IP-Ports dicht machen

[Spoiler]

Servus,

ich habe einen Root-Server und würde den gerne absichern.

Leider bin ich ne totale Hupe, was dieses Thema angeht.

Also bleibt für mich nur die Frage: Wo deaktiviere bzw. aktiviere ich denn Ports??

Wenn ich jetzt zum Beispiel den UDP 137 schließen will ... wo geht das??

Bei der Gelegenheit könnte ich auch gleich mal einen Tipp gebrauchen, wie ich rausbekomme, welche Ports offen sind und welche ich davon wirklich brauche.

Vielen vielen Dank im Voraus.

Gruß

Spoiler

[meister6666]

Hi,

die offenen oder geschlossenen Ports kannst du mit nmap anzeigen lassen. EInfach ein:

Code: Alles auswählen

nmap 127.0.0.1

tschö meister

[herrchen]

Wo deaktiviere bzw. aktiviere ich denn Ports?

welche ports offen sind, richtet sich danach, welche dienste/daemons du gestartet hast.

Wenn ich jetzt zum Beispiel den UDP 137 schließen will

du wirst ja z.b. kein samba auf deinem rootie installieren ...

wie ich rausbekomme, welche Ports offen sind

am besten eignet sich dazu:

Code: Alles auswählen

netstat -plaunt

welche ich davon wirklich brauche.

welche dienste du anbieten willst, musst du schon selber wissen.

ein rootserver ist sehr gut an das internet angebunden und von von daher ein lohnendes ziel für angreifer.
warum nimmst du zum testen und erfahrungen sammeln keinen rechner bei dir zuhause?
da dir offensichtlich sämtliche grundlagen fehlen, rate ich dir dringend zu folgenden links:

http://www.debiananwenderhandbuch.de
http://www.debian.org/doc/manuals/secur ... ian-howto/

herrchen

[Spoiler]

Das Problem ist, dass ich den Root benötige. Da laufen zwei HP's drauf und ein TS.

Die Sachen kann ich nicht einfach mal umlagern.

nmap ergibt:

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-11-02 21:06 CET
Interesting ports on R144235.local (127.0.0.1):
(The 1650 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
113/tcp open auth
143/tcp open imap
870/tcp open unknown
953/tcp open rndc
3306/tcp open mysql
9876/tcp open sd

Nmap finished: 1 IP address (1 host up) scanned in 0.247 seconds

und netstat -plaunt

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:60000 0.0.0.0:* LISTEN 16604/postgrey.pid
tcp 0 0 0.0.0.0:51234 0.0.0.0:* LISTEN 4421/server_linux
tcp 0 0 0.0.0.0:14534 0.0.0.0:* LISTEN 4421/server_linux
tcp 0 0 0.0.0.0:870 0.0.0.0:* LISTEN 688/rpc.statd
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 531/mysqld
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 464/couriertcpd
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 454/couriertcpd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 316/portmap
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 16328/apache2
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 475/inetd
tcp 0 0 127.0.0.1:9876 0.0.0.0:* LISTEN 731/vhcs2_daemon
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 16261/named
tcp 0 0 89.163.144.235:53 0.0.0.0:* LISTEN 16261/named
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 695/proftpd: (accep
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 682/sshd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 16261/named
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 669/master
tcp 0 2076 89.163.144.235:22 89.49.159.235:3429 ESTABLISHED31440/sshd: spoiler
udp 0 0 0.0.0.0:33425 0.0.0.0:* 16261/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 16261/named
udp 0 0 89.163.144.235:53 0.0.0.0:* 16261/named
udp 0 0 0.0.0.0:8767 0.0.0.0:* 4421/server_linux
udp 0 0 0.0.0.0:68 0.0.0.0:* 281/dhclient
udp 0 0 0.0.0.0:864 0.0.0.0:* 688/rpc.statd
udp 0 0 0.0.0.0:867 0.0.0.0:* 688/rpc.statd
udp 0 0 0.0.0.0:111 0.0.0.0:* 316/portmap

Scheint also nicht so viel offen zu sein.

Vielleicht lässt sich mein eigentliches Problem auch anders lösen.
Ich habe auf dem Server viel zu viel Traffic ... und keinen Plan, wo der herkommt.
Mein Traffic-Interface für Web und Mail sagt mir ca. 15 GB im Monat.
Der TS sagt das gleiche.

Es sollten also zusammen ca. 30 GB rauskommen ... laut Provider sind es aber ca. 100 GB Tendenz steigend.

Also wollte ich als erstes mal die Ports dicht machen.

Ich brauche halt HTTP, SSH, die TS-Ports, POP3, IMAP, SMTP, FTP ... ich glaub das wars.

[nepos]

Schmeiss als erstes mal den Portmapper runter. Sofern du kein NFS nutzt brauchst du den nicht.
Brauchst du auf dem Root-Server einen eigenen DNS-Server? Wenn nicht, kannst du den ebenfalls mal abschalten. Das gleiche gilt fuer den DHCP-Server. Ich denke nicht, dass du den auf einem Root-Server brauchen wirst.
Ansonsten wuerde ich dir mal raten, dich drueber schlau zu machen, wie du dein System absicherst.

Schau auch mal in die Logfiles, ob dir was auffaelliges unter die Augen kommt.

Zur Analyse des Traffics kannst du dir mal Tools wie ntop, tcpdump, iptraf und vnstat ansehen. Eventuell kommst du da schon drauf, was da soviel Traffic verursacht.

Ach ja, als Schutz vor gescripteten Brute Force Angriffen auf den sshd hat es sich bewaehrt, diesen auf einen anderen Port zu legen.

Falls du dann noch mit einer Firewall die Zugriffe genauer regeln willst, dann schau dir mal bei http://www.netfilter.org die diversen HowTos und Tutorials an, wie man mit iptables arbeitet.

[Spoiler]

Sauber, das ist doch mal ne Antwort

Nachdem ich nun den Portmapper abgeschaltet habe, stellt sich mir noch die Frage:

Wie schalte ich denn den rpc.statd ab??

Und dann bleiben da noch folgende Sachen:
dhclient - Was ist das? brauch ich das? Ist das der erwähnte DHCP?
initd - soll man auch abschalten können -> sollte ich das? Wenn ja: WIE?

Dann zu den Logfiles ... welche?
in /var/log sind Millionen von denen

Danke im Voraus.

[nepos]

Hm, der rpc.statd, hm, da bin ich mir grade nicht sicher, wo der mitgestartet wird.

Dhclient ist ein DHCP-Client. Keine Ahnung ob du den brauchst, damit dein Root-Server seine IP zugewiesen bekommt oder nicht. Was sagt denn die /etc/network/interfaces dazu?
Wenn deine IP-Adresse statisch konfiguriert ist, dann brauchst du den dhclient eigentlich nicht.

Initd willst du nicht abschalten Du meinst inetd. Je nachdem, was darueber gestartet wird, kannst du in runterwerfen oder auch nicht. SMTP oder auch FTP koennten eventuell ueber den inetd gestartet werden bei Bedarf. Das muesstest du mal kontrollieren.

Naja, /var/log/messages, /var/log/syslog, /var/log/daemon, /var/log/kern.log eventuell noch.
Ach ja und die Logs fuer Mail koenntest du auch mal checken. Wenn postfix laeuft, dann sollte das /var/log/mail.log sein. Bei exim liegen die Logs unter /var/log/exim4/.
Musst dich halt mal durchgraben.

Generell wuerd ich dir empfehlen, dir schleunigst Grundlagen in Sachen Linux anzueignen, ein Root-Server ist leider kein Spielzeug mehr!

[Spoiler]

Danke erstmal

Grundlagen in Linux sind mir durchaus bekannt ... naja, diese hier weniger.
Und was heisst auch: Grundlagen aneignen? Was mach ich denn hier grad???

Nix für ungut: auf dem Server wurde ein LAMP-Image installiert, wer es kennt: von NGZ das VHSC2 Image.

Ich hatte gehofft, wenn ein Provider ein solche Image anbietet, dass das dann auch basismäßig abgesichert ist.

Back to Topic:
Soweit ich das jetzt gesehen habe, wird in der inetd nur identd gestartet.
Keine Ahnung, wozu der da ist ... aber das krieg ich raus.

Beim DHCP siehst dann mal so aus, als wenn ich den brauche.

Code: Alles auswählen

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

Gruß

Spoiler