Welche Dienste sollte ich zumachen?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
Bückstück
Beiträge: 163
Registriert: 10.09.2002 20:50:56
Wohnort: Wildeshausen

Welche Dienste sollte ich zumachen?

Beitrag von Bückstück » 10.05.2004 20:52:23

Ich habe mit nmap getestet, welche Dienste laufen.

Ergebnis:
22/tcp open ssh
111/tcp open sunrpc
113/tcp open auth
631/tcp open cups
5432/tcp open postgres
Welche der Dienste muss ich zumachen? Wie kann ich testen, ob man von außen zugreifen kann?
Gruß
Bückstück
_______________________________________
Debian Etch

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 10.05.2004 21:10:38

Das hängt sehr stark davon ab was du tun möchtest. In der Regel kann man als normaler Benutzer alle Dienste bis auch CUPS dicht machen. Ausserdem kannst du den Zugriff zum Beispiel über die /etc/hosts.allow und /etc/hosts.deny regeln.

ssh - wenn Leute sich auf deinem Rechner einloggen sollen
sunrpc - wenn du bestimmte RPC Dienste wie NFS benötigst
cups - Druckerservice
postgres - wenn du eine Postgres Datenbank brauchst

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Beitrag von DynaBlaster » 10.05.2004 21:12:32

zum Testen der Funktion deiner Firewall guck mal hier nach:

http://www.lfd.niedersachsen.de/

oder:

https://grc.com/x/ne.dll?bh0bkyd2
http://www.symantec.com/securitycheck
http://www.sygatetech.com/

Die letzten 3 habe ich selbst nicht getestet, aber beim ersten wird ein portscan gegen deinen rechner gestartet und die ergebnisse angezeigt.
Ach ja, die priviligierten Ports (1-1023) zu scannen reicht normalerweise, wenn du alle ports scannen lässt, dauert das ewig - ist aber vielleicht wegen Port 5432 keien so schlechte idee.

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 10.05.2004 21:52:44

Ausser maximal SSH sollte keiner dieser Dienste von aussen sichtbar sein. SSH auch nur dann, wenn Du Dich von aussen in Deinen Rechner einloggen willst...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Bückstück
Beiträge: 163
Registriert: 10.09.2002 20:50:56
Wohnort: Wildeshausen

Beitrag von Bückstück » 11.05.2004 18:06:51

Die ssh habe ich geschlossen, da ich mich nicht auf meinen Rechner von außen einloggen will. postgres ist auch geschlossen, da ich zur Zeit mit PostgreSQL nicht arbeite.

Ab cups kann ich wohl kaum schließen. Schließlich will ich ja weiter drucken. Was muss ich tun, damit der Port 631 nicht von außen erreichbar ist? In meiner cupsd.conf ist das bereits mit folgendem Eintrag m. E. bereits auf lokale Zugriffe beschränkt:
## Restrict access to local domain
Order Deny,Allow
Deny From All
Allow From 127.0.0.1
Trotzdem sagt mir der Scan von außen, dass der Port 631 offen ist.

Außerdem frage ich mich, wie kann ich auth und sunrpc stoppen bzw. von außen unerreichbar machen?
Gruß
Bückstück
_______________________________________
Debian Etch

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 11.05.2004 18:15:40

CUPS ist zwar sichtbar, wird aber immer mit "permission denied" antworten. sunrpc kann man eigentlich nur stoppen, oder firewallen.

auth ist der identd...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Bückstück
Beiträge: 163
Registriert: 10.09.2002 20:50:56
Wohnort: Wildeshausen

Beitrag von Bückstück » 11.05.2004 20:03:35

Das mit Cups leuchtet ein. Selbstversuche hatten dies auch schon zum Ergebnis. Bedeutet dies nun, dass ich nur mit apt-get update && apt-get upgrade die Software immer aktuell halten muss, um zumindest alles Menschenmögliche gegen Angriffe getan zu haben?

Zum Thema Firewall:
Ich habe aus der letzten Ausgabe der Linux-User folgendes kleines Script abgeschrieben:

Code: Alles auswählen

#!/bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "Firewall: "
echo "Firewall started"
Reichen diese Regeln aus, um meinen Einzelplatzrechner vor Angriffen von außen zu schützen? Soweit ich dies verstanden habe, bewirkt das Script, dass alle Versuche, mit meinem Rechner eine Verbindung aufzubauen, scheitern. Bei von mir aufgebauten Verbindungen werden aber die Pakete von außen akzeptiert.

Reicht diese Firewall für einen Einzelplatzrechner aus?
Gruß
Bückstück
_______________________________________
Debian Etch

Benutzeravatar
Bückstück
Beiträge: 163
Registriert: 10.09.2002 20:50:56
Wohnort: Wildeshausen

Beitrag von Bückstück » 11.05.2004 20:38:27

Jetzt habe ich mir wohl ein Eigentor geschossen. Ein Portscan von außen über
hat ergeben, dass alle Ports stealth sind. Aber scheinbar sind die jetzt so stealth, dass mein ganzes System irgendwie Probleme hat.

1. Ich kann nicht drucken. Das muss am Port 631 liegen. Jetzt muss ich also heraus kriegen, wie ich die Regeln so ändere, dass ich Port 631 wieder frei bekomme (für Hinweise bin ich immer dankbar - verkürzt die Sache ungemein ;-) ).

2. Ich nutze KDE. Ich habe den Eindruck, dass KDE etwas mit den RPCs zu tun hat. Seit dem ich alle Ports zu habe (also auch sunrpc) kann ich nicht einmal mein Home-Verzeichnis vom Kicker aus aufrufen. Auch der Aufruf von Programmen aus den Menüs klappt nicht mehr. Also muss ich jetzt irgenwie die sunrpc (lokal) freikriegen.

Auf zum freudigen Suchen :?
Gruß
Bückstück
_______________________________________
Debian Etch

Benutzeravatar
Bückstück
Beiträge: 163
Registriert: 10.09.2002 20:50:56
Wohnort: Wildeshausen

Beitrag von Bückstück » 11.05.2004 22:21:18

Jetzt antworte ich mir ein zweites Mal :-)

Meine Probleme sind gelöst. Ich hatte vergessen, dem Loopback-Interface alles zu erlauben.

Mein Script sieht jetzt so aus:

Code: Alles auswählen

#!/bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT  # neu!
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "Firewall: "
echo "Firewall started"
Das Ganze habe ich nun als my_littlefirewall.sh unter /etc/init.d gespeichert und eine symlink von /etc/rc2.d/S12Firewall darauf gesetzt, so dass es bei jedem Neustart geladen wird.

Ich werde zwar noch ein wenig weiter forschen, ob man das Ganze noch verbessern kann (siehe LinuxUser Heft 5 aus 2002). Aber fürs Erste habe ich erst einmal einen ziemlich sicheren Rechner.

Vielen Dank für alle Antworten!
Gruß
Bückstück
_______________________________________
Debian Etch

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 12.05.2004 00:52:52

Jo, die Firewall ist ultradicht. Das ist eigentlich auch die beste Lösung. Das mit dem lo hast Du ja selbst rausgefunden.

Ich würde allerdings die Firewall etwas später starten, bei S15 z.B. da normalerweise der pppd erst bei S14 gestartet wird, und das u.U. Ärger geben kann, wenn das ppp0 Device noch nicht da sein sollte...

Ist aber eher kosmetisch...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Antworten