Monthly archives "Oktober 2014"

Quick-Tipp: Fehler beim Zugriff auf die CUPS-Adminseite

Ich habe einen neuen Drucker zu Hause, da mir jemand einen gebrauchten Farb-Tintenstrahler geschenkt hat. Der Drucker hat aber keine Netzwerk-Schnittstelle, so dass ich ihn über Umwege in das heimische Netz einbauen muss. Ich könnte mir es einfach machen und einen kleinen Printserver laufen, aber die sind nicht so billig und es wäre wieder ein Gerät mehr das Strom verbraucht. Mein Router bietet zwar eine USB-Schnittstelle und könnte als Printserver genutzt werden; leider steht er im falschen Raum.

Direkt neben dem Drucker steht aber mein Raspberry Pi, der schon eine Serveraufgaben erfüllt. Ich habe den Drucker also per USB angeschlossen und unter Debian CUPS nachinstalliert. Dummerweise bekam ich beim Zugriff auf die Admin-Webseite (https://servername:631/admin) aber immer die Fehlermeldung „Forbidden“. Also habe ich mal die verschiedenen Logs durchsucht; stiess aber auf keine Fehlermeldung. Auch ein Blick in die CUPS-Konfigurationsdatei brachte keine Erleuchtung. Ich vermutete dann noch ein Problem mit dem NGINX-Webserver, der anstelle des ressourcenfressenden Apache läuft; aber auch hier Fehlanzeige.

Auf der Kommandozeile habe ich mir dann noch mal alle Tools anzeigen lassen, die mit „cups“ beginnen. Dabei stiess ich auf das Tool cupsctl. Ich rief das Tool ohne weitere Parameter auf und erhielt folgende Ausgabe:

root@raspberrypi:/var/log/cups# cupsctl
_debug_logging=0
_remote_admin=0
_remote_any=0
_remote_printers=1
_share_printers=0
_user_cancel_any=0
BrowseLocalProtocols=CUPS dnssd
DefaultAuthType=Basic
JobPrivateAccess=default
JobPrivateValues=default
MaxLogSize=0
SubscriptionPrivateAccess=default
SubscriptionPrivateValues=default
WebInterface=Yes

„remote_admin“ sah schon mal vielversprechend aus; es war nur noch nicht klar, wofür 0 und 1 standen.

„cupsctl -?“ lieferte dann (Ausschnitt):

–[no-]debug-logging Turn debug logging on/off.
–[no-]remote-admin Turn remote administration on/off.
–[no-]remote-any Allow/prevent access from the Internet.
–[no-]remote-printers Show/hide remote printers.
–[no-]share-printers Turn printer sharing on/off.
–[no-]user-cancel-any Allow/prevent users to cancel any job.

Ich gab dann „cupsctl –remote_admin“ ein und rief wieder „cupsctl“ auf. Und nun stand dort

_remote_admin=1

Als ich nun wieder die Webseite aufrief, wurde mir der Zugriff nicht mehr verwehrt.

PS: Die ersten Treffer bei Google waren keine Hilfe; in einem Thread von 2008 schien der Workaround zu sein, dass man „system-config-printer“ als Root starten sollte. Solche Lösungen scheinen mir immer üble Hacks zu sein…

PS II: Die Anmeldung an der Webkonsole gestaltete sich dann noch etwas schwieriger, da der Root-Account auf dem Raspberry Pi nicht direkt nutzbar ist und meinem Useraccount Rechte fehlten.  Mit dem Befehl „usermod -aG lpadmin insertyouruserhere“ konnte ich mir erfolgreich Zugriff verschaffen

Was die Leute so alles ans Internet hängen

Mein Blog meldet mir, dass er eine bestimmte IP nach 16 vergeblichen Logins für 24 Stunden gesperrt hat. Ich habe mir daraufhin per WHOIS mal angeschaut, woher die IP kommt. Scheinbar interessiert sich jemand in den Niederlanden brennend für meine Login-Seite. Die IP wird aber mittels Reverse DNS zu einem Namen aufgelöst, der „static“ enthält. Das lässt vermuten, dass es sich um einen Server handelt. Also schaue ich mal nach, welche Dienste der Server so im Internet anbietet:

02102014-login-attempts-A-2

Wie zu sehen ist, bietet der Rechner einige Dienste an, die auf einem alten Windows-Server nicht ungewöhnlich sind. Ein Aufruf der IP im Windows Remote Desktop Client zeigt, dass es sich wirklich um einen Windows 2003 Server handelt. Der angebotene FTP-Dienst lässt eine anonyme Anmeldung zu und der IIS ist nicht konfiguriert.

Richtig lustig wird es aber, wenn man sich mit dem Mailserver verbindet. Der gibt als Hostnamen nämlich SRVPDC001 zurück; es handelt sich also wahrscheinlich um einen Domänenkontroller:

02102014-login-attempts-B-2

Ich denke mal, ich werde heute Abend den Provider informieren, damit der den Kunden ansprechen kann.

Wir haben noch einen langen Weg vor uns, wenn wir das Internet zu einem sicheren Ort machen wollen.