Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [opgelost] CUPS webinterface  (gelezen 3162 keer)

Offline Double12

  • Webteam
  • Steunpunt: Nee
[opgelost] CUPS webinterface
« Gepost op: 2009/10/13, 14:51:39 »
Ik ben er pas achtergekomen dat als je http://127.0.0.1:631 in je browser intypt, je een CUPS webinterface krijgt. Ook vanuit andere computers in het lokale netwerk is deze pagina uiteraard te benaderen.
Maar levert dit niet een heel groot beveiligingsrisico op? Je hebt dan eigenlijk constant een webserver aanstaan. Op het moment dat je per ongeluk een paar poorten te veel op je router forward, is deze pagina door iedereen op internet benaderbaar en kunnen zij dus alles doen met jouw printers.  ???
« Laatst bewerkt op: 2009/10/16, 13:01:08 door Double12 »

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #1 Gepost op: 2009/10/13, 16:35:41 »
# Only listen for connections from the local machine.
Listen localhost:631

Dit staat bovenin de /etc/cups/cupsd.conf file.
Het lijkt me stug dat je vanaf een andere PC met
http://127.0.0.1:631 ook de cups pagina krijgt. Tenzij daar ook CUPS draait, uiteraard.

There are only 10 types of people in the world; those who understand binary and those who don't.

Offline Scormen

  • Lid
    • LinuxOntdekt.Be
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #2 Gepost op: 2009/10/13, 17:09:49 »
Probeer maar eens op je eigen lokaal IP adres :)
Ubuntu gebruiker #18341 | Linux gebruiker #456955
· Mijn persoonlijke Linux blog

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #3 Gepost op: 2009/10/13, 19:47:48 »
Als je de printer deelt over het netwerk dan heb je een ander /etc/cups/cupsd.conf bestand.

@ivo: dan staat er geen 127.0.0.1 meer in!

http://wiki.ubuntu-nl.org/community/PrinterDelen

De printer (en de cups pagina) zijn op het eigen lokale netwerk te gebruiken.

Het vinkje bij "Afdrukken vanaf internet toestaan" kan je dus beter weg laten...
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline Ronnie

  • Artworkteam
    • ronnie.vd.c
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #4 Gepost op: 2009/10/13, 23:58:21 »
Deze interface it trouwens flink onder handen genomen in de nieuwe Karmic Koala. Ik kwam deze tegen toen ik een IPP(HTTP) verbinding in ging stellen voor school. Deze optie staat niet in de GUI, dus ben ik maar naar de WEBGUI gegaan. Helaas trouwens niet voor elkaar gekregen om op school te printen, maar er staat nu een bug report op LP.
Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Documentatie Terminal

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #5 Gepost op: 2009/10/14, 22:55:20 »
Probeer maar eens op je eigen lokaal IP adres :)

Op http://192.168.1.100:631 krijg ik geen verbinding.
Alleen op localhost.
En van een andere PC hier in huis krijg ik ook geen verbinding op de 192.168.1.100:631


There are only 10 types of people in the world; those who understand binary and those who don't.

Offline ertai

  • Lid
    • programming
    • http://www.ertai.nl
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #6 Gepost op: 2009/10/14, 22:57:08 »
dan klopt het.
Is je vraag opgelost? Markeer het als [OPGELOST] in de titel van je bericht!

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #7 Gepost op: 2009/10/15, 22:13:24 »
Als je de printer deelt over het netwerk dan heb je een ander /etc/cups/cupsd.conf bestand.

@ivo: dan staat er geen 127.0.0.1 meer in!

http://wiki.ubuntu-nl.org/community/PrinterDelen

De printer (en de cups pagina) zijn op het eigen lokale netwerk te gebruiken.

Het vinkje bij "Afdrukken vanaf internet toestaan" kan je dus beter weg laten...

Had je ook bedacht dat het volgende mogelijk is?
Mijn printer hangt aan een USB poort op een XP machine op zolder en is daar geshared.
Ofwel, mijn cupsd.conf is de default geleverde.
Cups heb ik gebruikt om die printer aan mijn Ubuntu desktop bekend te maken.

Tevens komt er niemand (behalve ikzelf met ssh) vanaf het internet op mijn netwerk, dus valt er niet veel papier te verspillen hier.

There are only 10 types of people in the world; those who understand binary and those who don't.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #8 Gepost op: 2009/10/15, 22:44:23 »
Had je ook bedacht dat het volgende mogelijk is?
Nee, ik dacht dat de Topicstarter Ubuntu gebruikt. Maar het kan natuurlijk ook anders.:)

Maar levert dit niet een heel groot beveiligingsrisico op?
In het geval XP gebruikt wordt, vast niet. ;)
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #9 Gepost op: 2009/10/15, 23:21:26 »
Verder blijf ik bij mijn standpunt dat niet vanaf elke PC via de localhost 127.0.0.1 de cups pagina op een andere PC in het local netwerk benaderd kan worden.

Sterker; onmogelijk zelfs zonder wel een heel bizarre routetabel inelkaar gefrutst te hebben.
Het blijft uiteraard mogelijk om de 127.0.* over de default gw te routeren........
Maar dan denk ik dat je niet goed bezig bent.

Ik denk zelfs met een 99,999999% aan zekerheid grenzende waarschijnlijkheid dat je dan geen grafische omgeving meer hebt op je Linux dextop.
Want de X-server leunt nl ook op localhost.

Hierbij het bewijs daarvoor en daarom kan deze discussie op slot.

inaninck@renault:/diskb/download$ echo $DISPLAY
:0.0
inaninck@renault:/diskb/download$

Dat er voor de : geen hostname of IP-adres staat betekent dat ie op localhost connect.
Als je dat via de dfgw de deur uit routeert heb je lokaal geen X-omgeving.

There are only 10 types of people in the world; those who understand binary and those who don't.

Offline ertai

  • Lid
    • programming
    • http://www.ertai.nl
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #10 Gepost op: 2009/10/15, 23:30:17 »
ivo: je hebt ook 100% gelijk..
Is je vraag opgelost? Markeer het als [OPGELOST] in de titel van je bericht!

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #11 Gepost op: 2009/10/15, 23:32:27 »
ivo: je hebt ook 100% gelijk..

bedankt voor jouw 0,0000001% dat maakt samen die 100%
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #12 Gepost op: 2009/10/15, 23:38:58 »
ivo: je hebt ook 100% gelijk..

bedankt voor jouw 0,0000001% dat maakt samen die 100%


Als je wilt zeggen dat adres 127.0.0.1 de eigen computer is, maak er dan 110% van. ;)

Maar eigenlijk begrijp ik je reactie niet, dus verdere discussie heeft weinig zin. :)
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline Double12

  • Webteam
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #13 Gepost op: 2009/10/16, 10:17:48 »
Well, I jumped to conclusions. Ik zag dat op zowel Mac OS X als op mijn Debian Lenny (waar ik nu mee werk) er een CUPS-webinterface was. En ik zag dat de CUPS-webinterface van Mac OS X bereikbaar was vanuit andere computers in het netwerk. Maar ik zie nu dat de CUPS-webinterface van Debian inderdaad niet voor andere computers bereikbaar is.
CUPS staat dus gewoon vrij onveilig geconfigureerd in Mac OS X. Nou staat OS X ook niet bekend als het meest veilige besturingssysteem...


Wat betreft Ubuntu is de vraag van dit topic wel beantwoord, want de webinterface is niet zomaar van buiten bereikbaar, en er is dus ook geen veiligheidsrisico.
« Laatst bewerkt op: 2009/10/16, 10:19:59 door Double12 »

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: CUPS webinterface
« Reactie #14 Gepost op: 2009/10/16, 11:52:20 »
OK Double12. Zet dan svp even [OPGELOST] voor het sonderwerp van je 1e bericht.
There are only 10 types of people in the world; those who understand binary and those who don't.