Re: Re: Säker webbserver

To: Björn Blissing <bjobl449@student.liu.se>
Cc: debian-user-swedish@lists.debian.org
Subject: Re: Re: Säker webbserver
From: Torbjorn Pettersson <tobbe@strul.nu>
Date: 18 Apr 2003 21:16:39 +0200
Message-id: <[🔎] 87lly7vco8.fsf@perdita.strul.nu>
In-reply-to: Björn Blissing's message of "Fri, 18 Apr 2003 15:59:37 +0200"
References: <[🔎] cae8dd92.dd92cae8@student.liu.se>

=?windows-1252?Q?Bj=F6rn_Blissing?= <bjobl449@student.liu.se> writes:

> > > 1. Jag körde en portscanning på datorn som är webbserver. Var 
> > ganska många portar som var öppna. Vissa kan jag förstå (t.ex. 80, 
> > 21, 22). Medan andra är mer svåra att förstå varför de är öppna 
> > (9, 13, 25,37,110,111,515).
> > 
> > 
> > Ur /etc/services:
> > 
> > discard        	9/tcp        	sink null
> > discard        	9/udp        	sink null
> > 
> > daytime        	13/tcp
> > daytime        	13/udp
> > 
> > time        	37/tcp        	timserver
> > time        	37/udp        	timserver
> > 
> > Ovanstående är interna tjänster i inetd... De behöver inte vara
> > igång. Du vinner kanske inte så mycket på att plocka bort dem så
> > länge inetd är tillgänglig utifrån, men är du oroad över dem så
> > plocka bort dem, genom att kommentera ut dem i
> > /etc/inetd.conf. Ytterligare två alternativ, som du dessutom kan
> > kombinera, är paketfiltrering resp. tcpwrappers. Det finns en
> > del exempel om man letar med google, samt bra böcker i ämnet, om
> > hur man sätter upp en paketfiltrerande brandvägg under
> > linux. Tcpwrappers är inte lika säkert, men det är bättre än
> > ingenting. Jämför filerna /etc/hosts.allow resp /etc/hosts.deny.
> > 
> > Nedanstående är alla tjänster som du mer eller mindre själv valt
> > att ha igång:
> > 
> > smtp        	25/tcp        	mail
> > 
> > Beroende på vilken mailserver du valt att installera är
> > förfaringssättet lite olika, men du borde kunna konfigurera de
> > flesta paketen så att de inte lyssnar externt efter connections.
> > 
> > 
> > pop3        	110/tcp        	pop-3        	# POP version 3
> > pop3        	110/udp        	pop-3
> > 
> > Du har ju tydligen installerat en popserver, så jag utgår ifrån
> > att du vill göra något med den? tcpwrappers, eller avinstallera.
> > 
> > 
> > sunrpc        	111/tcp        	portmapper	# RPC 4.0 portmapper TCP
> > sunrpc        	111/udp        	portmapper	# RPC 4.0 portmapper UDP
> > 
> > Portmappern.... Du behöver _inte_ den på en server som bara
> > skall vara webserver. Du kanske har fler saker
> > installerade på burken som dependar på denna, men avinstallera
> > dessa också, de är inte heller något du behöver på en
> > webserver. 
> > 
> > printer        	515/tcp        	spooler        	# line printer spooler
> > 
> > Avinstallera. Du behöver inte printerservertjänster på
> > maskinen. Antagligen heter paketet lpd.
>  
> Efter att ha pillat lite så har jag lyckat få ner de öppna portarna till 21, 22, 25, 80 och 110. Av dessa är det bara 25 och 110 som inte skall vara öppna. Har kollat igenom vilka paket som är installerade. Hittar ingenting om varken smtp eller pop3.

 Paketen är efter debians namnstandard, och paketnamnen har
i det här fallet lite att göra med namnet den öppna porten. Vad
gäller port 25 så _tror_ jag du har exim installerat, som är
debians defaultmailserver, men det kan vara någon av de andra
som finns, om du valt detta. (Det är väl så också, om jag minns
rätt, att rätt många paket dependar på att du faktiskt
instlallerat en mailserver, så det kan vara lite svårt att bara
avinstallera den. Som sagt, prova vad du kan göra med
konfigureringen, eller om det är något du ej tror dig behöva,
även om jag personligen inte skulle droppa den p.g.a. internmail
fron cron o.s.v., så ändra i startscripeten så den inte går
igång. ) Vad gäller pop3 så har jag inte i
huvudet vilka som finns som paket, och vad de kan tänkas heta,
men har du inga rader i /etc/inetd.conf som startar den sök
så kan du ju göra en grep -l pop /etc/init.d/* och se om du får
ut något där? Eller sök efter regexp;et provides:.*pop?\-server i
/var/lib/dpkg/available så borde du hitta alla paket som kan
tänkas innehålla en popserver. 

> 
> När jag kör:
> # fuser -vn tcp 25
> # fuser -vn udp 25
> # fuser -vn tcp 110
> # fuser -vn udp 110
> 
> Så får jag inga träffar på program. Kör jag däremot:
> # fuser -vn tcp 21
> 
> Så får jag följande
> 
>                      USER        PID ACCESS COMMAND
> 21/tcp               root        234 f....  proftpd
> 
> Så min fråga är: Varför visas port 25 och 110 som öppna när jag kör en portscanning. Det verkar ju inte finnas några program som kör dem??
> 

 Vet faktiskt inte varför inte fuser visar vilka program som har
dem öppna, men om portscanningen visar dem som öppna, så beror
det på att de är öppna...  Hur mycket av vad som faktiskt är
igång som fuser resp. netstat visar, tjae... Det lär skall
finnas avsiktliga sätt att gå runt att program visas, och det
finns säkert oavsiktliga sätt att göra det också...

Mvh Tobbe
-- 
######################################################################
Torbjörn Pettersson               #  Email   tobbe@strul.nu
Vattugatan 5                      #  Web     www.strul.nu/~tobbe
S-111 52  Stockholm, Sweden       #
######################################################################

Reply to:

References:
- Re: Säker webbserver
  - From: Björn Blissing <bjobl449@student.liu.se>

Prev by Date: Re: Säker webbserver
Next by Date: Re: Säker webbserver
Previous by thread: Re: Säker webbserver
Next by thread: Re: Säker webbserver
Index(es):
- Date
- Thread