan skrive på ftp, men med smb virker det.

Den skal også være FTP-server, men nogle af vores kunder kender ikke
rigtigt til FTP og som du ganske rigtigt påpeger, så kan Finder ikke
skrive til FTP, så den kan ikke bruges. Det er nogen gange for
besværligt at få kunderne til at hente et FTP-program og derfor vil vi
gerne åbne op for AFP.

Mange glemmer også at pakke filerne inden de sender dem via FTP og så
ryger alle vores resourcegrene, og det slipper vi også for via AFP.

Det er ikke muligt at gå firewall-vejen, for det vil sikkert være
næsten umuligt for flere af vores kunder at finde ud af, hvilke
IP-adresser de har.

>> Er der nogen kendt måde hvorpå udbodne gæster kan få adgang til en
>> AppleShare server, selvom de ingen konto har, eller er det bare "helt
>> sikkert"*?
>
> Jeg har ikke kendskab til noget men jeg følger heller ikke med omkring
> AFP. Måske du skulle se på securityfocus.com eller tilsvarende?

Jeg kigger en gang.

>> * Intet er _helt_ sikkert, men hvis det kræver noget lignende NSA for
>> at bryde ind, så er jeg tilfreds
>
> hvad med den fysiske sikkerhed af serveren? Hvad hjælper det at den er
> hacker proof, når man bare kan sparke døren ind og løbe med hele serveren?

Den skal blot agere som en filserver, som vores kunder kan bruge til
at overføre filer til os, så det er ikke specielt vigtige eller
fortrolige data. Der er dog et par kunder, som har forlangt at få
deres egen mappe, hvor andre ikke kan kigge ind og derfor har jeg
opsat denne Mac OS X Server, istedet for vores nuværende løsning, hvor
der er en fælles FTP-mappe på vores Sun server.

Den står i et aflåst serverrum, så det er sikkert nok for os.

--
Mvh.
René Frej Nielsen
PowerMac G4 MDD Dual 867 Mhz Verax | 1 GB RAM | 370 GB HD | Apple iSight
Samsung SM-193t 19" TFT | Radeon 8500 | AlchemyTV DVR

---

René Frej Nielsen - spam@rfn.dk on 05/04/04 13:51 wrote:

> Det er ikke muligt at gå firewall-vejen, for det vil sikkert være
> næsten umuligt for flere af vores kunder at finde ud af, hvilke
> IP-adresser de har.

Bare send dem en tur forbi http://www.whatismyip.com - det kan de fleste
dreseres til

--
/peter

http://spacerent.dk - Webhosting fra 39,-/md.

---

Peter Kiil <spam@kiil.net> wrote:

> Bare send dem en tur forbi http://www.whatismyip.com - det kan de fleste
> dreseres til

Eller blot www.myip.com : )


--
Sebastian Bredsdorff
DK-2920 Charlottenlund

---

Sebastian Bredsdorff <usenet@geomac.dk> wrote:

> > Bare send dem en tur forbi http://www.whatismyip.com - det kan de fleste
> > dreseres til

> Eller blot www.myip.com : )

duer hverken i min ftp eller mailklient


--
Morten Reippuert Knudsen

PowerMac G5: 1.6GHz, 1.25GB RAM, 80GB Disk, 8x DVD+/-RW, Bluetooth
mus + tastatur, FX5200 Ultra, iSight & Lacie Photon18Vision (TFT).

---

Morten <spam@reippuert.dk> wrote:

> > > Bare send dem en tur forbi http://www.whatismyip.com - det kan de fleste
> > > dreseres til
>
> > Eller blot www.myip.com : )
>
> duer hverken i min ftp eller mailklient


Bruges blot til at finde ud af hviken ip man har på ydersiden.....
Du skal gå ind via en webbrowser.....


--
Sebastian Bredsdorff
DK-2920 Charlottenlund

---

Sebastian Bredsdorff <usenet@geomac.dk> wrote:

> > > > Bare send dem en tur forbi http://www.whatismyip.com - det kan de fleste
> > > > dreseres til
> >
> > > Eller blot www.myip.com : )
> >
> > duer hverken i min ftp eller mailklient

> Bruges blot til at finde ud af hviken ip man har på ydersiden.....
> Du skal gå ind via en webbrowser.....

aha det ville <http://www.myip.com> have afsløret

....det er bare mig der er småmopset over subdomainet www.* anvendes
til at angive at der er tale om en adresse på http protokollen.

--
Morten Reippuert Knudsen

PowerMac G5: 1.6GHz, 1.25GB RAM, 80GB Disk, 8x DVD+/-RW, Bluetooth
mus + tastatur, FX5200 Ultra, iSight & Lacie Photon18Vision (TFT).

---

In dk.edb.mac, spam@reippuert.dk wrote:

> Sebastian Bredsdorff <usenet@geomac.dk> wrote:

>> > > Eller blot www.myip.com : )
>> >
>> > duer hverken i min ftp eller mailklient

Den er heller ikke så god her, med en browser. Til gengæld virker
<http://myip.dk/> fremragende.

> ...det er bare mig der er småmopset over subdomainet www.* anvendes
> til at angive at der er tale om en adresse på http protokollen.

<http://fuckwww.dk/>

--
| Jonas @ 55.68 , 12.57 | <http://blog.verture.net/> |

BOFH-excuse: Only people with names beginning with
'A' are getting mail this week (a la Microsoft)

---

Jonas Voss <hexley@spymac.com> wrote:

> > ...det er bare mig der er småmopset over subdomainet www.* anvendes
> > til at angive at der er tale om en adresse på http protokollen.

> <http://fuckwww.dk/>

<zappa> Yauwsa, Yauwsa, Yauwsa </zappa>

--
Morten Reippuert Knudsen

PowerMac G5: 1.6GHz, 1.25GB RAM, 80GB Disk, 8x DVD+/-RW, Bluetooth
mus + tastatur, FX5200 Ultra, iSight & Lacie Photon18Vision (TFT).

---

In dk.edb.mac, spam@reippuert.dk wrote:

> Jonas Voss <hexley@spymac.com> wrote:

>> <http://fuckwww.dk/>

> <zappa> Yauwsa, Yauwsa, Yauwsa </zappa>

Personligt synes jeg det er lidt overkill at pege folk på fuckww.dk hvis
de skriver www foran mit domæne. Der er mange i min omgangskreds der
ikke har samme interesse i RFCere og webadresser som mig, så de ville
nok synes det var tåbeligt at blive kastet forbi fuckwww.

I stedet har jeg lavet det sådan, at hvis man skriver www.verture.net i
sin browser, så fjerner den www automagiskt.

--
| Jonas @ 55.68 , 12.57 | <http://blog.verture.net/> |

BOFH-excuse: Your EMAIL is now being delivered by the USPS.

---

Peter Kiil <spam@kiil.net> wrote:

> René Frej Nielsen - spam@rfn.dk on 05/04/04 13:51 wrote:
>
> > Det er ikke muligt at gå firewall-vejen, for det vil sikkert være
> > næsten umuligt for flere af vores kunder at finde ud af, hvilke
> > IP-adresser de har.
>
> Bare send dem en tur forbi http://www.whatismyip.com - det kan de fleste
> dreseres til

Hvad er der i vejen med http://www.myip.dk/ ?
--
The trouble with the global village are all the
global village idiots. - Paul Ginsparg.

---

Jon Bendtsen <noone@example.com> wrote:

> > Hvis man åbner en filserver mod Internet og forwarder AFP's port mod
> > serveren, hvor sikkert er det så?

> Hvilken server snakker vi om her? OSX? eller os9 ?

OS X Server 10.3.

> > Jeg vil godt tillade kunder at logge ind via AFP på serveren, men det
> > skal jo kun være dem med konto, som har adgang. Det er sat op nu, men
> > er man helt sikker på denne måde?

> Du kunne lave firewall regler så kun dine kunder kan få adgang til din
> maskine, det hjælper bare ikke hvis de har en omskiftende adresse, eller
> at du får nye kunder. Evt. kunne du bruge ftp, eller smb, problemet her
> er at finder i OSX ikke kan skrive på ftp, men med smb virker det.

ftp sender passwors i klartext, og kan derfor ikke anses som værende
sikker. Mht. smb mener jeg bestemt at det ikke anses for at være
sikkert uden det pakkes ind i kryptering - med 2003 Server mener jeg
at man kan kryptere smb, men så udelukkes en lang række klienter fra at
kunne koble på.

> > Er der nogen kendt måde hvorpå udbodne gæster kan få adgang til en
> > AppleShare server, selvom de ingen konto har, eller er det bare "helt
> > sikkert"*?

bare sørg for at gæste adgang ikke er slået til. (på såvel shares som
globalt på selve serveren).

> Jeg har ikke kendskab til noget men jeg følger heller ikke med omkring
> AFP. Måske du skulle se på securityfocus.com eller tilsvarende?

Såvidt jeg er orienteret er der ingen kendte sikkerhedshuller i afp (ikke
i den version Apple pt. anvender), og password sendes ikke i klar text.
Man kan desuden fra OSX server pakke afp ind i ssh så trafikken også sikres,
men det er kun OSX klienter der kan kan koble på over ssh (dvs ikke en
mulighed for OS9 brugere).

> > * Intet er _helt_ sikkert, men hvis det kræver noget lignende NSA for
> > at bryde ind, så er jeg tilfreds

> hvad med den fysiske sikkerhed af serveren? Hvad hjælper det at den er
> hacker proof, når man bare kan sparke døren ind og løbe med hele serveren?

Det er vist ikke hvad René i denne sammenhæng ønsker at beskytte sig
imod. Han ønsker blot at ubudne gæster (herunder osse andre kunder),
ikke kan få læse og/eller skriveadgang til kundernes shares.

--
Morten Reippuert Knudsen

PowerMac G5: 1.6GHz, 1.25GB RAM, 80GB Disk, 8x DVD+/-RW, Bluetooth
mus + tastatur, FX5200 Ultra, iSight & Lacie Photon18Vision (TFT).

---

Morten <spam@reippuert.dk> wrote:

>> > Er der nogen kendt måde hvorpå udbodne gæster kan få adgang til en
>> > AppleShare server, selvom de ingen konto har, eller er det bare "helt
>> > sikkert"*?
>
> bare sørg for at gæste adgang ikke er slået til. (på såvel shares som
> globalt på selve serveren).

Jeg er ved at lave noget lignende den server, som du hjalp mig med i
forrige uge. Det lader lige umiddelbart til, at man vist kan undgå at
oprette en gruppe pr. kunde, men jeg skal lige lege lidt mere med det.

Jeg har også fundet vejledninger til hvordan man ændrer på den
generelle umask, således at grupperettigheder bliver sat til
læse+skrive på nye filer og mapper. Ellers må man bruge "Inherit
persmissions".

>> hvad med den fysiske sikkerhed af serveren? Hvad hjælper det at den er
>> hacker proof, når man bare kan sparke døren ind og løbe med hele serveren?
>
> Det er vist ikke hvad René i denne sammenhæng ønsker at beskytte sig
> imod. Han ønsker blot at ubudne gæster (herunder osse andre kunder),
> ikke kan få læse og/eller skriveadgang til kundernes shares.

Netop.

--
Mvh.
René Frej Nielsen
PowerMac G4 MDD Dual 867 Mhz Verax | 1 GB RAM | 370 GB HD | Apple iSight
Samsung SM-193t 19" TFT | Radeon 8500 | AlchemyTV DVR