Re: Dienste ausstellen
Hallo Mike,
On Wednesday 18 October 2006 20:35, Mike Jankowski wrote:
> * Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
> > > * Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
> > > Es geht mir um meine Sicherheit.... Ich habe jetzt hier im LAN
> > > einen Portscan von einem anderen Rechner auf meine Kiste gemacht,
> > > und es waren sehr verblueffende Ports, die offen waren.. Diese
> > > wuerde ich sehr gerne abstellen.. Jedoch weisz ich nicht wie!
>
> Wuerde ich gerne, weisz nur noch nicht wie? Was meinst du mit Ross und
> Reiter?
> Naja, ich habe jetzt portsentry installiert und konfiguriert.... Das
> wird mir wohl helfen, mehr oder weniger ;)
Nein, das hilft dir nicht weiter. Du wolltest Serverdienste (die auf
einem offenen Port lauschen) abstellen. Stattdessen hast du portsentry
installiert, welches AFAIK versucht, portscans zu erkennen, um darauf
reagieren zu können. portsentry kann z.B. so tun, als wäre jeder port
offen, um Angreifer zu verwirren(?), kann aber auch dynamisch die IP des
Angreifers aussperren. Die Sache hat nur den Haken, daß nicht jedem
Angriff ein portscan vorher geht oder der portscan so unaufällig
durchgeführt wird, das portsentry diesen nicht erkennt.
Ich habe mich allerdings nie wirklich mit dem Programm beschäftigt, man
möge mich also bitte ggf. korrigieren.
Du möchtest aber die Dienste, die du garnicht benötigst, abstellen, um
(u.a.) möglichst wenig Angriffsfläche zu bieten.
Das machst du etnweder, indem du die entpsrechenden Pakete, die den
Dienst bereit stellen, deinstallierst, oder indem du das automatische
Starten verhinderst.
Du hast uns bisher nur die Portbezeichnungen, die nmap dir liefert,
mitgeteilt (tcpmux, netstat, etc.). Das sind aber erstmal nur die
Bezeichnungen für sog. 'well known' ports, also die ports, auf denen der
genannte Dienst _normalerweise lauscht. Diese Zuordnung port <-> name
findest du in /etc/services (wobei nmap glaube ich seine eigene Liste
pflegt).
Wenn du wirklich wissen willst, was auf den von dir genannten ports
läuft, musst du dir die Ausgabe (also root) von 'netstat -tuplen'
angucken.
In der Spalte 'Local Address' steht z.B. 0.0.0.0:80. Das heisst, daß das
Programm, welches in der Spalte 'PID/Program name' aufgeführt ist (in
diesem Fall apache) auf allen Interfaces auf dem Port 80 hört.
Wenn bei 'Local Adress' 127.0.0.1:<port-nummer> steht, dann ist das
unter 'PID/Program name' aufgeführte Programm, nur vom lokalen Rechner
aus zu erreichen.
Also, nochmal im Kurzdurchgang:
Mit 'netstat -tuplen' herausfinden, welche Programme für die offenen
Ports verantwortlich sind.
Herausfinden, wo diese Dienste gestartet werden bzw. zu welchem Paket
diese gehören und dann deinstallieren:
# dpkg -S $(which <progname>)
# dpkg -S $(which apache)
apache: /usr/sbin/apache
# apt-get remove apache
Oder nur das "Startscript" entfernen:
# update-rc.d -f apache remove
Wenn es über inetd, also bei Bedarf gestartet wird, kannst du es einfach
in /etc/inetd.conf auskommentieren.
Alles klar? :-)
hth, andreas
Reply to: