Re: Re: Säker webbserver
=?windows-1252?Q?Bj=F6rn_Blissing?= <bjobl449@student.liu.se> writes:
> > > 1. Jag körde en portscanning på datorn som är webbserver. Var
> > ganska många portar som var öppna. Vissa kan jag förstå (t.ex. 80,
> > 21, 22). Medan andra är mer svåra att förstå varför de är öppna
> > (9, 13, 25,37,110,111,515).
> >
> >
> > Ur /etc/services:
> >
> > discard 9/tcp sink null
> > discard 9/udp sink null
> >
> > daytime 13/tcp
> > daytime 13/udp
> >
> > time 37/tcp timserver
> > time 37/udp timserver
> >
> > Ovanstående är interna tjänster i inetd... De behöver inte vara
> > igång. Du vinner kanske inte så mycket på att plocka bort dem så
> > länge inetd är tillgänglig utifrån, men är du oroad över dem så
> > plocka bort dem, genom att kommentera ut dem i
> > /etc/inetd.conf. Ytterligare två alternativ, som du dessutom kan
> > kombinera, är paketfiltrering resp. tcpwrappers. Det finns en
> > del exempel om man letar med google, samt bra böcker i ämnet, om
> > hur man sätter upp en paketfiltrerande brandvägg under
> > linux. Tcpwrappers är inte lika säkert, men det är bättre än
> > ingenting. Jämför filerna /etc/hosts.allow resp /etc/hosts.deny.
> >
> > Nedanstående är alla tjänster som du mer eller mindre själv valt
> > att ha igång:
> >
> > smtp 25/tcp mail
> >
> > Beroende på vilken mailserver du valt att installera är
> > förfaringssättet lite olika, men du borde kunna konfigurera de
> > flesta paketen så att de inte lyssnar externt efter connections.
> >
> >
> > pop3 110/tcp pop-3 # POP version 3
> > pop3 110/udp pop-3
> >
> > Du har ju tydligen installerat en popserver, så jag utgår ifrån
> > att du vill göra något med den? tcpwrappers, eller avinstallera.
> >
> >
> > sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP
> > sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP
> >
> > Portmappern.... Du behöver _inte_ den på en server som bara
> > skall vara webserver. Du kanske har fler saker
> > installerade på burken som dependar på denna, men avinstallera
> > dessa också, de är inte heller något du behöver på en
> > webserver.
> >
> > printer 515/tcp spooler # line printer spooler
> >
> > Avinstallera. Du behöver inte printerservertjänster på
> > maskinen. Antagligen heter paketet lpd.
>
> Efter att ha pillat lite så har jag lyckat få ner de öppna portarna till 21, 22, 25, 80 och 110. Av dessa är det bara 25 och 110 som inte skall vara öppna. Har kollat igenom vilka paket som är installerade. Hittar ingenting om varken smtp eller pop3.
Paketen är efter debians namnstandard, och paketnamnen har
i det här fallet lite att göra med namnet den öppna porten. Vad
gäller port 25 så _tror_ jag du har exim installerat, som är
debians defaultmailserver, men det kan vara någon av de andra
som finns, om du valt detta. (Det är väl så också, om jag minns
rätt, att rätt många paket dependar på att du faktiskt
instlallerat en mailserver, så det kan vara lite svårt att bara
avinstallera den. Som sagt, prova vad du kan göra med
konfigureringen, eller om det är något du ej tror dig behöva,
även om jag personligen inte skulle droppa den p.g.a. internmail
fron cron o.s.v., så ändra i startscripeten så den inte går
igång. ) Vad gäller pop3 så har jag inte i
huvudet vilka som finns som paket, och vad de kan tänkas heta,
men har du inga rader i /etc/inetd.conf som startar den sök
så kan du ju göra en grep -l pop /etc/init.d/* och se om du får
ut något där? Eller sök efter regexp;et provides:.*pop?\-server i
/var/lib/dpkg/available så borde du hitta alla paket som kan
tänkas innehålla en popserver.
>
> När jag kör:
> # fuser -vn tcp 25
> # fuser -vn udp 25
> # fuser -vn tcp 110
> # fuser -vn udp 110
>
> Så får jag inga träffar på program. Kör jag däremot:
> # fuser -vn tcp 21
>
> Så får jag följande
>
> USER PID ACCESS COMMAND
> 21/tcp root 234 f.... proftpd
>
> Så min fråga är: Varför visas port 25 och 110 som öppna när jag kör en portscanning. Det verkar ju inte finnas några program som kör dem??
>
Vet faktiskt inte varför inte fuser visar vilka program som har
dem öppna, men om portscanningen visar dem som öppna, så beror
det på att de är öppna... Hur mycket av vad som faktiskt är
igång som fuser resp. netstat visar, tjae... Det lär skall
finnas avsiktliga sätt att gå runt att program visas, och det
finns säkert oavsiktliga sätt att göra det också...
Mvh Tobbe
--
######################################################################
Torbjörn Pettersson # Email tobbe@strul.nu
Vattugatan 5 # Web www.strul.nu/~tobbe
S-111 52 Stockholm, Sweden #
######################################################################
Reply to: