ubuntuusers.de

DAS hier passiert laut ngrep auf dem netz wenn der ltspclient tftpd versucht:

U 172.16.0.33:67 -> 172.16.0.35:68
  .......p...........#...!.........p........................................................................../ltsp/i386/pxelinux.0................................
  ...........................................................................c.Sc5..6....!3..................................................                      
#
U 0.0.0.0:68 -> 255.255.255.255:67
  .......p.........................p...............................................................................................................................
  ...........................................................................c.Sc5..2....#7........<+9...6....!a..I`B).6........(Y]...^....<.PXEClient.............
  .................................................................................................................................................................
  .................................................................                                                                                                
#
U 172.16.0.33:67 -> 172.16.0.35:68
  .......p...........#...!.........p........................................................................../ltsp/i386/pxelinux.0................................
  ...........................................................................c.Sc5..6....!3..................................................                      
#
U 172.16.0.35:2070 -> 172.16.0.33:69
  ../ltsp/i386/pxelinux.0.octet.blksize.1456.                                                                                                                      
#
U 172.16.0.33:32858 -> 172.16.0.35:2070
  ..blksize.1456.                                                                                                                                                  
#
U 172.16.0.33:32858 -> 172.16.0.35:2070
  ..blksize.1456.                                                                                                                                                  
#
U 192.168.1.1:520 -> 224.0.0.9:520
  ........................                                                                                                                                         
#
U 172.16.0.33:32858 -> 172.16.0.35:2070
  ..blksize.1456.                                                                                                                                                  
#

was soll das mit der blksize?

das ngrep output brachte mich dazu nach tftpd-hpa + blksize zu suchen
DAS kam dabei raus:

inetd.conf

tja entfernte Anmeldung unter System/Administration/Anmeldefenster entfernte Anmeldung erlauben
dann gehts und wenn mans nach einem erfolgreichen Login wieder deaktiviert klappt es immer noch
keine Ahnung warum ich dachte es wird eh Alles (grafisches) über SSH-Tunnel abgewickelt also sollte doch quasi
für den LTSP-Server die Verbindung zum Xserver wie eine lokale aussehen

tja mir egal warum endlich ist es perfekt

Hi.

Sorry das ich mich wieder erst so spät melde. Das ist komisch, das der tftpd mit der blocksize so spinnt, aber ich werde einen entsprechenden hinweis in die Anleitung einbauen. Kannst du mir bitte kurz mitteilen, was du am tftpd-hpa startskript genau ändern musstest damit es funktioniert. Danke.

Ja und das mit dem XDMCP und GDM verstehe ich auch nicht ganz .... hmm, ich werde mal suchen ob im inet ähnliche Probleme auftauchen.

Gerald

ich hab die inetd.conf angepaßt (s. oben ☺ )

 tftp  dgram  udp  wait  root  /usr/sbin/in.tftpd /usr/sbin/in.tftpd -s /var/lib/tftpboot -r blksize -r timeout 

ohne debug (-vvv)

hier noch mein ltsp-startskript für alle Dienste:

#!/bin/bash

case "$1" in

start)

echo "starting ltsp.."
sudo /etc/init.d/dhcp3-server start && sudo /etc/init.d/openbsd-inetd start && sudo /etc/init.d/nbd-server start && sudo /etc/init
.d/portmap start && sudo /etc/init.d/nfs-common start && sudo /etc/init.d/nfs-kernel-server start && echo "done!!"

;;


stop)

echo "stopping ltsp.."
sudo /etc/init.d/dhcp3-server stop && sudo /etc/init.d/nbd-server stop && sudo /etc/init.d/portmap stop && sudo /etc/init.d/nfs-ke
rnel-server stop && sudo /etc/init.d/nfs-common stop && sudo /etc/init.d/openbsd-inetd stop && sudo killall nbd-server in.tftpd &&
 echo "done!!"

;;

esac

Bedienung: ltsp.sh start /stop ; gilt nur für inetd-startmethode und nicht tftpd-hpa standalone

ANMERKUNG ZUM LETZTEN POST !!!

entfernte Anmeldung aus bewirkt IMMER das er sagt Login incorrect beim einloggen
nur übernimmt ein gdm restart wohl die Deaktivierung des grafischen Logins nicht
aber nach einem Reboot kommt man wie gesagt nicht mehr rein

damit ich nun nicht zwei gdmkonfs haben muß ( eine mit remotelogin und eine ohne )
und diese durch das skript uncool hin und her moven lassen muß wäre es
toll wenn mir jemand verrät wie man den remote login durch einen Befehl aktiviert bzw. deaktiviert
das wäre doch deutlich "schicker"

Der LTSP-Artikel wird immer besser!

Eine Bitte hätte ich aber noch: Vielleicht kannst du ja auch noch die nötigen Veränderungen bei der Firewall Firestarter mit einbringen. Das ist glaub ich nicht nur für mich interessant, da ja der LTSP-Server ne Firewall haben sollte.

Ich kriegs nur hin, den ThinClient zu starten, wenn ich die Firewall kurz ausschalte, obwohl ich DHCP für das lokale Netzwerk aktiviere. Möglicherweise muss ich noch irgendwelche ICMP-Sachen aktivieren?

Gruß, Moses

hi,

habe ein Problem beim starten des Clients, da kommt die Fehlermeldugn unable to load file? TFTP Error 1

Was ist da genau falsch oder fehlerhaft? keine Rechte?
Die Datei liegt an der Stelle wo sie liegen soll, in der dhcp.conf ist option root-path und filename auch eingetragen...

Gruß
Nils

@moses-junior:

Tja, nachdem mein LTSP Server nur mit einer Firewall gegen das Inet abgesichert ist, habe ich keine Ahnung welche POrts tatsächlich benutzt werden und ich kenn mich mit firestarter auch nicht aus, ich benutze nur firehol.

@Nlis86:
Du musst sicherstellen, das dein TFTP Server (tftpd-hpa) läuft. Damit gibts immer wieder probelme.

LG zege

hi, wie kann ich wirklich sicherstellen das der TFTP-Dienst läuft?
Unter LTSPCFG schreibt er mir, das der Dienst läuft.....

Hi,
erstmal muss ich sagen, dass der Wikibeitrag echt gelungen ist. Für mich als Anfänger ist er relativ nachvollziehbar erklärt. Allerdings verstehe ich eines nicht:

Beim NFS-Mount steht, dass in der Konfiguration von "/etc/exports" die Einhängepunkte auch über das Internet erreichbar sind. Was genau bedeutet das? Sieht ein Surfer, wenn er meine IP im Browser eingibt, die Verzeichnisse? 😛 *g*
Und zum Anderen würde ich gerne wissen, wie man das sperren kann. Was genau muss ich in der Firewall einstellen? OpenSSh-Server-Port nicht zum Server weiterleiten?

Grüße,
Kai

erstmal sollte ein Router (wenn du einen hast) den direkten Zugriff
verhindern, dann können NFS-Freigaben nicht in einem Browser angezeigt werden
wenn du sichern gehen willst sperre die Ports 2049 (tcp/udp) und 111 (tcp/udp)
bzw. laß nur Verkehr aus dem internen Netz zu

Hallo.

Nils86:
wenn du ltspcfg auf deinem System hast, ist schon etwas schief gelaufen. Entferne doch mal alle LTSP Pakete und instaliere genau nach Wiki Artikel noch mal. Und installier nicht mehr als angegeben, denn Ubuntu verwendet Standardmäßig eine neuere Version von LTSP die mit den alten Versionen nicht kompatibel ist.

ananas:
Du kannst das ganz einfach in der /etc/exports einstellen:

/opt/ltsp            192.168.1.0/255.255.255.0 (ro,no_root_squash,async)

Du musst nur 192.168.1.0 durch deine Netzwerkadresse ersetzten - Die Netzwerk Adresse ist immer mit einer 0 hinten dran!!! - und die Subnetmask 255.255.255.0 durch die von deinem internen Netzwerk ersetzen, und schon erlaubt der NFS Server keinen Zugriff mehr von Adressen die ausserhalb des internen Netzwerkes liegen. Weiters solltest du wie NetShadow schon geschrieben hat deine Firewall anpassen, damit vom Internet her nur Dienste erreichbar sind, von denen du auch willst das diese über das Internet erreichbar sind.

Bitte beachte weiters das bei Ubuntu LTSP nur die Verbindung zum X-Server (also die grafische Oberfläche) durch einen SSH-Tunnel gleitet wird. Alles andere wird unverschlüsselt übertragen!

Wenn du eine einfach zu konfigurierende Firewall willst, dann schau dir mal firehol an : http://firehol.sourceforge.net/ das ganze gibts als Ubuntupaket und nennt sich - wie sollte es anders sein - firehol.

Ich hoffe das ich euch soweit helfen konnte.

FG Gerald

Hi,
danke für deine Antworten. Dennoch habe ich ein paar Anmerkungen:

1. Wenn der DHCP-Server sowieso nur im Bereich von 192.168.1.100 - 192.168.1.250 Netzwerkadressen verteilt, wieso sollte man in der /etc/export für alle Netzteilnehmer das Verzeichnis /opt/ltsp offen legen? Somit mache ich doch mein Netzwerk unsicher oder hat das einen besonderen Grund?

2. Werden zwischen dem Client und Server noch andere Verbindungen geleitet, die nicht verschlüsselt sind?

Gruß,
Kai

An der Stelle ist vielleicht ein Hinweis auf den Abschnitt Zugriffskontrolle im NFS-Artikel und/oder auf inetd#tcpwrapper angebracht.

Bei der Ubuntu Implementierung von LTSP 5.0 werden alle Verbindungen zum X-Server des Servers durch einen SSH-Tunnel geführt. Das bedeutet, dass man eine verschlüsselte Verbindung zwischen Server und Client hat, was im Vergleich zum ansonsten üblichen X Display Manager Control Protocol (XDMCP) - welches üblicherweise verwendet wird - auch höheren Sicherheitsanforderungen gerecht wird. Dies gilt allerdings nur für die Daten des X-Servers; die Daten, die mittels NFS übertragen werden, werden unverschlüsselt über das Netzwerk geschickt.

Meine 2. Frage hat sich erledigt. Im Wikiartikel steht das ja schon. Hatte es übersehen.

cornix hat geschrieben:

An der Stelle ist vielleicht ein Hinweis auf den Abschnitt Zugriffskontrolle im NFS-Artikel und/oder auf inetd#tcpwrapper angebracht.

Danke, also kann man ggf. die NFS-Freigabe unter /etc/host.allow oder /etc/host.deny noch eingrenzen. Um das zu verdeutlichen könnte man ja einen Verweis vom LTSP-Wikieintrag zur Zugriffskontrolle machen.