Überflüssige Ports zumachen?

_Tom_ · Beitrag von **_Tom_** » 28.01.2004 23:08:06

Hi,

ich habe bei mir Woody installiert und würde gern den Rechner ein wenig sicherer machen, indem ich wirklich nur die Ports offenlasse, die ich auch brauche. Da ergeben sich für mich aber zwei Anfängerfragen:
1. Auf welche Dienste kann ich verzichten?
2. Wie schalte ich die ab?

Im konkreten geht es um folgende Dienste:

tcp 32768 rpc.statd (filenet-tms)
tcp 37 inetd (Time)
tcp 9 inetd (discard)
tcp 13 inetd (daytime)
tcp 79 inetd (finger)
tcp 143 inetd (imap)
tcp 111 portmap (sunrpc)
tcp 113 inetd (Identd)
tcp 119 innd (nntp)
tcp 23 inetd (Telnet)
tcp 220 iinetd (imapv3)
udp 32768 rpc.statd (filenet-tms)
udp 517 inetd (talk)
udp 518 inetd (ntalk)
udp 9 inetd (discard)
udp 810 rpc.statd (fcp)
udp 111 portmap (sunrpc)

Bei all diesen Diensten bin ich mir nicht bewust, dass ich sie brauchen würde. Aber braucht sie das System vielleicht doch und irgendwas würde nicht mehr funktionieren, wenn ich sie abschalte? (und wie schalte ich sie überhaupt ab?)

Bert · Beitrag von **Bert** » 28.01.2004 23:18:39

Das scheinen alles Dienste zu sein, die von Inetd gestartet werden. Das kannst Du durch editieren von /etc/inetd.conf und auskommentieren der betreffenden Zeilen erreichen. Danach ein

Code: Alles auswählen

/etc/init.d/inetd restart

und Du solltest Ports nicht mehr als offen sehen.

Mir ist jetzt auf Anhieb nichts in der Liste aufgefallen, was Du brauchen könntest (kommt aber auf Deine Umgebung an). Den Telnet Server würde ich komplett runterwerfen und durch ssh ersetzen (wenn Du den Remotzugriff brauchst):

Code: Alles auswählen

apt-get --purge remove telnetd
apt-get install ssh

Gruß Bert

_Tom_ · Beitrag von **_Tom_** » 28.01.2004 23:55:50

OK,
nach dem auskommentieren aus der inetd.conf sind jetzt noch folgende Dienste übrig:

tcp 32768 rpc.statd (filenet-tms)
tcp 111 portmap (sunrpc)
tcp 119 innd (nntp)
udp 32768 rpc.statd (filenet-tms)
udp 810 rpc.statd (fcp)
udp 111 portmap (sunrpc)

Wie werde ich die noch los?
(Oder brauche ich die irgendwie?)

PS: SSH habe ich drauf. War nur nicht in der Portliste, weil ich das ja nicht loswerden will.

Joghurt · Beitrag von **Joghurt** » 29.01.2004 00:27:48

Das sieht mir sehr nach nfs aus. Wenn du das nicht brauchst, schmeiss auch das mal runter

mastermind_the_real_one · Beitrag von **mastermind_the_real_one** » 29.01.2004 00:55:46

apt-get install rcconf

und danach in der Konsole mal rcconf aufrufen

greetz
mastermind

_Tom_ · Beitrag von **_Tom_** » 29.01.2004 08:19:10

Danke,

ich habe mit rcconf die Punkte nfs-kernerl-server und nfs-common rausgeworfen.

Die Ports sind allerdings noch immer offen. Vermutlich muss ich irgendeinem Prozess einen Kill -HUP senden. Bloß welchem?

Oder muss ich sogar rebooten?

eagle · Beitrag von **eagle** » 29.01.2004 08:38:56

_Tom_ hat geschrieben:Oder muss ich sogar rebooten?

soetwas macht man doch nicht!

Der portmap(per) und statd sind extra Pakete und den innd (News Daemon) brauch in der Regel auch keiner.

eagle

suntsu · Beitrag von **suntsu** » 29.01.2004 08:52:13

Mit

Code: Alles auswählen

fuser -uv 1133/tcp

Kann man das Prgramm das auf einen Port horcht anzeigen lassen. Finde ich persönlich noch nützlich.

gruss
manuel

hibatsu · Beitrag von **hibatsu** » 17.04.2005 18:02:54

111/tcp rpcbind
139/tcp netbios-ssn
445/tcp microsoft-ds
631/tcp ipp

Was sind das für Dienste?
Brauch ich die bzw. wie werd ich sie los?
Und wie kann man Ports generell sperren?

nepos · Beitrag von **nepos** » 17.04.2005 22:45:05

Also Port 111 ist immer noch der portmapper. Kannst du eigentlich rauswerfen.
139+445 sind Ports, die Samba wohl aufgemacht hat. Wenn du kein Samba brauchst, kannst du auch das rauswerfen.
Port 631 is meines Wissens der Port fuer das Internet Printer Protocol - oder so aehnlich. Hast du da eventuell CUPS am laufen?
Ach ja,

Code: Alles auswählen

netstat -tulpe

als root zeigt dir genau, welcher Prozess welchen Port offen hat. Erleichtert die Suche ungemein

hibatsu · Beitrag von **hibatsu** » 18.04.2005 00:11:49

Danke. Wie entferne ich portmap am besten?
In rcconf wirds nicht gelistet. Soll ich die Dateien in init.d und rcX.d einfach löschen?
Und wie kann ich Ports unter Debian sperren (also nicht mit iptables filtern)?

nepos · Beitrag von **nepos** » 18.04.2005 08:02:01

Also, den portmapper wirste einfach mit

Code: Alles auswählen

apt-get remove portmap

los.
Hm, Ports sperren. Also, so lange auf einem Port kein Programm lauscht, ist das doch eh kein Problem. Damit ist der Port eh zu.
Dienste, die ueber den tcp-Wrapper laufen - also normal die, die ueber inted gestartet werden z.B. - kannst du ueber die beiden Dateien hosts.allow und hosts.deny in /etc absichern, wenn du partout kein iptables benutzen willst. Naeheres dazu findest du in der Man-Page zu hosts_access.

hibatsu · Beitrag von **hibatsu** » 18.04.2005 10:52:25

Es ist nicht so, dass ich kein iptables benutzen will. Aber sobal ich es mit iptables filtern lasse, öffnet mir doch iptables auch den port gefiltert (laut nmap), oder?
Oder kann man iptables so konfigurieren, dass ich die ports filtern lasse, ohne ihn zu öffnen, also eigentlich erst, wenn ein anderes programm sie öffnet.

DynaBlaster · Beitrag von **DynaBlaster** » 18.04.2005 13:37:13

Ich hoffe mal, ich erzähle keinen Quatsch, aber bisher dachte ich, daß die nmap-Meldung filtered von der iptables-Konfiguration abhängt:

Sprich:

Code: Alles auswählen

iptables -A INPUT -i eth0 -p TCP --dport 80 -j REJECT

sperrt den Zugriff auf den Dienst, der auf Port 80 (TCP) lauscht, also einen Webserver, meldet aber an den anfragenden Client, daß eben hier kein Dienst vorhanden ist. Ob das grundsätzlich gilt, also gar kein Webserver installiert ist, oder ob das nur für den Client gilt, weiss der Client aber nicht.

Code: Alles auswählen

iptables -A INPUT -i eth0 -p TCP --dport 80 -j DROP

hingegen verwirft das Paket einfach. Die Anfrage des Clients bekommt einen Timeout.