Re: Dienste ausstellen

To: debian-user-german@lists.debian.org
Subject: Re: Dienste ausstellen
From: Andreas Putzo <andreas@inferno.nadir.org>
Date: Wed, 18 Oct 2006 21:03:12 +0200
Message-id: <[🔎] 200610182103.13332.andreas@inferno.nadir.org>
In-reply-to: <[🔎] 20061018183519.GA32459@web.de>
References: <[🔎] 20061012172038.GA14300@web.de> <[🔎] 20061018091002.GH8699@server.linau.de> <[🔎] 20061018183519.GA32459@web.de>

Hallo Mike,

On Wednesday 18 October 2006 20:35, Mike Jankowski wrote:
> * Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de> 
> > > * Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de> 

> > > Es geht mir um meine Sicherheit.... Ich habe jetzt hier im LAN
> > > einen Portscan von einem anderen Rechner auf meine Kiste gemacht,
> > > und es waren sehr verblueffende Ports, die offen waren.. Diese
> > > wuerde ich sehr gerne abstellen.. Jedoch weisz ich nicht wie!
>
> Wuerde ich gerne, weisz nur noch nicht wie? Was meinst du mit Ross und
> Reiter?
> Naja, ich habe jetzt portsentry installiert und konfiguriert.... Das
> wird mir wohl helfen, mehr oder weniger ;)

Nein, das hilft dir nicht weiter. Du wolltest Serverdienste (die auf 
einem offenen Port lauschen) abstellen. Stattdessen hast du portsentry 
installiert, welches AFAIK versucht, portscans zu erkennen, um darauf 
reagieren zu können. portsentry kann z.B. so tun, als wäre jeder port 
offen, um Angreifer zu verwirren(?), kann aber auch dynamisch die IP des 
Angreifers aussperren. Die Sache hat nur den Haken, daß nicht jedem 
Angriff ein portscan vorher geht oder der portscan so unaufällig 
durchgeführt wird, das portsentry diesen nicht erkennt.
Ich habe mich allerdings nie wirklich mit dem Programm beschäftigt, man 
möge mich also bitte ggf. korrigieren.

Du möchtest aber die Dienste, die du garnicht benötigst, abstellen, um 
(u.a.) möglichst wenig Angriffsfläche zu bieten.
Das machst du etnweder, indem du die entpsrechenden Pakete, die den 
Dienst bereit stellen, deinstallierst, oder indem du das automatische 
Starten verhinderst.

Du hast uns bisher nur die Portbezeichnungen, die nmap dir liefert, 
mitgeteilt (tcpmux, netstat, etc.). Das sind aber erstmal nur die 
Bezeichnungen für sog. 'well known' ports, also die ports, auf denen der 
genannte Dienst _normalerweise lauscht. Diese Zuordnung port <-> name 
findest du in /etc/services (wobei nmap glaube ich seine eigene Liste 
pflegt).

Wenn du wirklich wissen willst, was auf den von dir genannten ports 
läuft, musst du dir die Ausgabe (also root) von 'netstat -tuplen' 
angucken. 
In der Spalte 'Local Address' steht z.B. 0.0.0.0:80. Das heisst, daß das 
Programm, welches in der Spalte 'PID/Program name' aufgeführt ist (in 
diesem Fall apache) auf allen Interfaces auf dem Port 80 hört.
Wenn bei 'Local Adress' 127.0.0.1:<port-nummer> steht, dann ist das 
unter 'PID/Program name' aufgeführte Programm, nur vom lokalen Rechner 
aus zu erreichen.

Also, nochmal im Kurzdurchgang:

Mit 'netstat -tuplen' herausfinden, welche Programme für die offenen 
Ports verantwortlich sind.

Herausfinden, wo diese Dienste gestartet werden bzw. zu welchem Paket 
diese gehören und dann deinstallieren:

# dpkg -S $(which <progname>)
# dpkg -S $(which apache)
apache: /usr/sbin/apache
# apt-get remove apache

Oder nur das "Startscript" entfernen:
# update-rc.d -f apache remove

Wenn es über inetd, also bei Bedarf gestartet wird, kannst du es einfach 
in /etc/inetd.conf auskommentieren.

Alles klar? :-)

hth, andreas

Reply to:

Follow-Ups:
- Re: Dienste ausstellen
  - From: Mike Jankowski <mike_jan@web.de>

References:
- Dienste ausstellen
  - From: Mike Jankowski <mike_jan@web.de>
- Re: Dienste ausstellen
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
- Re: Dienste ausstellen
  - From: Mike Jankowski <mike_jan@web.de>

Prev by Date: Re: kdesu erkennt root-Passwd nicht
Next by Date: Re: 2. Netzwerkkarte unter Sarge anmelden ?
Previous by thread: Re: Dienste ausstellen
Next by thread: Re: Dienste ausstellen
Index(es):
- Date
- Thread