; TeX output 2003.04.04:1546_2 ~?ՁZ2Iqqecss2074SecurefPOPviaSSHmini-HOwmWTO cG 1 ecrm1000ManishU Singh, b> cmmi10<qL ecit1000yosh@gimp.org>V*ertaaldU doGor:qEllenBokhorst,n$v1.0,30september1998&6 ecss1000InU ditdoGcumentwordtU uitgelegdhoeveiligePOPverbindingenoptezettenmetbehulpvanssh.(&Lt$ffffecbx1440Inhoudsopgacve]f ecbx10001In>troQductie}812Debasistec>hniekm2ؼ2.1%OpzettenU vqanPortF*orwarding𳍍.荍..................................w22.2%T*estenW.荍................................................w33Gebruikhetmetjemailsoft>wareH33.1%OpzettenU vqanfetchmailG.荍.......................................w33.2%AllesU automatiseren.荍........................................w43.3%GeenU gebruikvqanfetchmailB.荍....................................w44Div>ersen 54.1%Disclaimer.荍..............................................w54.2%Copyright탍.荍..............................................w54.3%Erkenningen7.荍.............................................w5(1Inctropductie:NormaleΊPOPkmailsessieszijndoGorhunaardonveilig.ݾHetwachtwoGordwordtoverhetnetwerkingewone tekstverzondenwatdoGoriedereenkqanwordengelezen.ÐNuisditwellichtacceptabGelineenvertrouwdeofmet&rewallgecongureerdeomgeving,4maaropeenpublieknetwerk,4zoalseenuniversiteitofjeISP*,kqaniedereenxgewapGendmeteensimpelenetwerksnierxjewachtwoordxdirectvqandelijnafvangen. DitopgeteldbijlhetfeitdatveelmensenhuncomputerszoinstellendatregelmatigopmailwordtgecontroleerdwaarbijhetU wachtwoGordtamelijkfrequentwordtverzonden,maakthetmakkelijktesnien.ؼMetditwachtwoGordkqaneenaanvallernujeemailaccountbGenaderen,BLwaardoorhijwellichtaangevoGeligeofpriv-informatiekqankomen.HetistevenstamelijkgebruikelijkdatditwachtwoGordhetzelfdeisalshetwachtwoGordU vqandeshellaccountvandegebruiker,duseenrisicoopnogmeerschade.DoGor9allePOP-verkeer9viaeenversleuteldkqanaaltelatengaan,rYgaaternietsingewonetekstoverhetnetwerk.W*eT4kunnendediverseauthenticatiemethoGdenvqansshgebruikeninplaatsvqaneensimpGelwachtwoGordingewonetekst.H0DatisdewerkelijkeredenvoGorhetgebruikvqandezemethode:Knietomdatweversleuteldeinhoudbkrijgen(watnutteloGosisopditpunt,Zaangezienhetwaarschijnlijkonversleuteldviaverscheidenenetwerken.isgegaannogvoGordathetjemailboxbereikt;; hetbeveiligenvqandiecommunicatieisdetaakvqanGNUU PrivqacyGuardofPGP*,nietssh),maardeveiligeauthenticatie.*_2 ~?G2.8Debasistec>hniekj#2ՁVEr8zijnreedsanderemethoGdenomeenveiligeauthenticatietebGereiken,>zoalsAPOP*,KPOP,enIMAP.Het gebruik vqansshheeftechter alsvoGordeeldathetmetnormalePOP conguratieswerkt,XzonderdatdaareenspGecialeMclientvoGornodigis(nietallemailclientsondersteunengeavqanceerdeprotoGcollen)ofserveronderste-uning(bGehalvedatsshdopdeservermoGetdraaien).[JemailproviderkqanwellichtnietinstaatofnietbGereidzijn/omeenveiligerprotoGcoltegebruiken.eBovendienkunjedoGorgebruiktemakenvqansshhetverkeeroGokcomprimeren,U watweereenkleinextraatjeisvoGormensenmetlangzameverbindingen.(2DeG\basistecchniek:DezeU techniekgaatafopeenbasisfeaturevqanssh:qHЃ ecti1000p}/ortforwardingؼEr!zijnveelvqariatiesopditthema, Swatafhangtvqanjegewenstemailsetup.(V*oGorallenissshknoGdig,q2watbeschikbaarisvqanafhttp://www.ssh./enmirrors.RPM'szijnbeschikbaaropftp://ftp.r}/eplay.com/pub/crypto/tenDebianpackqageszijnbGeschikbaaropftp://non-us.debian.or}/g/debian-non-US/U (enrespGectievemirrors).#Í!N ecbx12002.1Opzettenv@ anPortForwardingMV*oGerU devolgendeopdrachtU uitomportforwardingoptestarten:卑qL ectt0900sshN-C-fpopserver-L11110:popserver:110sleep5ؼLatenU wedieopGdrachteenswatnaderbGekijken:qL ectt1000sshDeU sshbinaryzelf,hetmagischeprogrammadathetallemaaldoGet.-CHiermeeKwordtdecompressievqandedatastroGomgeactiveert.NHetisoptioneel,CmaargewoGonlijknuttig, voGoralU voorU dialupgebruikers.-fZoGdrasshdeauthenticatieheeftuitgevoGerd, endeportforwardingtotstandheeftgebracht, plaatst hetzichzelfindeachtergrondzoGdatandereprogramma'skunnenwordenuitgevoGerd.7AangezienweslechtsU depGortforwardingfeaturesvqansshgebruiken,hoGeftergeenttyaantezijngekoppGeld.ؼpopserverDeU POP-serverwaarweeenverbindingmeemaken.-L?11110:popserver:110F*orward delokqalepGoort 11110naarpGoort 110opderemoteserverpopserver.XzW*egebruikeneenhoge lokqaleU pGoort(11110)zodatelkegebruikerforwardingskqanaanmaken.sleep?5Nadateware%z3ՁVW*anneervqantoGepassingkunjegebruikmakenvandemeesteandereoptiesvanssh.o!Eengebruikelijke instellingRkqaneengebruikersnaamzijn,PaangezienheteenanderegebruikersnaamkqanzijndandieopdePOP-server.ؼHiervoGorUmo}/etsshdopderemoteserverpopserverdraaien.JehoGefterechtergeenactiefshellaccounttehebbGen.ODeZtijddithetinbeslagneemtdemeldingY*oucannottelnethereŢisvoldoGendeomeenverbindingopU tezetten.#Í2.2TestenMZoGdra`jededetailsvqandeopdracht`hebtuitgezocht`omeenportforwardingtotstandtebrengen, kunjehetuitprobGeren.qBijvoorbeeld:卑$Nssh-C-fmsingh@popserver-L11110:popserver:110sleep1000ؼpopserverTiisdeoudePOPT'server.oZMijngebruikersnaamopmijnlokqalemachineismanishdusmoGetikexplicietdegebruikersnaammsinghopgeven.(AlsdegebruikersnaamopdelokqaleenremotecomputergelijkU zijndanishetdeelmsingh@onnoGdig.DanU wordterafgedrukt:卑msingh@popserver'sNpassword:ؼEn8vervolgenstypikmijnPOP-wachtwoGordin(jehebtvoGorjeshellenPOP8misschienverschillendewacht-woGordenU dusgebruikdievqanjeshell).qNuzijnweklaar!qDuskunnenweprobGeren:$Ntelnetlocalhost11110ؼwatU ietszoumoGetenafdrukkenals:QUALCOMMNPOPv3.33ready.W*oGohoo!`|Het"werkt!Degegevenswordenversleuteldoverhetnetwerkverstuurd,,Jdusdeenigegewonetekst gaatU overdeloGopbackinterfacesvqanmijnlokalebGoxendePOP-server.(3GebruikG\hetmetjemailsoftcware:InɰdezesectiewordtdeinstellingvqanjePOPɒclientsoftwarebGeschrevenwaarbijhetgebruikmaaktvqandesshforwardedconnectie.IHetisprimairopfetchmailgericht(ESR'suitstekendemail-ophaalenforwardingutility),?aangezienŇdatdemeestexibGelesoftwaredieikvoGorhetomgaanmetPOPbhebgevonden.AF*etchmailisVtevindenophttp://www.tuxe}/do.org/esr/fetchmail/.JeVverleentjezelfeengrotedienstalsjedeuitstekendedoGcumentatieU leestdiemetfetchmailwordtmeegeleverd.#Í3.1Opzettenv@ anfetchmailMHieronderU volgtmijn.fetchmailrc ffG defaults =>ruserNmsinghismanish>rnoNrewrite&_2 ~?G3.8Gebruikhetmetjemailsoft>ware%z4ՁV =pollNlocalhostwithprotocolpop3andport11110:>rpreconnectN"ssh-C-fmsingh@popserver-L11110:popserver:110sleep5">rpasswordNfoobar;fFffG ȍT*amelijk}DsimpGel,ptoch?)fetchmailkenteenrijkdomaanopGdrachten,pmaardebGelangrijkstezijndepreconnect regelU endeoptiepoll.ؼW*emakengeendirecteverbindingmetdePOP-server,+maarinplaatsdaarvqanmetloGcalhostenpoort11110.De `preconnectdoGetdeforwardingelkekeerdatfetchmailwordtuitgevoGerd,deverbinding5secondenopGenlatend,U zoGdatfetchmailzijneigenverbindingkqanopzetten.qDerestdoGetfetchmailzelf.DusEelkekeerdatjefetchmailuitvoGert,HwordtergevraagdomjesshwachtwoGordvoGordeauthenticatie.lhAlsjeݫfetchmailindeachtergronduitvoGert(zoalsikdoe),danisdatniethandig.IW*atonsbrengtbijdevolgendesectie.#Í3.2AllesautomatiserenMsshykqanmetveelmanierenauthenticeren.8EenhiervqaniseenRSAhpublic/privatesleutelpaar.8Jekuntmetssh-keygenweenauthenticatiesleutelvoGorjeaccountgenereren.aErkqanmeteenauthenticatiesleuteleenwachtwoGordI\wordengeassoGcieerdofhetwachtwoGordkqanwordenleeggelaten.N5OfjeeenwachtwoGordwilt,hangtU afvqanhoGeveiligjemeentdathetaccountisdatjelokqaalgebruikt.Alsxjedenktdatjemachineveiligis,fgadanverderenlaathetwachtwoGordleeg.LDanwerktdebGovenstaande.fetchmailrc_{doGorhetslechts_{uitvoeren_{vqanfetchmail.JekuntfetchmaildanindaemonmoGdusuitvoGerenwanneerU jeinbGeltwaarbijdemailautomatischwordtopgehaald.qJebGentklaar.Als!jeechter!meenteenwachtwoGordnodigtehebben,danwordthetwatcomplexer.KsshkqanonderbGesturingvqaneenagen>twordenuitgevoGerd,$IdiesleutelskqanregistrerenenwatvoGorsshverbindingeneroGokonderwordenU gemaaktauthenticeren.qDusmaakikgebruikvqanhetvolgendescriptgetmail.sh: ΉffG ?#!/bin/sh =ssh-addwhileNtrue;dofetchmail--syslog--invisible;sleep5m;donefFffG ȍW*anneerU ikinbGel,voGerikuit:卑$Nssh-agentgetmail.shؼEenmaalwordtommijnwachtwoGordgevraagd,3Uvervolgenswordtelke5minutenmijnmailgecontroleerd. W*anneerdeinbGelverbindingwordtgesloten,;bGeindigikdessh-agent.((Ditisgeautomiseerdinmijnip-upenU ip-downscripts).#Í3.3Geengebruikv@ anfetchmailMW*atValsikgeengebruikkqan/wilmakenvanfetchmail?Pine,yNetscapGeennogeenaantalandereclientshebbGeneigenwPOP-mechanismen.pOverweegeersthetgebruikvqanfetchmail!pHetisveelexibGeler,* enmailclientszoudenWzichhoGedanooktochnietmetdergelijkezakenbGezigmoetenhouden.yZowelWPinealsNetscapekunnenU wordengecongureerddatzegebruikmakenvqanlokalemailsystemen.Maar`alsjeeropstaat,bdanmoGetjedesshportforwaredegeheletijddatjeverbGondenbentactiefhouden,tenzijjeclienteenpreconnectfeatureheeftzoalsfetchmail.GW*atbGetekenthetgebruikvqansleep?100000000omU deverbindingtebGehouden.qDesysteembGeheerderskunnenditwellichtnietwaarderen.1{_2 ~?G4.8Div>erseno5ՁVT*entweedehebbGeneenaantalclients(zoalsNetscapGe)hetpoortnummmerhardcodedin110.+3Duswellicht datDzjeroGotmoetzijnomportforwardingtegebruikenvqanuitprivilegedpGoorten.kOokDzditisergerlijk.MaarhetU zoumoGetenfunctioneren.(4Divcersen荍4.1DisclaimerMErMmisgeengarantiedatditdoGcumentzijnbGedoeldeMmdoelwaarmaakt.nDitissimpelwegvoGorzienalseenvrijebron.X4Als ;zoGdanigkqandeauteurvandegeleverdeinformatiegeengarantiegevendatdeinformatieaccuraatis.qGebruikU hetopeigenrisico.ؼCryptograscheBsoftwarezoalssshkqanafhankelijkvqanwaarjewoGontzijnonderworpGenaanbepaalderestric-ties.`IneenaantallandenmoGetjeeenlicentiehebbGenomdergelijkesoftwaretekunnengebruiken.`AlsjenietzekerbGentvqandeplaatselijkewetten,raadpleegdanalsjeblieftiemanddiebGekendismetjesituatievoGormeerU informatie.HetgebruikvqandeinformatieinditdoGcumentiszeerwaarschijnlijknietvoGorziendoorjemailserviceprovider.CFDerauteurmoGedigthetmisbruikenonjuistgebruikvqannetwerkservicesnietaan,/envoGorzietalleenvoGorinformatievedoGeleindeninditdocument.5Alsjetwijfeltofhetgebruikvqandezetechniekenbinnendeservice-overeenkomstU vqanjemailprovidervalt,zorgdanalsjeblieftdatjedatvantevorenU helderkrijgt.#Í4.2CopyrightMThisU doGcumentiscopyrightac !", cmsy10 A1998ManishSinghPermissionisgrantedtomakeanddistributeverbatimcopiesofthismanualprovidedthecopyrightnoticeandU thispGermissionnoticearepreservedonallcopies.PermissionisgrantedtocopyanddistributemoGdiedversionsofthisdoGcumentundertheconditionsforverbatimNcopying,JZprovidedthatthiscopyrightnoticeisincludedexactlyasintheoriginal,JZandthattheentireU resultingderivedworkisdistributedunderthetermsofapGermissionnoticeidenticaltothisone.Permission oisgrantedtocopyanddistributetranslationsofthisdoGcumentintoanotherlanguage,*undertheabGoveU conditionsformodiedversions.Commercial;redistributionisallowed;andencouraged;Hhowever,the;authorwouldliketobGenotiedofanysuchU distributions.AllU trademarksusedinthisdoGcumentareacknowledgedasbGeingownedbytheirrespGectiveowners.#Í4.3ErkenningenMSpGecialedankgaatnaarSethDavidSchoGen,ѮwhoenlightenedmeinthewaysofU sshpGortforwarding.@;_2GqL ectt0900!N ecbx1200HЃ ecti1000]f ecbx1000&Lt$ffffecbx14406 ecss1000qL ecit1000qL ectt1000Iqqecss2074 1 ecrm1000 !", cmsy10 b> cmmi10M-