Hi,
ich will keine DIenste nach "aussen" anbieten, d.h keine Server laufen haben etc.
Ich weiss noch nicht genau we ich es anstellen soll.
Welche Dienste laufen denn nach einer Debian woody Installation per default ( Installiert von der ersten CD)?
Bei mir sieht das momentan so aus :
linux:/home/user# lsof | grep LISTEN
portmap 188 root 4u IPv4 155 TCP *:sunrpc (LISTEN)
rpc.statd 251 root 5u IPv4 372 TCP *:32768 (LISTEN)
inetd 258 root 4u IPv4 318 TCP *:discard (LISTEN)
inetd 258 root 6u IPv4 320 TCP *:daytime (LISTEN)
inetd 258 root 7u IPv4 321 TCP *:time (LISTEN)
inetd 258 root 8u IPv4 322 TCP *:smtp (LISTEN)
inetd 258 root 9u IPv4 323 TCP *:auth (LISTEN)
lpd 262 root 6u IPv4 392 TCP *:printer (LISTEN)
linux:/home/user# lsof | grep UDP
dhclient- 184 root 6u IPv4 110 UDP *:bootpc
portmap 188 root 3u IPv4 154 UDP *:sunrpc
rpc.statd 251 root 3u IPv4 308 UDP *:851
rpc.statd 251 root 4u IPv4 369 UDP *:32768
inetd 258 root 5u IPv4 319 UDP *:discard
Sind das nun alle Dienste die bei mir laufen? Ich habe schon die ein oder anderen Dienst deaktiviert, weiss aber nicht genau ob jetzt dennoch was laeuft?
Wie kann ich das genau herausfinden? Gibt es zu diesem Thema noch gute Seiten im Netz?
Dann wollte ich mir noch ein Programm schreiben, das alle Dienste automatisch deaktiviert, damit ich es nicht bei einer Neuinstallation nochmal manuell machen muss. Ja ich weiss das es sowas schon mehr als genuegend gibt. Es geht auch mehr um den "Spass" am Programmieren ;)
Danke.
mfg questioneer
woody Dienste beenden ...
Du kannst Dir nmap und nmapfe installieren. Nmapfe ist das GUI von nmap damit kannst du die eigenen Ports scannen, und sehen was alles offen ist. Es gibt für Debian noch das Programm rcconf damit kannst Du Dienste an und abschalten, aber den Runlevel nicht verändern. Dann gibt es noch die möglichkeit mit update-rc.d .müßtest mal googeln Debian Benutzerhandbuch. Ich zum beispiel habe portmap deinstalliert weil ich ihn nicht brauche, auch in /etc/inetd.conf alles auskomentieren ' was du nicht benötigst.
Gruß jesaja
Gruß jesaja
-
questioneer
- Beiträge: 13
- Registriert: 20.09.2003 18:40:44
Hi. Ich habe mal nmap laufen lassen:
Port State Service
9/udp open discard
68/udp open dhcpclient
111/udp open sunrpc
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer
Also die Ports 9, 13, 37 kann man gefahrlos schliessen, solange man keine timeserver anbieten will? Was sind das fuer Server?
111 sunrpc hoert sich nicht gut an. Das ist Portmap oder? Wozu ist das gut?
Die Ports 515 und 25 werde ich definitiv dicht machen.
Bleibt noch auth ?
Also so wie ich das verstehe kann ich alle deaktiviern, weil ich nichts davon benoetige...
Bin mir aber nicht sicher wozu 9, 111 und 113 gut sind ;(
mfg questioneer
PS: Wie ich die Ports dann schliesse ist mittlerweile klar geworden. Ich frage mich jetzt nur noch wazu diese Dienste gut sind.
Port State Service
9/udp open discard
68/udp open dhcpclient
111/udp open sunrpc
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer
Also die Ports 9, 13, 37 kann man gefahrlos schliessen, solange man keine timeserver anbieten will? Was sind das fuer Server?
111 sunrpc hoert sich nicht gut an. Das ist Portmap oder? Wozu ist das gut?
Die Ports 515 und 25 werde ich definitiv dicht machen.
Bleibt noch auth ?
Also so wie ich das verstehe kann ich alle deaktiviern, weil ich nichts davon benoetige...
Bin mir aber nicht sicher wozu 9, 111 und 113 gut sind ;(
mfg questioneer
PS: Wie ich die Ports dann schliesse ist mittlerweile klar geworden. Ich frage mich jetzt nur noch wazu diese Dienste gut sind.
Du solltest vielleich noch beachten, daß Du mit nmap siehst, was Du lokal anbietest. Interessant ist aber, was Du nach außen anbietest. Dazu gibt es Seiten im Netz, die Du nur aufrufen mußt, und dann wirst Du gescannt und erhälst das Ergebniss.
Zu den offenen Ports: Einige Dienste wirst Du eventuell lokal anbieten wollen, aber nicht nach außen. Dazu muß man in der Regel in der Konfigurationsdatei des entsprechenden Dienstes das zu verwendende Interface angeben. Dann lauscht der Dienst nur an diesem. Da man aber gerne etwas übersieht, würde ich Dir zusätzlich das Einrichten einer Firewall anrate, damit kannst Du dann gezielt die Ports freigeben, die nach außen einen Dienst anbieten sollen.
Den Sunrpc kannst Du getrost abschalten. Einfach in /etc/inetd.conf nach der betreffenden Zeile suchen und per # auskommentieren. Dann noch ein beherztes und der Dienst solle nicht mehr erreichbar sein.
Zu den offenen Ports: Einige Dienste wirst Du eventuell lokal anbieten wollen, aber nicht nach außen. Dazu muß man in der Regel in der Konfigurationsdatei des entsprechenden Dienstes das zu verwendende Interface angeben. Dann lauscht der Dienst nur an diesem. Da man aber gerne etwas übersieht, würde ich Dir zusätzlich das Einrichten einer Firewall anrate, damit kannst Du dann gezielt die Ports freigeben, die nach außen einen Dienst anbieten sollen.
Den Sunrpc kannst Du getrost abschalten. Einfach in /etc/inetd.conf nach der betreffenden Zeile suchen und per # auskommentieren. Dann noch ein beherztes
Code: Alles auswählen
etc/init.d/inetd restartProgrammer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
-
questioneer
- Beiträge: 13
- Registriert: 20.09.2003 18:40:44
Hi und danke!
>Zu den offenen Ports: Einige Dienste wirst Du eventuell lokal anbieten wollen, aber nicht nach außen.
also generell will ich gar nichts anbieten. Der Rechner ist nicht am Netztwerk angeschlossen. Von daher muesste ich doch alles deaktivieren koennen oder bezieht sich das local auf den Rechner selbst, d.h wird ein Dienst davon intern vom Rechner benoetigt?
Ich suche jetzt mal nach dieser Portliste.
Auf eine Firewall auf diesem Rechner wollte ich verzichten. Habe auch eine auf meinem Router, d.h ich biete die ganze Zeit keine Dienste nach aussen an. Trotzdem will ich sie auds verschiedenen Gruenden deaktivieren.
> Den Sunrpc kannst Du getrost abschalten. Einfach in /etc/inetd.conf nach der betreffenden Zeile suchen und per # auskommentieren. Dann noch ein beherztes
ja mehr macht mein kleines Python Script auch nicht ;)
Was mich ein bisschen stoert ist alleine die Tatsache das Debian so viel "fuer die meisten Anwender unnuetze" Dienste anbietet. Wenigstens ein paar koennten sie doch echt weglassen. Bei bedarf kann man sie ja starten .... Also sicherheitstechnisch gesehen waere das bestimmt nicht die schlechteste Loesung, oder? Vermutlich hat das mit Tradition zu tun ;)
Ansonsten bin ich von Debian aber mehr als schwer begeistert. Nutze es auch erst seit 3-4 Wochen aber bei mir kommt nichts anderes mehr auf den Rechner...
mfg questioneer
>Zu den offenen Ports: Einige Dienste wirst Du eventuell lokal anbieten wollen, aber nicht nach außen.
also generell will ich gar nichts anbieten. Der Rechner ist nicht am Netztwerk angeschlossen. Von daher muesste ich doch alles deaktivieren koennen oder bezieht sich das local auf den Rechner selbst, d.h wird ein Dienst davon intern vom Rechner benoetigt?
Ich suche jetzt mal nach dieser Portliste.
Auf eine Firewall auf diesem Rechner wollte ich verzichten. Habe auch eine auf meinem Router, d.h ich biete die ganze Zeit keine Dienste nach aussen an. Trotzdem will ich sie auds verschiedenen Gruenden deaktivieren.
> Den Sunrpc kannst Du getrost abschalten. Einfach in /etc/inetd.conf nach der betreffenden Zeile suchen und per # auskommentieren. Dann noch ein beherztes
ja mehr macht mein kleines Python Script auch nicht ;)
Was mich ein bisschen stoert ist alleine die Tatsache das Debian so viel "fuer die meisten Anwender unnuetze" Dienste anbietet. Wenigstens ein paar koennten sie doch echt weglassen. Bei bedarf kann man sie ja starten .... Also sicherheitstechnisch gesehen waere das bestimmt nicht die schlechteste Loesung, oder? Vermutlich hat das mit Tradition zu tun ;)
Ansonsten bin ich von Debian aber mehr als schwer begeistert. Nutze es auch erst seit 3-4 Wochen aber bei mir kommt nichts anderes mehr auf den Rechner...
mfg questioneer
Hallo,
hier ist nochmal ein Link für einen
externen Portscanner. Ich habe den Test
mal mit meinem SID gemacht:
Security-Test
https://check.lfd.niedersachsen.de/cgi-bin/pscan.cgi
Geprüft Port 0 - 1023:
Mit gestarteten Firestarter:
Es wurden keine offenen Ports gefunden!
Die Dauer des Scans betrug: 307 sec.
Na gut - das überraschte nicht so.
Das gleiche dann ohne gestarteten Firestarter:
Offene Ports:
80 | http | *
631 | ipp | * (localhost ?)
Es wurden 1024 Ports durchsucht und 2 offene Ports gefunden.
Die Dauer des Scans betrug: 4:26 min:sec
* Zeigt an, was der Port beim Öffnen zurückliefert!
Das verstehe ich nicht, da in /etc/inetd.conf alle möglichen Dienste auskommentiert wurden.
Ein netstat -a | grep LISTEN zeigt:
tcp 0 0 *:www *:* LISTEN
tcp 0 0 RECHNERNAME:domain *:* LISTEN
tcp 0 0 *:ipp *:* LISTEN
tcp 0 0 RECHNERNAME:953 *:* LISTEN
Wie erklärt sich dies ? Es ist ein Einzelplatzrechner,
nur mit Inet-Anschluss via DSL-PCI, ich möchte garkeine Dienste nach draussen anbieten.
Portmap habe ich bereits deinstalliert.
Wie aber kann ich alle Dienste deaktivieren,
die über Port 80 und 631 laufen ?
hier ist nochmal ein Link für einen
externen Portscanner. Ich habe den Test
mal mit meinem SID gemacht:
Security-Test
https://check.lfd.niedersachsen.de/cgi-bin/pscan.cgi
Geprüft Port 0 - 1023:
Mit gestarteten Firestarter:
Es wurden keine offenen Ports gefunden!
Die Dauer des Scans betrug: 307 sec.
Na gut - das überraschte nicht so.
Das gleiche dann ohne gestarteten Firestarter:
Offene Ports:
80 | http | *
631 | ipp | * (localhost ?)
Es wurden 1024 Ports durchsucht und 2 offene Ports gefunden.
Die Dauer des Scans betrug: 4:26 min:sec
* Zeigt an, was der Port beim Öffnen zurückliefert!
Das verstehe ich nicht, da in /etc/inetd.conf alle möglichen Dienste auskommentiert wurden.
Ein netstat -a | grep LISTEN zeigt:
tcp 0 0 *:www *:* LISTEN
tcp 0 0 RECHNERNAME:domain *:* LISTEN
tcp 0 0 *:ipp *:* LISTEN
tcp 0 0 RECHNERNAME:953 *:* LISTEN
Wie erklärt sich dies ? Es ist ein Einzelplatzrechner,
nur mit Inet-Anschluss via DSL-PCI, ich möchte garkeine Dienste nach draussen anbieten.
Portmap habe ich bereits deinstalliert.
Wie aber kann ich alle Dienste deaktivieren,
die über Port 80 und 631 laufen ?
Wenn Du ein paar Euro übrig hast kauf Dir am besten einen Hardwarerouter mit integrierter Firewall kostet nicht die Welt so um die 65 Euro. Ich habe mir einen siemens Gigaset-4-port Router zugelegt. Das ist für mein Home Netzwerk auf alle fälle sicherer als eine softwarevariante. Denn der macht das was er soll den Internetverkehr regeln und sonst nichts anderes. bei mir läuft darauf ein DHCP-server der die IP-adressen im Home-LAN verteilt und eine Firewall NAT (Masquerading) der die öffentliche IP-Adresse in Private IP umwandelt. Ich kann damit auch einzelne webangebote verbieten wie zum beispiel Sex und Brutalo. Gut wenn man Kids hat. Jedenfals kann ich jeden der ein kleines Home-Lan hat so etwas nur empfelen.
Gruß jesaja
Gruß jesaja
Ja, Hartwarerouter oder ein Zweitrechner mit iptables davor ist bestimmt eine gute Sicherheitslösung, Aber vielleicht kommt man dem Ergebnis auch ohne
(maulstopfende) "Firewall" brauchbar nahe ?
Ich habe nach Abschluss meines upgrades auf SID nun weitere diensteanbietende Anwendungen wieder deinstalliert, wo ich momentan davon ausgehe, sie nicht zu benötigen ( Einzelrechner / Desktop, kein LAN), bis jetzt ohne sichtbare Nachteile:
apache
apache-perl
portmap
finger
samba
ssh
Lisa
Die initd.conf ist komplett auskommentiert.
Gibt es weitere Lücken, die defaultmässig vorhanden sein müssten ?
Und Nebenfrage: bin bei Recherchen auch auf Bastille gestossen. Gibt`s als
deb-Pakete jeweils für stable/testing/unstable. Habe es noch nicht ausprobiert.
Ist dieses Tool eine brauchbare Hilfe ? Gibt`s Erfahrungen damit ?
http://packages.debian.org/stable/admin/bastille.html
(maulstopfende) "Firewall" brauchbar nahe ?
Ich habe nach Abschluss meines upgrades auf SID nun weitere diensteanbietende Anwendungen wieder deinstalliert, wo ich momentan davon ausgehe, sie nicht zu benötigen ( Einzelrechner / Desktop, kein LAN), bis jetzt ohne sichtbare Nachteile:
apache
apache-perl
portmap
finger
samba
ssh
Lisa
Die initd.conf ist komplett auskommentiert.
Gibt es weitere Lücken, die defaultmässig vorhanden sein müssten ?
Und Nebenfrage: bin bei Recherchen auch auf Bastille gestossen. Gibt`s als
deb-Pakete jeweils für stable/testing/unstable. Habe es noch nicht ausprobiert.
Ist dieses Tool eine brauchbare Hilfe ? Gibt`s Erfahrungen damit ?
http://packages.debian.org/stable/admin/bastille.html
-
questioneer
- Beiträge: 13
- Registriert: 20.09.2003 18:40:44
@jesaja:
>Wenn Du ein paar Euro übrig hast kauf Dir am besten einen Hardwarerouter mit integrierter Firewall kostet nicht die Welt so um die 65 Euro.
ja ich habe ja auch, wie ich erwaehnte ;)
Trotzdem danke fuer den Tipp!
@sideshore:
>Und Nebenfrage: bin bei Recherchen auch auf Bastille gestossen. Gibt`s als
>deb-Pakete jeweils für stable/testing/unstable. Habe es noch nicht ausprobiert.
>Ist dieses Tool eine brauchbare Hilfe ? Gibt`s Erfahrungen damit ?
ich habe es auch ausprobiert. Ist aber eher eine Spielerei ... trotzdem nett. Nimmt Dir halt arbeit ab. Du kannst es in zwei Modi starten. Einmal werden Dir fragen gestellt, die Du dann beantworten musst, je nachdem wie Du es willst und einmal gibt es einen Modus der erstmal viele Sicherheitsluecken so schliesst (ohne zu Fragen). Ich wuerde ersteres empfehlen. Probier es einfach aus. Ganz lustig ;)
mfg questioneer
>Wenn Du ein paar Euro übrig hast kauf Dir am besten einen Hardwarerouter mit integrierter Firewall kostet nicht die Welt so um die 65 Euro.
ja ich habe ja auch, wie ich erwaehnte ;)
Trotzdem danke fuer den Tipp!
@sideshore:
>Und Nebenfrage: bin bei Recherchen auch auf Bastille gestossen. Gibt`s als
>deb-Pakete jeweils für stable/testing/unstable. Habe es noch nicht ausprobiert.
>Ist dieses Tool eine brauchbare Hilfe ? Gibt`s Erfahrungen damit ?
ich habe es auch ausprobiert. Ist aber eher eine Spielerei ... trotzdem nett. Nimmt Dir halt arbeit ab. Du kannst es in zwei Modi starten. Einmal werden Dir fragen gestellt, die Du dann beantworten musst, je nachdem wie Du es willst und einmal gibt es einen Modus der erstmal viele Sicherheitsluecken so schliesst (ohne zu Fragen). Ich wuerde ersteres empfehlen. Probier es einfach aus. Ganz lustig ;)
mfg questioneer
-
suntsu
- Beiträge: 2947
- Registriert: 03.05.2002 10:45:12
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: schweiz
-
Kontaktdaten:
Beste beschreibung die ich bis jetzt gefunden habe...
http://www.debianhowto.de/howtos/de/abs ... chern.html
gruss
manuel
ps. link könnte man auch ins wiki stellen.
http://www.debianhowto.de/howtos/de/abs ... chern.html
gruss
manuel
ps. link könnte man auch ins wiki stellen.