Cups port 631

[HelsAett]

mal eine frage, gibt es eine möglichkeit bei cups den port zu schliessen, dieser steht zwar in /etc(service drin aber nicht in /etc/ined.conf oder brauch ich den umbeding für die drucker ansteuerung, obwohl der drucker am selben rechner hängt.

gruss helsaett

[pdreker]

über den Port läuft die Netzwerkfähigekit (IPP) von CUPS und ausserdem das Webinterface zur Konfiguration, das z.B. von KDE genutzt wird, um CUPS einzurichten. Schliessen ist sicherlich nicht sinnvoll, aber Du kannst in /etc/cups/cupsd.conf Zugriffsbeschränkungen auf IP Basis vornehmen, d.h. Du kannst CUPS sagen, dass er nur Zugriffe von einem bestimmten Rechner z.B. annehmen soll. ISTR dass man CUPS auch sagen kann, dass er sich nur an die loopback Adresse binden soll, dann wäre der Server nur noch von localhost aus erreichbar....

Patrick

[HelsAett]

Danke für die schnelle Antwort, klingt einleuchtent. Aber trotzdem irgendwie schade, hab die ports gerne dicht am meinen System.
Und eine beschränkung auf IP Basis scheind mir nicht unbedingt sicher, immerhin kann man diese auch verfälschen. Hab zwar IPTables vor aber bin paranoid
der cups läuft doch auuch mit den packeten cups-client und cupsys ich hab nun natürlich die anderen auch installiert für die conf peer web interface aber wenn ich die conf nun hab, weisst du welche pakete ich wieder runter kann.
Der Drucker läuft ja jetzt und ich würd mich wohler fühlen wenn der port wieder dicht wäre.

Hast da noch einen Tipp ?

[KBDCALLS]

Danke für die schnelle Antwort, klingt einleuchtent. Aber trotzdem irgendwie schade, hab die ports gerne dicht am meinen System.
Und eine beschränkung auf IP Basis scheind mir nicht unbedingt sicher, immerhin kann man diese auch verfälschen. Hab zwar IPTables vor aber bin paranoid
der cups läuft doch auuch mit den packeten cups-client und cupsys ich hab nun natürlich die anderen auch installiert für die conf peer web interface aber wenn ich die conf nun hab, weisst du welche pakete ich wieder runter kann.
Der Drucker läuft ja jetzt und ich würd mich wohler fühlen wenn der port wieder dicht wäre.

Hast da noch einen Tipp ?

In der cupsd.conf Networkoptions listen adresse

[pdreker]

Und eine beschränkung auf IP Basis scheind mir nicht unbedingt sicher, immerhin kann man diese auch verfälschen.

Nicht wirklich. Bei UDP ist das ganze noch machbar, aber bei TCP muss man eine 2-Wege Kommunikation herstellen, und daher kann man mit gespoofter Absenderadresse keine Verbindung aufbauen, da man das Antwortpaket nicht zu sehen bekommt. Die IPID und Sequencenumber Generation unter Linux ist mit eine der besten, so dass man da nur eine Chance hat, wenn man eine wirklich breitbandige Verbindung (einige Megabit/s) und genug Zeit hat.

Listen Address 127.0.0.1 führt dann aber endgültig dazu, dass CUPS nur noch Verbindungen annimmt, die über das loopback Interface reinkommen, da ist dann auch diese kleine (und theoretische) Lücke geschlossen.

Patrick

[KBDCALLS]

Und eine beschränkung auf IP Basis scheind mir nicht unbedingt sicher, immerhin kann man diese auch verfälschen.

Listen Address 127.0.0.1 führt dann aber endgültig dazu, dass CUPS nur noch Verbindungen annimmt, die über das loopback Interface reinkommen, da ist dann auch diese kleine (und theoretische) Lücke geschlossen.

Patrick

Wenn was unsicher ist dann auf Namensbasis. Zumal das loopbackinterface und auch die Adressen aus dem privaten Bereich nicht nach außen geroutet werden.

[b a r t]

aber he wenn du schon paranoid bist, hast du sicherlich auch eine Firewall, ansonst kann jeder an dein Computer ran, das würde ich nur machen, wenn ich kein Geld habe, mir die Sicherheit eine kleinere Rolle spielt oder wenn ich es nicht kann.
An der Firewall/Router kannst du meinstens einfach einstellen welchen Port von aussen nach innen geleitet /umgeleitet werden, so mit kannst du den CUPS Port schliessen.

gruss
b a r t