Port ohne dazu gehörenden Prozess offen

eagle · Beitrag von **eagle** » 06.07.2005 09:26:41

Ein Aufruf von netstat zeigt auf meinem Rechner einen offenen Port an, aber keinen entsprechenden Prozeß. Woher kommt das und wie kann ich den Port wieder schliessen?

Code: Alles auswählen

l# netstat -pan --inet
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:32768           0.0.0.0:*               LISTEN     -
..
udp        0      0 0.0.0.0:32768           0.0.0.0:*                          -
..

eagle

MixeryMan · Beitrag von **MixeryMan** » 06.07.2005 09:35:18

hast du schon in der /etc/services nachgeschaut?

mistersixt · Beitrag von **mistersixt** » 06.07.2005 10:56:02

Das wird NFS sein, mach mal:

Code: Alles auswählen

rpcinfo -p | grep 32768

ps zeigt nix an, weil da ein Kernel-Modul den Port aufmacht (vermute ich mal).

Gruss, mistersixt.

eagle · Beitrag von **eagle** » 06.07.2005 11:05:11

Jupp da hast du Recht. Danke da bin ich wieder beruhigt.

Code: Alles auswählen

# rpcinfo -p
   Program Vers Proto   Port
..
    100021    1   udp  32768  nlockmgr
    100021    3   udp  32768  nlockmgr
    100021    4   udp  32768  nlockmgr
    100021    1   tcp  32768  nlockmgr
    100021    3   tcp  32768  nlockmgr
    100021    4   tcp  32768  nlockmgr
 ..

eagle

keymaker2 · Beitrag von **keymaker2** » 22.07.2005 13:54:27

Hallo zusammen

leider bin ich zur zeit gerade ein bisschen unberuhigt... ich habe einen RH9 server mit diversen services (ftp,ssh,http,mysql) am laufen und habe bei einer kontrolle bemerkt, dass port 32768 tcp & udp offen ist.
bei rpcinfo -p hat leider kein ergebnis geliefert, was da für ein service läuft...

Code: Alles auswählen

# rpcinfo -p
   program vers proto   port
    100024    1   udp  32768  status
    100024    1   tcp  32768  status
    391002    2   tcp  32769  sgi_fam

unter /etc/service ist der port nicht aufgeführt..... gibt es noch andere möglichkeiten herauszufinden, was das ist?!

mfg
Keymaker

Beitrag von **KBDCALLS** » 22.07.2005 14:28:37

Code: Alles auswählen

 lsof -i:137,138,139

Code: Alles auswählen

 fuser -uv 724/tcp

Code: Alles auswählen

 netstat -nlp

Code: Alles auswählen

netstat -tanp | grep 738

keymaker2 · Beitrag von **keymaker2** » 22.07.2005 15:55:34

Code: Alles auswählen

# lsof -i:32768
COMMAND    PID    USER   FD   TYPE DEVICE SIZE NODE NAME
rpc.statd 3362 rpcuser    4u  IPv4   3168       UDP *:32768
rpc.statd 3362 rpcuser    6u  IPv4   3171       TCP *:32768 (LISTEN)

# fuser -uv 32768/tcp

                     USER        PID ACCESS COMMAND
32768/tcp            root       3362 f....  rpc.statd

# netstat -tanp | grep 32768
tcp        0      0 0.0.0.0:32768           0.0.0.0:*               LISTEN      3362/

# netstat -nlp | grep 32768
tcp        0      0 0.0.0.0:32768           0.0.0.0:*               LISTEN      3362/
udp        0      0 0.0.0.0:32768           0.0.0.0:*                           3362/

und was kann ich jetzt genau daraus lesen?!
der user ist: rpcuser
die PID ist 3362
was heisst: COMMAND?! rpc.statd was ist das jetzt?!

klingt viellicht ein bisschen anfänger mässig (bin ich ja leider auch...) aber ich bin fleissig am lernen... (deshalb auch der server

)

mfg
keymaker

Beitrag von **KBDCALLS** » 22.07.2005 16:21:26

Das ist der Portmapper . Teil von NFS .

keymaker2 · Beitrag von **keymaker2** » 22.07.2005 17:08:14

ok, besten dank für die schnelle antwort!

gfw · Beitrag von **gfw** » 10.10.2005 02:40:23

habe nfs bisher nur auf einer alten woody installation im privaten netzwerk verwendet, da sah ich mit netstat keines dieser ports offen.

jetzt beim instalieren von nfs auf einem sarge gerät hab ich mich über port 32769 gewundert, weil lsof -i, oder netstat -nlp sagen dazu nichts

also vom kernel geöffnetes port ...
das ist aber neu, oder ?
wurde da die arbeitsweise des kernel-server verändert, oder hat das
netstat bloss früher nicht angezeigt ?
das port ändert sich noch dazu wenn man den nfs-server restartet...
dh, das ist auch gar nicht so leicht abzusichern, oder?
nfs hat ja sicherheitsmässig keinen guten ruf, wie gefährlich ist es
wirklich das in einem öffentlichen netz zu betreiben ?
hat von euch wer erfahrung?

grüsse georg

mistersixt · Beitrag von **mistersixt** » 10.10.2005 09:22:11

In einem öffentlichen Netz sollten erstmal sowieso nur die Ports offen sein, die wirklich benötigt werden. Ansonsten halt sicherstellen, dass in der /etc/exports nur die IP-Adressen stehen, die sich was vom NFS-Server "holen" dürfen.

Gruss, mistersixt.

nil · Beitrag von **nil** » 10.10.2005 09:26:11

Wenn Du nicht weisst, wofür was gut ist:

Code: Alles auswählen

apt-get remove portmap

Beitrag von **KBDCALLS** » 10.10.2005 09:39:19

Kann er machen wenn er nfs nicht braucht.

nil · Beitrag von **nil** » 10.10.2005 09:43:34

Genau, sinnlose Dienste immer deaktivieren, wenn sie nicht benötigt werden. Habe bis heute nicht verstanden, warum sowas überhaupt standardmäßig installiert wird. Kann auch keiner beantworten, oder?

mistersixt · Beitrag von **mistersixt** » 10.10.2005 09:46:04

Bei einer Grundinstallation von Debian Sarge ist doch erstmal nix offen, oder irre ich mich da. Insofern kein Problem. Man sollte halt beim Nachinstallieren von Paketen darauf achten, dass aufgrund von Abhängigkeiten nicht plötzlich andere Pakete mitinstalliert werden, die dann einen Port aufmachen...

Gruss, mistersixt.

Beitrag von **KBDCALLS** » 10.10.2005 09:46:12

Da wird man wohl die Debianentwickler fragen müssen, ob die eine sinvolle Antwort geben können.

nil · Beitrag von **nil** » 10.10.2005 09:49:08

naja, für alle mit "nur einem" Linux-Rechner ist NFS wohl nicht notwendig. Und die Leute mit Windows-Rechner nutzen Samba.

debianforum.de

Port ohne dazu gehörenden Prozess offen

Port ohne dazu gehörenden Prozess offen

nfs sicher in einem öffentlichen netz ?