Ports abschalten: welche werden gebraucht?

[vicbrother]

Ich habe gerade ein nmap auf meinen Rechner ausgeführt und diese Ausgabe erhalten:

nmap 10.0.0.2

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-12-23 12:44 CET
Interesting ports on 10.0.0.2:
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
13/tcp open daytime
22/tcp open ssh
37/tcp open time
80/tcp open http
139/tcp open netbios-ssn
427/tcp open svrloc
445/tcp open microsoft-ds
631/tcp open ipp
978/tcp open unknown
1015/tcp open unknown
2049/tcp open nfs
2628/tcp open dict

Nmap finished: 1 IP address (1 host up) scanned in 0.390 seconds

Sind diese Ports alle notwendig? Sind sie auch wirklich offen (bei ipp zB habe ich doch nur localhost:631 angegeben, wie debconf es zur Sicherheit vorschlug)
Wo kann ich diese abschalten - svrloc kenne ich zB gar nicht?

[nepos]

Naja, so generell kann man das nicht sagen, welche Ports du nun brauchst und welche nicht. Haengt immer davon ab, was du mit dem Rechner alles machen willst.
Auf jeden Fall abschalten kannst du denke ich daytime und time.
Falls du Samba nutzen willst, sind die offenen Ports 139 und 445 ok denke ich.
Falls du einen Webserver am Laufen hast, ist 80 auch ok.
Fuer die unbekannten offenen Ports, da wuerde ich mal mit

Code: Alles auswählen

netstat -tulpen

nachsehen, welcher Prozess da dahintersteht.

Auf jeden Fall waeren mehr Infos nett, was du genau mit dem Rechner machen willst, wie es ins Netzwerk eingebunden ist und ob er z.B. aus dem Internet erreichbar ist.

[vicbrother]

@nepos:
Ich habe auf meinen Rechner ne Webseite laufen, also 80 ist ok. Einige Dienste habe ich schon geschlossen - was mich aber irritiert ist, dass in meiner /etc/xinetd.conf daytime und time disabled sind und trotzdem laufen...

[Mr. Rabbit]

Hallo,

die Ports ansich kannst Du nicht abschalten - nur die Dienste die damit verknüpft sind.
Kein Dienst => kein offener Port.

Je weniger Dienste laufen, desto besser. Also wie nepos schon sagte - überleg Dir wofür Du Deinen Rechner benutzen möchtest, dann entferne unnötige Dienste.

Übrigens auch wenn Du Deinen Computer nicht als Server einsetzt würde ich ssh (port 22) immer empfehlen, da Du damit u.U. bei einem Crash evt. noch Zugriff von "außen" auf Deinen Rechner hast. (Hat mir schon öfter geholfen wenn X eingefroren ist und keine Tastatureingaben mehr annehmen wollte )

Das Securing Debian Manual ist eine gute Quelle für weitere Informationen dazu.


Viele Grüße

[nepos]

Ach ja, ansonsten vielleicht mal mit iptables alles dichtmachen bis auf die Dinge, die man auf den ersten Blick braucht. Dann kannst du anhand der - hoffentlich eingebauten Logging-Regeln - sehen, was eventuell noch fehlt.

[vicbrother]

Hm, obwohl in meiner /etc/xinetd.conf daytime und time auf disabled stehen starten Sie trotzdem. Hat da jemand noch einen Tipp?

[Savar]

3 Möglichkeiten fallen mir ein:

1. du hast Xinetd nicht restartet
2. daytime und time sind nicht in der xinetd.conf sondern unterhalb von /etc/xinetd.d/ zu finden
3. du benutzt eigentlich inetd und nicht xinetd und musst in der /etc/inetd.conf nachschauen

[vicbrother]

@Savar: Soweit so gut:
xinetd wird gestartet,
daytime und time habe ich aus /etc/xinetd.d/ gelöscht,
daytime und time sind in /etc/xinetd.conf disabled
und inetd wird nicht gestartet. Trotzdem laufen time und daytime... Hast du noch eine Idee?

[KBDCALLS]

daytime und time werden intern von xinetd oder inetd gestartet bzw bereitgestellt. Poste mal die Ausgabe. von

Code: Alles auswählen

netstat -tulpen 

wie schon vorgeschlagen.

Da steht ganz klar wer der jenige welcher ist.

Code: Alles auswählen

tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN     0          12897      5855/xinetd           
tcp        0      0 0.0.0.0:13              0.0.0.0:*               LISTEN     0          12893      5855/xinetd

Aber als Root ausführen. Und lass mal das n weg

[vicbrother]

Ja, xinetd startet daytime und time:

Code: Alles auswählen

tcp        0      0 0.0.0.0:13              0.0.0.0:*               LISTEN     0          10693      7184/xinetd
tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN     0          10694      7184/xinetd 

Ich kann mir das nur nicht erklären, da in meiner /etx/xinetd.conf

Code: Alles auswählen

        disabled        = discard
        disabled        = discard
        disabled        = daytime
        disabled        = time
        disabled        = smtp
        disabled        = talk
        disabled        = ntalk
        disabled        = netbios-ssn
        disabled        = tftpd
        disabled        = nttcp

steht und unter /etc/xinetd.d/ keine Dateien mehr zu finden sind. Warum werden aber trotzdem time und daytime geöffnet?

[nil]

Vielleicht solltest du das Problem anders angehen:

xinetd wofür überhaupt -> löschen
nfs wofür -> löschen
portmap wofür -> löschen

Nun kläre noch die übrigen Ports, indem du die Anwendungen raussuchst und versuchst du verstehen.
http würde ich durch https ersetzen (oder deinistallieren)

noch ein Befehl:

Code: Alles auswählen

lsof -i

[vicbrother]

@nil:
Ich habe mein System bis auf ssh und http eingeschränkt - das ist auch ok. Allerdings sind immer noch daytime und time offen, dabei hat auch lsof -i nicht gezeigt, dass eine Anwendung diese Ports braucht.

[nil]

Es könnte sein, dass lsof -i es nicht anzeigt, da es über inetd/xinetd gestartet wird.

Hast du mal xinetd und inetd deinstalliert?

Code: Alles auswählen

apt-get remove xinetd
apt-get remove inetd
[code]

[KBDCALLS]

Ob das sinnvoll ist?

Poste mal hier http://nopaste.debianforum.de/ die Ausgabe von

Code: Alles auswählen

netstat -tulpe

aber als Root ausgeführt.

[vicbrother]

@nil: Du meinst mit purge deinstallieren und wieder installieren? Nein, aber das ist auch die letzte Möglichkeit die ich dann noch sehe...

@KBDCALLS: Unter http://nopaste.debianforum.de/1961 liegt die Ausgabe.

[KBDCALLS]

Time und Daytime werden immer noch von Xinted geöffnet , kann eigentlich auch nicht anders sein. Time und Daytime sind intern von Xinetd, Programme die das sonst bereitstellen kenn ich nicht.

Poste mal daytime und time aus dem Verzeichnis

Code: Alles auswählen

/etc/xinetd.d

und die Dateien

Code: Alles auswählen

/etc/inetd.conf 

und

Code: Alles auswählen

/etc/xinetd.conf

[vicbrother]

@KBDCALLS: time und daytime existieren unter /etc/xinetd.d nicht mehr.

Die weiteren Dateien:

/etc/xinetd.conf:

Code: Alles auswählen

[D810 /home/vic] cat /etc/xinetd.conf
        disabled        = discard
        disabled        = discard
        disabled        = daytime
        disabled        = time
        disabled        = smtp
        disabled        = talk
        disabled        = ntalk
        disabled        = netbios-ssn
        disabled        = tftpd
        disabled        = nttcp

service discard
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        type            = INTERNAL
        id              = discard-stream
}

service discard
{
        socket_type     = dgram
        protocol        = udp
        wait            = yes
        user            = root
        type            = INTERNAL
        id              = discard-dgram
}

service daytime
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        type            = INTERNAL
        id              = daytime-stream
}

service time
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        type            = INTERNAL
        id              = time-stream
}

service smtp
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = mail
        server          = /usr/sbin/exim
        server_args     = -bs
}

service talk
{
        socket_type     = dgram
        protocol        = udp
        wait            = yes
        user            = nobody.tty
        server          = /usr/sbin/ktalkd
        server_args     = -bs

}

service ntalk
{
        socket_type     = dgram
        protocol        = udp
        wait            = yes
        user            = nobody.tty
        server          = /usr/sbin/ktalkd
        server_args     = -bs

}

service netbios-ssn
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/smbd
        server_args     = -bs

}

service tftpd
{
        socket_type     = dgram
        protocol        = udp
        wait            = yes
        user            = nobody
        server          = /usr/sbin/in.tftpd
        server_args     = /srv/share

}

service nttcp
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = nobody
        server          = /usr/sbin/tcpd

/etc/inetd.conf

Code: Alles auswählen

[D810 /home/vic] cat /etc/inetd.conf
# /etc/inetd.conf:  see inetd(8) for further informations.
#
# Internet server configuration database
#
#
# Lines starting with "#:LABEL:" or "#<off>#" should not
# be changed unless you know what you are doing!
#
# If you want to disable an entry so it isn't touched during
# package updates just comment it out with a single '#' character.
#
# Packages should modify this file by using update-inetd(8)
#
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
#
#:INTERNAL: Internal services
#echo           stream  tcp     nowait  root    internal
#echo           dgram   udp     wait    root    internal
#chargen        stream  tcp     nowait  root    internal
#chargen        dgram   udp     wait    root    internal

#:STANDARD: These are standard services.

#:BSD: Shell, login, exec and talk are BSD protocols.
talk            dgram   udp     wait    nobody.tty      /usr/sbin/tcpd  /usr/sbin/ktalkd
ntalk   dgram   udp     wait    nobody.tty      /usr/sbin/tcpd  /usr/sbin/ktalkd

#:MAIL: Mail, news and uucp services.
#disabled#smtp          stream  tcp     nowait  mail    /usr/sbin/exim exim -bs

#:INFO: Info services

#:BOOT: Tftp service is provided primarily for booting.  Most sites
# run this only on machines acting as "boot servers."
tftp            dgram   udp     wait    nobody  /usr/sbin/tcpd  /usr/sbin/in.tftpd /boot

#:RPC: RPC based services

#:HAM-RADIO: amateur-radio services

#:OTHER: Other services
#<off># netbios-ssn     stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/smbd
saft    stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/sendfiled
#<off># ttcp    stream  tcp     nowait  nobody  /usr/sbin/tcpd /usr/bin/nttcp

[vicbrother]

Ich habe jetzt den xinetd abgeschaltet. Ich schätze ich brauche den nicht wirklich - oder gibt es Nebenwirkungen wenn er nicht läuft?

[herrchen]

oder gibt es Nebenwirkungen wenn er nicht läuft?

wenn du ihn nicht brauchst nicht.

herrchen

[KBDCALLS]

Solange keine Dienste über den xinetd gestartet werden sollte das nix ausmachen. Aber wenn die Dienst weg sind dann lags doch an ihm. Konnte ja auch nicht anders sein. Das steht bei mir in der [code9/etc//xinetd.conf [/code]

Code: Alles auswählen

# Simple configuration file for xinetd
#
# Some defaults, and include /etc/xinetd.d/

defaults
{


}

includedir /etc/xinetd.d

Und so sieht die Configdatei für Date aus.

Code: Alles auswählen

# This is the tcp version.
service time
{
	disable		= no       
	type		= INTERNAL
	id		= time-stream
	socket_type	= stream
	protocol	= tcp
	user		= root
	wait		= no
}                                                                               

# This is the udp version.
service time
{
	disable		= no
	type		= INTERNAL
	id		= time-dgram
	socket_type	= dgram
	protocol	= udp
	user		= root
	wait		= yes
}                                    

Um den Dienst abzuschalten müßte bei disable ein yes stehen.

[vicbrother]

Naja, ich teste mal das komplette abschalten. Vielen Dank an alle für die vielen Tipps!