Nicht benötigte Ports schließen

[blubber]

Hallo,

ich hoffe ich poste das hier in der richtigen Rubrik, aber sie schien am besten zu passen. Aber zur Sache: Hier ist ein nmap-Scan meines Servers:

Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2005-06-10 12:01 CEST
Interesting ports on x.x.x.x:
(The 1635 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
143/tcp open imap2
199/tcp open smux
3306/tcp open mysql
9876/tcp open sd

Nmap run completed -- 1 IP address (1 host up) scanned in 16.445 seconds

Da habe ich zuerst einmal keine Ahnung wofür smux und sd gut sind. Auch kann ich nicht einschätzen wie groß das Sicherheitsrisiko dadurch ist. In jedem Fall würde ich die Ports lieber schließen, habe allerdings keine Ahnung wie. Zudem habe ich VHCS auf dem Server installiert und bin mir nicht sicher, ob dieses smux und sd benötigt.

Desweiteren würde es ausreichen, wenn mysql nur lokal (also von PHP-Skripten die auf dem Server liegen) erreichbar ist und somit könnte der Port eigentlich auch für exteren Verbindungen geschlossen werden.

Danke für jeden Tipp/jede Hilfe!

[bungeebug]

Dienste richtig konfiguriern reicht.

[chaosad]

vhcs benötigt für sd normal nur lokalen Zugriff. Sollten also keine Probleme auftreten wenn du den port für außen blockst.

Was smux betrifft, läuft bei dir SNMP?

[blubber]

Zu der Frage ob SNMP läuft die Ausgabe von "apt-show-versions | grep snmp":
libsnmp-session-perl/unstable uptodate 1.07-1

Aber wie kann ich denn nun einen Port für außen blocken?

[chaosad]

Damit kannst dus z.b. blocken

/sbin/iptables -A INPUT -p TCP --dport 199 -j DROP

Am besten mal iptables ein wenig anschauen und wenn noch Fragen auftauchen findest hier sicher auch Hilfe.

[captaincrunch]

ARGL...schon wieder einer aus der "ich bin ja sooo unsichtbar weil ich Pakete droppe"-Fraktion... :twisted:

[chaosad]

meine güte, das war als Beispiel, wies er letztendlich macht ist ihm überlassen...

Und woher willst wissen wie meine Firewall aussieht? Hellseher? tztztz

[mr_neutron]

In dem fall ist 'iptables' eindeutig die falsche Antwort. Iptables ist als letztes mittel OK wenn Du z.B. einen dienst nicht so konfigurieren kannst dass er nur auf bestimmten Interfaces lauscht.

@blubber:
1. Rausfinden welcher Dienst den port "aufgemacht" hat:

Code: Select all

# netstat -nlutp

oder

Code: Select all

# netstat -lutp

(der Name in der letzten Spalte)

2. Rausfinden ob du den Dienst brauchst oder nicht.

3. Falls nicht, den Dienst abschalten => deine Distribution sollte dafür ein Werkzeug mitbringen (Yast, chkconfig, etc..)
Bei Diensten die über inetd/xinetd gestartet werden die entsprechende Zeile in der /etc/inetd.conf bzw. /etc/xinetd.conf auskommentieren und den (x)inetd neu starten oder gleich ganz abschalten.

4. bei Diensten die du brauchst, die aber nicht übers Netz erreichbar sein sollen (z.B. mysqld) => man page lesen, ob man sie dementsprechend konfigurieren kann. Hint für mysql: 'skip-networking'

5. falls sich ein Dienst nicht entsprechend konfigurieren lässt => iptables.

[blubber]

Die Tipps von mr_neutron scheinen mir ganz hilfreich zu sein. Ich werde sie auf jeden Fall mal ausprobieren.

iptables kann ich übrigens nicht einsetzten, da es sich leider nur um einen vServer handelt :(

Ã?brigens hatte ich vergessen meine Distri anzugeben (falls das noch irgendwie von Bedeutung sein sollte): Debian 3.0 (Woody)

[edit]
Der MySQL-Port ist jetzt zu.
Die inted-Config-File ist allerdings leer und netstat hat mich auch nicht schlauer gemacht. Hier die Ausgabe:

(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 193.151.7.143:110 0.0.0.0:* LISTEN 2715/couriertcpd
tcp 0 0 193.151.7.143:143 0.0.0.0:* LISTEN 2705/couriertcpd
tcp 0 0 193.151.7.143:80 0.0.0.0:* LISTEN -
tcp 0 0 193.151.7.143:9876 0.0.0.0:* LISTEN 18872/vhcs2_daemon
tcp 0 0 193.151.7.143:21 0.0.0.0:* LISTEN -
tcp 0 0 193.151.7.143:22 0.0.0.0:* LISTEN 19168/sshd
tcp 0 0 193.151.7.143:25 0.0.0.0:* LISTEN -
udp 0 0 193.151.7.143:58588 0.0.0.0:* 20341/named
udp 0 0 193.151.7.143:46073 0.0.0.0:* 5694/named

[mr_neutron]

Code: Select all

(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
                    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Gib den befehl nochmal als root ein dann siehst du auch die namen wo jetzt noch ein '-' steht. Da wird dann noch ein Apache, ein Mail- und ein FTP-server auftauchen.

Wenn du kein POP/IMAP machst dann schalte den Courier ab. Wenn du keine Mails verschicken/empfangen willst schalte den Mailserver ab oder konfiguriere ihn so, daß er nur noch auf dem loopback-interface (127.0.0.1) lauscht. Ausserdem läuft da noch ein DNS-Server (named), den brauchst du wahrscheinlich auch nicht.

[chaosad]

wenn er vhcs weiterhin verwenden möchte benötigt er bind usw.

Das kann er dann nicht ohne weiteres deinstallieren, da ansonsten eben vhcs auch entfernt wird.

Also hier ein wenig aufpassen bevor du was löscht :)

[blubber]

Das Problem ist ich habe den Befehl als root eingegeben (hatte ich vergessen dazu zu schreiben)! Deshalb hat mich die Meldung auch etwas verwundert.

Der Mailserver soll weiterhin laufen. named muss soweit ich weiß wegen VHCS drauf bleiben. Es handelt sich jetzt also nur noch um smux und sd, wo ich noch nichtmal weiß wozu die beiden gut sind und die auch nicht in der netstat-Ausgabe auftauchen (aber im Portscan).

[chaosad]

also für was sd gut ist hab ich dir ja schon geschrieben :)

[blubber]

Du hast geschrieben, das es von VHCS nur lokal benötigt wird, aber nicht wozu es dient.

[chaosad]

Zu beachten ist auch, dass der Port 9876 von localhost freigeschaltet sein soll, damit der VHCS-Daemon korrekt arbeitet.

mehr kann ich dir dazu leider nicht mehr sagen :)

[andreask2]

Es handelt sich jetzt also nur noch um smux und sd, wo ich noch nichtmal weiß wozu die beiden gut sind und die auch nicht in der netstat-Ausgabe auftauchen (aber im Portscan).

Suche mal im Archiv nach smux, da findest Du z.B. : http://www.rootforum.org/forum/viewtopi ... light=smux

[blubber]

Thx, leider hilft es mir nicht allzu viel weiter. Denn auf dem Server ist kein SNMP installiert. Aber vielleicht sollte ich prüfen, ob ein anderes Programm smux startet (vielleicht geschieht das ja nicht nur bei SNMP).

[chaosad]

gib doch mal folgendes ein:

netstat -tulpen

und dann schau durch welches Programm der Port geöffnet wird.

[blubber]

Das liefert auch keine neuen Erkenntnisse. Und ich habe den Befehl auch als root eingegeben, trotzdem wird angezeigt, dass ich root sein muss, um alle Prozesse zu sehen:

(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 193.151.7.143:110 0.0.0.0:* LISTEN 0 455140215 2715/couriertcpd
tcp 0 0 193.151.7.143:143 0.0.0.0:* LISTEN 0 455140207 2705/couriertcpd
tcp 0 0 193.151.7.143:80 0.0.0.0:* LISTEN 0 2178089046 -
tcp 0 0 193.151.7.143:9876 0.0.0.0:* LISTEN 0 594101285 18872/vhcs2_daemon
tcp 0 0 193.151.7.143:21 0.0.0.0:* LISTEN 65534 2160344726 -
tcp 0 0 193.151.7.143:22 0.0.0.0:* LISTEN 0 614938268 19168/sshd
tcp 0 0 193.151.7.143:25 0.0.0.0:* LISTEN 0 2183613926 -
udp 0 0 193.151.7.143:58588 0.0.0.0:* 105 938675411 20341/named
udp 0 0 193.151.7.143:46073 0.0.0.0:* 105 438187360 5694/named

[chaosad]

also wenn du root bist sollte das eigentlich nicht gemeldet werden.

Was zeigt ein "whoami" an?

Hast du einen Standard Kernel drauf oder einen angepassten?

[blubber]

whoami zeigt root an
Der Kernel ist nicht von mir angepasst worden... Aber es handelt sich um einen vServer. Würde mich nicht wundern, wenn er deshalb etwas modifiziert ist.

[webdienstleistungen]

Nicht benötigte Ports schließen

Zu diesem Thema habe ich eine ganz grundsätzliche Frage:
Mit einer Firewall sperre ich im Moment die Ports, die ich nicht benötige (auf denen keine Dienste laufen).

Aber dort wo keine Dienste laufen, kann man doch auch nicht eindringen. Wozu brauche ich dann überhaupt eine Firewall?

Irgendwas habe ich da falsch verstanden.

[Joe User]

Aber dort wo keine Dienste laufen, kann man doch auch nicht eindringen. Wozu brauche ich dann überhaupt eine Firewall?

Um ein weiteres potentielles Sicherheitsrisiko auf dem System zu haben ;)

[mc5000]

Wozu brauche ich dann überhaupt eine Firewall?

Um ein weiteres potentielles Sicherheitsrisiko auf dem System zu haben

Wenn die Firewall aber nicht auf dem selben System läuft, dann unterbindet Sie die Kommunikation auf den geschlossenen Ports - soll heißen, wenn Deine Kiste doch kompomitiert wurde kann nur über die freigegebenen Ports Datenverkehr laufen. Ob das die Gesamtsituation verbessert? Keine Ahnung - In jedem Fall zu spät und nur als Schadensbegrenzer nützlich ...

Doch vielleicht schläft mancher damit besser :twisted:

[webdienstleistungen]

Bei mir würde die Firewall auf dem selben System laufen.

Anscheinend macht das keinen Sinn. Also werde ich mir gar nicht die Mühe machen und sie konfigurieren, sondern einfach keine benutzen.