2.2. System

Diese Seiten dienen dazu, administrative Tätigkeiten am IPCop-Server an sich durchzuführen. Sie erhalten Zugriff auf diese Seiten, indem Sie das Menü System auswählen. Folgende Auswahlen stehen dann im Dropdown-Menü zur Verfügung:

2.2.1. Updates

Dieser Bereich hat 2 Abschnitte:

  1. Die erste Box zeigt eine Liste der verfügbaren Updates sowie Links zum Downloaden und Installieren. Weiterhin kann hier ein Kernel-Typ ausgewählt werden. Die nicht benötigten Kernel-Dateien werden dann gelöscht, um Plattenplatz zu sparen.

  2. Die zweite Box zeigt die bereits installierten Updates.

Verfügbare Updates

Jedes Mal, wenn IPCop eine Verbindung ins Internet aufbaut, wird überprüft, ob neue Updates verfügbar sind. Sie können auch manuell auf Updates prüfen, indem Sie den Schalter Akutalisiere Update-Liste klicken. Wenn ein neues Update verfügbar ist, wird dies zusammen mit einer kurzen Beschreibung und einem Link zum Download der Update-Datei angezeigt.

Ein Klick auf den Download-Link lädt die Update-Datei direkt auf das IPCop-System (durch einen Fehler in der Version 1.4.20 arbeitete dieses Funktion nicht mehr korrekt, so dass das Update auf 1.4.21 manuell installiert werden muss).

Frühere Versionen erforderten das manuelle Herunterladen der Update-Datei auf einen Client-PC mit einem Web-Browser. Anschließend musste die Datei über den Update-Schalter auf den IPCop übertragen werden.

Kernel-Updates werden ggf. in mehreren Teilen bereitgestellt, um auch auf Systemen mit geringem Plattenplatz installiert werden zu können. In diesem Fall kann der gewünschte Kernel-Typ (Mono-Prozessor oder SMP) ausgewählt werden.

Wenn der Bereich Plattenbelegung rot hinterlegt ist, müssen Sie den Schalter Kernel-Auswahl betätigen, um nicht benötigte Kernel-Dateien zu löschen. Dadurch wird Plattenplatz in den Partitionen /dev/root und /boot frei gemacht. Beim nächsten Systemstart muss ggf. der richtige Kernel aus dem Bootmenü ausgewählt werden.

Die Grenzwerte für die Plattenbelegungs-Warnung sind 20MB auf /dev/root und 1MB auf /boot. Seit IPCop 1.4.18 wurde die Partition /boot von 8MB auf 10MB vergrößert.

Das Löschen des Squid-Zwischenspeichers (Proxy-Cache) kann Plattenplatz in der Partition /var/log sparen. Zum Löschen des Zwischenspeichers betätigen Sie den Schalter Zwischenspeicher löschen (squid).

Installierte Updates
[Anmerkung]Anmerkung

Es lassen sich nur offizielle Updates installieren. Einige Updates können einen Neustart des IPCop-Systems erfordern, lesen Sie deshalb bitte alle Update-Informationen gründlich durch, bevor Sie ein Update installieren.

Fehlerbehebung

Falls der Fehler "Dies ist kein authorisiertes Update" angezeigt wird, überprüfen Sie, ob Datum und Uhrzeit Ihres IPCop-Rechners stimmt. Wenn Datum und Uhrzeit in der Vergangenheit liegen, stellt der Entschlüsselungsalgorithmus ein ungültiges, in der Zukunft liegendes Signaturdatum fest und endet vorzeitig mit Ausgabe dieser Fehlermeldung.

In der Logdatei /var/log/httpd/error_log kann dies verifiziert werden.

Da IPCop häufig auf älterer Hardware installiert wird, kann es durchaus sein, dass eine leer werdende Batterie Fehler bei der Uhr des Rechners verursacht.

2.2.2. Passwörter

Passwörter

Die Seite Passwörter ermöglicht es, die Passwörter der Benutzer admin und/oder dial zu ändern. Geben Sie einfach das gewünschte Passwort mit Wiederholung in die vorgesehenen Eingabefelder ein und klicken Sie auf Speichern.

Die Eingabe eines Passworts für den Benutzer dial aktiviert diesen Benutzer. Dieser spezielle Benutzer kann die Verbindungsschalter auf der Startseite betätigen, hat aber keinen Zugriff auf die anderen administrativen Seiten des Webinterfaces. Verwenden Sie diesen Benutzer, wenn Sie eine Einwahlverbindung konfiguriert haben und Anwendern erlauben wollen, die Verbindung zum Internet herzustellen, ohne dass diese auch administrativen Zugang zum IPCop erhalten sollen.

2.2.3. SSH-Zugriff

Über die Seite SSH-Zugriff können Sie festlegen, ob SSH-Fernzugriff für Ihren IPCop möglich sein soll, oder nicht. Mit einem gesetzen Häkchen wird der SSH-Fernzugriff aktiviert, ausserdem können Sie hier noch verschiedene Parameter für den SSH-Daemon-Prozess konfigurieren. Der SSH-Zugriff ist in der Standardkonfiguration deaktiviert und sollte nur wenn nötig aktiviert und anschließend wieder deaktiviert werden.

SSH Zugriff und SSH Host Schlüssel

So wie die HTTP und HTTPS Ports des IPCop auf 81 und 445 geändert wurden, ist auch der SSH Port auf 222 geändert. Wenn Sie eine GUI-basierte Applikation benutzen, um auf Ihre IPCop-Maschine zuzugreifen, denken Sie daran, den Port 222 anzugeben. Wenn Sie ssh, scp oder sftp Kommandos benutzen, beachten Sie, dass die Syntax zur Angabe des Ports von Kommando zu Kommando verschieden ist. Angenommen, die IP-Adresse Ihres IPCops lautet 192.168.254.1, dann lauten diese Kommandos:

SSH

ssh -p 222 root@192.168.254.1

SCP

scp -P 222 some/file root@192.168.254.1:

SFTP

sftp -o port=222 root@192.168.254.1

Benutzen Sie ggf. die Dokumentation (man pages) dieser Kommandos für weitere Beispiele.

2.2.3.1. SSH-Optionen

Folgende SSH-Optionen können über die Seite konfiguriert werden:

SSH-Zugriff:

Ein gesetztes Häkchen aktiviert den SSH-Zugriff. Wenn der externe Zugang nicht aktiviert ist, ist SSH nur über das GRÜNE Netz erreichbar. Mit aktiviertem SSH-Zugriff kann sich jeder, der das IPCop root Passwort kennt, auf der IPCop Kommandozeile einloggen.

Unterstützung für Version 1 des SSH-Protokolls (wird nur für alte Clients benötigt)

Diese Box aktiviert die Unterstützung des SSH Version 1 Protokolls. Von der Verwendung dieser Option wird dringend abgeraten, da bekannte Sicherheitslücken der Version 1 existieren. Benutzen Sie diese Option nur für kurzfristigen Zugang, wenn Sie nur SSH-Klienten verfügbar haben, die nur Version 1 unterstützen und die nicht auf Version 2 aktualisert werden können. Die meisten aktuellen SSH-Klienten unterstützen Version 2.

TCP-Weiterleitung zulassen

Diese Option ermöglicht SSH-verschlüsselte Tunnelverbindungen aufzubauen.

Wozu dient sowas, wenn IPCop bereits ein VPN besitzt?

Sie sind unterwegs und auf einem Ihrer Server tritt ein Problem auf. Sie bekommen keine VPN Roadwarrior Verbindung. Wenn Sie das root-Passwort des IPCops kennen, können Sie SSH Portweiterleitung verwenden, um durch Ihre Firewall Zugang zu Ihrem Server im geschützten Netzwerk zu erhalten. Die nächsten Abschnitte zeigen, wie man so etwas aufsetzt. Dabei wird angenommen, dass ein Telnet-Server auf einem internen Rechner mit der IP-Adresse 10.0.0.20 läuft. Ausserdem wird angenommen, dass die Remote-Maschine ein Linux-Rechner ist. Putty für Windows hat die gleichen Fähigkeiten, diese werden aber über Dialogboxen erreicht.

  1. Richten Sie externen Zugang für den HTTPS Port 445 ein.

  2. Konfigurieren Sie den SSH-Zugriff, die Portweiterleitung und den externen Zugang für den Port 222 über das IPCop Webinterface.

  3. Bauen Sie einen SSH-Tunnel zwischen der Remote-Maschine und dem internen Server (auf dem ein SSH-Daemon läuft) mit folgendem Kommando auf:

    ssh -p 222 -N -f -L 12345:10.0.0.20:23 root@ipcop
    
    -p 222

    IPCop überwacht SSH auf Port 222, nicht auf dem Standard-Port 22.

    -N

    Lässt SSH in Verbindung mit -f im Hintergrund laufen, ohne die Verbindung zu beenden. Wenn Sie diese Option verwenden, müssen Sie kill benutzen, um den SSH-Prozess zu beenden. Alternativ können Sie den Befehl sleep 100 an das Ende der Kommandozeile anhängen und die -N Option weglassen. In diesem Fall wird der SSH-Prozess nach 100 Sekunden beendet, aber die telnet-Sitzung und der aufgebaute Tunnel bleiben bestehen.

    -f

    SSH läuft im Hintergrund.

    -L

    Weist SSH an, einen Port-Weiterleitungs-Tunnel aufzubauen, der mit den nächsten Parametern spezifiziert wird.

    12345

    Der lokale Port, der für den Tunnel zum Remote-Service verwendet wird. Sollte größer als 1024 sein, andernfalls müssen Sie als root angemeldet sein, um Standard-Ports benutzen zu können.

    10.0.0.20

    GRÜNE Adresse des Remote-Servers.

    23

    Zu benutzender Remote-Port, Telnet.

    root@ipcop.fqn

    Legt fest, dass die IPCop Firewall als Port-Weiterleitungs-Agent benutzt wird. Sie benötigen eine Benutzer-ID für die Anmeldung und die einzige verfügbare ist root. Sie werden aufgefordert, das root-Passwort für den IPCop einzugeben.

  4. Abschließend loggen Sie sich beim Remote-Telnet mittels des Tunnels ein.

    telnet localhost 12345
    

    localhost ist die lokale Maschine, auf der Sie sich befinden. Die loopback-Adresse 127.0.0.1 ist als localhost definiert. 12345 ist der lokale Tunnelport, der im vorherigen Kommando festgelegt wurde.

Ein Tutorial über SSH Port-Weiterleitung finden Sie auf Dev Shed.

Passwortbasierte Authentifizierung zulassen

Ermöglicht es Benutzern, sich beim IPCop mittels des root-Passworts anzumelden. Wenn Sie diese Option ausschalten, müssen Sie zunächst Ihre SSH Schlüsseldateien konfigurieren und sicherstellen, dass Sie sich mit den Schlüsseldateien einloggen können.

Authentifizierung auf Basis öffentlicher Schlüssel zulassen

Mit dieser Option wird die Authentifizierung auf Basis öffentlicher Schlüssel zugelassen. Dies ist die bevorzugte Methode, den SSH-Zugriff auf dem IPCop abzusichern. In diesem Artikel finden Sie eine Diskussion über die Benutzung von SSH-keygen, um RSA-Schlüssel für die Verwendung mit SSH zu erzeugen.

2.2.3.2. SSH Host Schlüssel

Dieser Abschnitt listet die Fingerabdrücke der von IPCop verwendeten SSH-Schlüssel auf, die Sie verwenden können, um eine SSH-Verbindung mit IPCop zu verifizieren. Wenn Sie das erste Mal eine SSH-Verbindung zum IPCop erstellen, wird der Fingerabdruck angezeigt, und Sie werden aufgefordert, die Korrektheit zu bestätigen. Sie können den angezeigten Schlüssel mit der Darstellung auf dieser Seite vergleichen.

2.2.4. Einstellungen der Benutzeroberfläche

Diese Seite regelt, wie die Seiten des IPCop-Webinterfaces arbeiten und dargestellt werden.

Denken Sie daran, nach jeder Änderung den Speichern Schalter zu betätigen.

Um die Voreinstellungen wiederherzustellen, klicken Sie auf den Schalter Voreinstellungen wiederherstellen.

Einstellungen der Benutzeroberfläche

2.2.4.1. Anzeige

Javascript aktivieren:

Seit Version 1.4.0 verwenden die Seiten JavaScript, um den Bedienungskomfort zu verbessern. Allerdings arbeiten einige Browser nicht korrekt mit JavaScript. Wenn JavaScript abgeschaltet ist, werden keine DropDown-Menüs mehr dargestellt und Sie erreichen die einzelnen Auswahlmöglichkeiten über Links im oberen Seitenbereich.

Hostname im Fenstertitel anzeigen:

Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann hilfreich sein, wenn Sie mehr als einen IPCop administrieren.

Aktualisere index.cgi Seite während der Verbindung

Standardmäßig wird die Startseite aktualisiert, wenn IPCop eine Verbindung ins Internet aufgebaut hat. Ein manueller Klick auf den Schalter Aktualisieren lädt die Seite neu.

Wenn diese Option aktiviert ist, aktualisiert sich die Startseite alle 30 Sekunden automatisch.

Wählen Sie eine Sprache, in der IPCop angezeigt werden soll:

Über dieses DropDown-Menü können Sie eine der zahlreichen Sprachen wählen, mit der die Seiten des Webinterfaces dargestellt werden.

Das IPCop-Übersetzerteam plant die Unterstützung weiterer Sprachen, solange freiwillige Helfer bei der Übersetzung helfen. Wenn weitere Übersetzungen verfügbar sind, werden Sie den System-Updates hinzugefügt.

Selbstverständlich können Sie die IPCop-Texte selbst in eine andere Sprache übersetzen. Wenn Sie dies tun wollen, setzen Sie sich bitte zuerst mit dem IPCop Übersetzungs-Koordinator, Eric Oberlander, , in Verbindung. Er hat den Überblick über alle laufenden Übersetzungsaktivitäten. Für weitere Informationen besuchen Sie bitte die Seite IPCop How To Translate .

2.2.4.2. Klang

Piepen, wenn IPCop verbindet oder trennt

Standardmäßig piept IPCop einmal, wenn die Verbindung hergestellt wurde und zweimal, wenn die Verbindung getrennt wird.

Deaktivieren Sie diese Option, wenn Sie keine akustischen Signale wünschen.

Dies beeinflusst nicht die akustischen Signale beim Starten und Herunterfahren.

2.2.5. Datensicherung

2.2.5.1. 1.4.11

Die Datensicherungsseite wurde mit v1.4.11 überarbeitet, und beinhaltet folgende Änderungen:

  • Die Datensicherung unterstützt USB-Sticks.

  • Unverschlüsselte Sicherungen wurden aus Sicherheitsgründen entfernt.

  • Export des Sicherungsschlüssels (backup.key).

    Der Sicherungsschlüssel ist mit einem 'backup-' Passwort verschlüsselt, der für die Neuinstallation benötigt wird. Der Hostname ist Bestandteil des exportierten Sicherungsschlüssels.

  • Die Sicherungsdatei (backup.dat) enthält Hostnamen und Zeitstempel der Sicherung.

    Entfernen Sie den Zeitstempel aus dem Dateinamen der Sicherungsdatei, die Sie zur Wiederherstellung nutzen möchten.

    Für jede Sicherung gibt es ein Beschreibungsfeld. Die Beschreibung wird beim Hochladen wiederhergestellt (falls verfügbar).

  • Datensicherung auf Diskette

    Zeigt den belegten Speicherplatz an. Überprüft, ob die Sicherung nicht zu groß ist. Zeigt Fehler bei defekten, nicht eingelegten Disketten usw. an.

Datensicherung

2.2.5.2. Datensicherung auf Diskette

Im obersten Abschnitt der Datensicherungsseite können Sie die Konfiguration von Ihrem IPCop auf eine Diskette sichern. Der einzig sinnvolle Weg, die Konfiguration von der Diskette wieder herzustellen, ist die Neuinstallation des IPCop von CD-ROM oder HTTP/FTP. Am Anfang der Installation werden Sie nach einer Diskette gefragt, die eine IPCop Systemkonfiguration enhält. Ihre Konfiguration wird wiederhergestellt und die Installation wird abgeschlossen.

Legen Sie eine Diskette in das Diskettenlaufwerk ein und klicken Sie auf den Button Datensicherung auf Diskette. Ihre Konfiguration wird auf die Diskette geschrieben und überprüft.

2.2.5.3. Information

Sämtliche Fehlermeldungen und Informationen, die während einer Datensicherung generiert werden, erscheinen am Ende dieser Oberfläche.

2.2.5.4. Datensicherung in Dateien

Der Rest der Oberfläche ermöglicht Ihnen mehrere Sicherungssätze zu erstellen, und verschiedene Medien auszuwählen, auf denen Sie die Dateien speichern können. Als Standard ist die Festplatte des IPCop ausgewählt, aber USB-Sticks werden ebenfalls unterstützt.

Aus Sicherheitsgründen werden die über die Datensicherungsseite erstellten Datensicherungen mit Ihrem 'backup-' Passwort verschlüsselt. Um sicher zu gehen, geben Sie Ihr 'backup-' Passwort ein und exportieren den Sicherungsschlüssel über den entsprechenden Button, zusätzlich zum Exportieren der Datensicherung. Sie werden den Sicherungsschlüssel benötigen, falls Sie von einem USB-Stick aus installieren möchten, oder Ihre Einstellungen nach einem Festplattenfehler wiederherstellen müssen.

Zum Import einer Datensicherung während der IPCop Installation, werden Sie zur Eingabe Ihres Sicherungsschlüssels aufgefordert.

Sicherungs-Passwort. Es gibt einen neuen Menüpunkt im setup Befehl zum Eingeben Ihres 'backup-' Passwort's. Diesen werden Sie finden, wenn Sie frisch installiert haben. Wenn Sie aktualisiert haben, dann können Sie das setup wiederholen um dies zu tun.

Loggen Sie sich dazu als root, auf der Konsole, oder mittels Putty oder ssh auf Port 222 auf Ihrer IPCop v1.4.11 Firewall ein.

Geben Sie setup auf der Kommandozeile ein. Wählen Sie den Menüeintrag 'backup-' Passwort aus und geben Sie ein Passwort ein. Das Passwort muss mindestens 6 Zeichen lang sein. Beenden Sie den Befehl und loggen Sie sich aus.

2.2.5.5. Sicherungsschlüssel exportieren

Um den neuen Sicherungsschlüssel Export zu benutzen machen Sie folgendes:

  • Setzen Sie ein 'backup-' Passwort

  • Geben Sie dieses Password auf der Datensicherungsseite in das dafür vorgesehene Feld ein. Der Schlüssel wird verschlüsselt exportiert und Sie müssen auswählen wo er gespeichert werden soll wenn Sie auf den Button Exportiere Backup Schlüssel klicken.

  • Erstellen Sie eine Sicherung und exportieren Sie die .dat Datei (Sie brauchen dieses Mal kein 'backup-' Passwort eingeben).

    Sie haben nun alles was Sie brauchen, um die Systemkonfiguration von einem USB-Stick oder http/ftp -Server wiederherzustellen.

  • Speichern Sie die .dat Datei, ohne den Zeitstempel im Dateinamen, und die verschlüsselte Schlüsseldatei auf ein Medium, von welchem aus Sie die Konfiguration wiederherstellen wollen (USB-Stick oder HTTP/FTP Server). Die Wiederherstellung wird funktionieren, wenn Sie das richtige 'backup-' Passwort eingeben und der Hostname der Schlüsseldatei und der .dat Datei entspricht.

2.2.6. Herunterfahren

Über diese Seite können Sie Ihren IPCop entweder Herunterfahren oder Neustarten. Sie können einfach einen der entsprechenden Schalter klicken, um die Aktion sofort auszuführen, oder die Aktion zu einer bestimmten Zeit einplanen.

Herunterfahren

2.2.6.1. Herunterfahren

Drücken Sie einen der Schalter Neustart oder Herunterfahren, um die Aktion sofort auszuführen.

2.2.6.2. Zeitsteuerung für IPCop Neustarts

Seit Version 1.4.10 können Neustarts zeitlich geplant werden. Dazu wird ein cronjob an die fcrontab Tabelle angehängt. Um IPCop täglich zu einer bestimmten Zeit neu zu starten, wählen Sie die Zeit aus dem Dropdown-Menü, markieren Sie den oder die Tage und klicken Sie auf Speichern.

Wenn IPCop anstelle eines Neustarts heruntergefahren werden soll, markieren Sie die Box Herunterfahren.

Um eine geplante Aktion zu löschen, entfernen Sie alle Markierungshäkchen und klicken Sie auf Speichern.