Ports schließen

[Gast]

Hallo,

Code: Alles auswählen

nmap -sS -sU localhost

liefert folgende offene Ports.

21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
53/udp open domain
80/tcp open http
110/tcp open pop-3
113/tcp open auth
143/tcp open imap2
515/tcp open printer
921/udp open unknown
953/tcp open rndc
10000/tcp open snet-sensor-mgmt
32770/udp open sometimes-rpc4
32771/udp open sometimes-rpc6

Die ganzen fettgedruckten brauche ich dort gar nicht oder ?
Jetzt ist mein Problem, wie schließe ich diese Ports. Z.B. der printer 515, hab scho in der identd.conf nachgesehen, nur da sind die ja gar ned drinn. Ein Printer Dienst ist z.B. auch nicht gestartet.
Für was braucht man den Domain Dienst, reicht da nicht httpd ?

Könnt ihr mir bitte helfen.

Danke

Andreas

[syscologne]

Kleine Schnell-, Dreckig- und Kurzeinführung:
-bevor Du lostippst, lies erst bis zum Ende-
____________________________________________________

mach doch einfachmal ein

Code: Alles auswählen

netstat -plt

und schau Dir das ganze an, da steht auch ob user von außen drankommen (am * vor dem Port)
ganz rechts steht der Name des Servers, der da läuft.
Meist kannst Du die mit

Code: Alles auswählen

servername stop

abschalten.

Der Printerserver ist bei Dir installiert, versuche mal im dselect das Paket lpr oder lpd zu finden und deinstaliere es. Falls Du es nicht direkt installieren willst, schau weiter unten.

Es kommt drauf an, ob Du mit dieser Maschine einen Liveserver betreiben willst oder dieser hinter einer Firewall zuhause steht.

Grundsätzlich: (für Server)
Alles was Du nicht kennst oder nicht brauchst, erst einmal abschalten oder besser: deinstallieren.

Zum Abschalten (und damit es nicht direkt beim Start geladen wird):

tippe folgende Befehle, jeweils mit Enter bestätigt

Code: Alles auswählen

update-rc.d -f ppp remove
update-rc.d -f nfs-common remove
update-rc.d -f lpd remove
update-rc.d -f pcmcia remove
update-rc.d -f portmap remove

Kommt halt darauf an, was Du abschalten willst.

um den Inetd aufzuräumen, mache dies:

Code: Alles auswählen

update-inetd --remove discard
update-inetd --remove daytime
update-inetd --remove telnet
update-inetd --remove time
update-inetd --remove finger
update-inetd --remove talk
update-inetd --remove ntalk
/etc/init.d/inetd reload

danach mal neustarten.

Die beiden untersten fettgedruckten auf Deiner Liste sind portmapper, die brauchst Du wahrscheinlich wirklich nicht.

53/tcp open domain
53/udp open domain

wird ein DNS-Server (named) sein, wahrscheinlich Bind, wenn Du nicht weißt, woher das kommt.
Versuche mal ein

Code: Alles auswählen

named stop

um den zu stoppen.
Den brauchst Du normalerweise erst mal nicht, nur für Spezialfälle und dann solltest Du den sorgsam einrichten, (anfällig für Cracks / Hacker), am besten auch nicht Bind sondern djbdns.
Der hat nichts mit Deinem Httpd (meist Apache) zu tun.
Der named - Server (DNS-Server) übersetzt domainnamen in ip-Adressen, ähnlich wie ein Telefonbuch Namen in Telefonnummern.

Was für ein Server ist das, den Du da einrichtest? Dann könnte man noch ein paar mehr spezifische Tipps geben.

Gruß,

LMH

[Gast]

Hi,
danke dir für deine Hilfe.
Also auf dem Server läuft die aktuelle Debian 3.0r1. Es läuft Apache, Nameserver "bind9", webmin, confixx, php, mysql, ssh, perl.

Nameserver brauch ich wegen den Subdomains, da ich bei providerdomain die Domains bestelle.
Werde mich mal über "djbdns" informieren, aber momentan ist es glaub ich noch zu früh, muss mich noch näher mit der Materie befassen. Mein bisheriger Nameserver funktioniert aber schon. Kann man den "djbdns" auch per Confixx verwalten lassen ?

Es ist ein "Livesystem" wie du sagst, also steht im Rechenzentrum, nicht Zuhause.
Eine Firewall per iptables kommt noch drauf. Außerdem wird Proftp durch eine SCP Software oder sftp ersetzt - bin mir noch nicht sicher welche.

Netstat zeigte folgendes

Code: Alles auswählen

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:pop3                  *:*                     LISTEN      26264/xinetd
tcp        0      0 *:www                   *:*                     LISTEN      434/apache
tcp        0      0 *:10000                 *:*                     LISTEN      12443/perl
tcp        0      0 *:auth                  *:*                     LISTEN      26264/xinetd
tcp        0      0 *:ftp                   *:*                     LISTEN      26264/xinetd
tcp        0      0 p111111.purese:domain *:*                     LISTEN      21795/named
tcp        0      0 localhost:domain        *:*                     LISTEN      21795/named
tcp        0      0 *:ssh                   *:*                     LISTEN      20981/sshd
tcp        0      0 *:smtp                  *:*                     LISTEN      31976/master
tcp        0      0 localhost:953           *:*                     LISTEN      4684/lwresd
tcp        0      0 *:imap2                 *:*                     LISTEN      19590/couriertcpd
tcp        0      0 ip6-localhost:953       *:*                     LISTEN      4684/lwresd

Du hattest recht lpr war noch drauf, hat scho mal probiert lpd zu deinstallieren, aber das war nicht drauf, von lpr hab ich bisher no ned gehört.


Viele Grüße

Andreas

[syscologne]

Mit confixx kenne ich mich leider nicht aus.

Hast Du die Maschine auf Debian umgestellt? (Ich dachte 1&1 macht nur SuSE)

Wofür brauchst Du einen DNS-Server, um subdomains einzurichten, die Du bei providerdomain.de registrierst?

Fax mal 1&1 die Bitte, Deinen Traffic bei ... zu begrenzen!

Gruß,

LMH

[Gast]

Hallo,

Mit confixx kenne ich mich leider nicht aus.

Ist ja egal, wenn du Tipps hast, die Confixx nicht betreffen

Hast Du die Maschine auf Debian umgestellt? (Ich dachte 1&1 macht nur SuSE)

Ja, habe Suse gelöscht und Debian installiert

Wofür brauchst Du einen DNS-Server, um subdomains einzurichten, die Du bei providerdomain.de registrierst?

Genau

Fax mal 1&1 die Bitte, Deinen Traffic bei ... zu begrenzen!

hab ich schon


Ciao

Andreas

[Gast]

Hallo,

herrschaft, scho wieder was vergessen zu posten

Mein größtes Problem mit den Ports ist herauzufinden, wie ich diese deaktiviere.
Außerdem liefert nmap und nstat verschiedene Ergebnisse.

nstat liefert z.B. nix über Port 921 und ich hab keinen Plan wie ich den abschalten kann.
Ich höre immer nur von inetd, nur da steht ja so gut wie nix drinn.


bye

Andreas

[floschi]

Ich höre immer nur von inetd, nur da steht ja so gut wie nix drinn.

Was steht denn drin?

Für gewöhnlich wird von dort nur noch der FTP-Server bedient, sofern du die obigen Kommandos (woher kommen die mir eigentlich so bekannt vor?) ausgeführt hast. Eine Zeile die mit ftp beginnt...

Wenn du den inetd abschalten willst, dann mach /etc/init.d/inetd stop

[Gast]

Hi olfi,

Wenn du den inetd abschalten willst, dann mach /etc/init.d/inetd stop

geht ja ned, das teil braucht man ja.

Das steht in der Datei, wenn ich ftp per ssh mache, brauch ich dann den ftp port, oder wird das anders gemanged ?

Code: Alles auswählen

# Standard Services
ftp stream tcp nowat root /usr/sbin/tcpd

# mail
pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.qpopper -f /etc/gpopper.conf

#info
ident stream tcp wait identd /usr/sbin/identd identd

Ciao

Andreas

[floschi]

Hm, also den ident könntest du zumindest auskommentieren... oder eben update-inetd --remove identd

Wie ftp über ssh? Meinst du WinSCP oder eben SCP unter Linux? Dazu brauchste keinen FTP-Server...


Grüßle

Olfi

[Gast]

Hi olfi,

Wie ftp über ssh? Meinst du WinSCP oder eben SCP unter Linux? Dazu brauchste keinen FTP-Server...

genau, ich meine scp unter linux, also quasi ftp über ssh port und somit verschlüsselte übetragung. dann fällt ftp port weg, juhu


Viele Grüße

Andreas

[Gast]

Hallo,

passt nicht ganz zum Thema, aber - ich habe jetzt neben "proftpd" auch noch "ftp" mit apt-get deinstalliert. Außerdem

Code: Alles auswählen

update-inetd --remove identd 

ausgeführt, und den Dienst somit entfernt.

Jetzt hab ich wieder richtig schön Arbeitsspeicher frei, wie gibts das ? War meistens gut voll bis auf 10-20 MB. Jetzt hab ich gute 110 MB mehr frei.


Ciao

Andreas

[floschi]

Jetzt hab ich wieder richtig schön Arbeitsspeicher frei, wie gibts das ? War meistens gut voll bis auf 10-20 MB. Jetzt hab ich gute 110 MB mehr frei.

Das darf aber nicht mit den von dir geschilderten Maßnahmen zusammenhängen, identd und ftpd über inetd haben bestimmt keine 80 MB RAM belegt...


Grüßle

Olfi

[Gast]

Hallo Olfi,

hat sich heute Vormittag wieder rausgestellt, das es nur ein Zufall war.
Würde mich echt interessieren, wieso der Speicher mal voll über stunden ist, dan wieder viel frei.

Was da so viel braucht.


Andreas

[Bert]

Wir reden hier von Linux, nicht von Windows....! Wieso sollte der Speicher auch nicht frei sein? Linux reserviert (soviel ich davon verstehe) dynamisch Platz für Filecache. Wenn also eine Anwendung (Apache ist ein guter Kandidat) Dateien geöffnet hatte, dann bleiben im Hauptspeicher gechached. Warum auch nich. Erst wenn eine andere Anwendung den Speicher brauch, wird da was bereinigt. Habe nie verstanden, warum Windows da so komische Timeouts hat... wenn der Speicher doch da ist...

[Gast]

Hi Bert,

ist mir schon klar das ich es mit Linux zu tun habe. Gerade deswegen ! geh ich davon aus, dass Linux Arbeitsspeicher freigibt, wenn es den nicht mehr braucht. Ein gutes Betriebssystem sollte das meiner Meinung nach machen.

Ich möchte halt vermeiden, das der Speicher immer schön voll ist, eine Anwendung dann mal mehr braucht, aber kein freier Speicher mehr da ist und es voll zu swappen beginnt.

Außerdem hab ich schon einige Posting gelesen, die es als ungewöhnlich bezeichneten wenn der RAM voll ist.


Viele Grüße

Andreas

[floschi]

Öhm, nur um hier kein Missverständnisse aufkommen zu lassen:

Windows ist nicht deshalb ein gutes Betriebssystem, weil es seiner Meinung nach nicht mehr benötigten Speicher einfach freigibt... und Linux ist kein schlechtes, weil es momentan nicht genutzten Speicher als cache nutzt

Letzteres ist um einiges sinnvoller, solange es den gecacheden Speicher im Falle des Bedarfs gleich frei gibt... und das tut es! Wenn ein Linux freien Speicher hat, dann läuft da was falsch oder es ist gerade erst neu gebootet worden...


Grüßle

Olfi

PS: Ich glaube nicht, dass Bert dich mit dem dem Windowsvergleich persönlich angehen wollte

[suntsu]

So ich hätte da auch noch eine Frage. Muss smtp offen sein? oder kann ich den abschalten? Ich beitreibe keinen eigenen Mailserver.

nmap localhost

• Starting nmap V. 3.00 ( http://www.insecure.org/nmap/ )
  Interesting ports on localhost (127.0.0.1):
  (The 1599 ports scanned but not shown below are in state: closed)
  Port State Service
  22/tcp open ssh
  25/tcp open smtp

Um das Programm zu finden welches einen Port belegt, einfach mal

Code: Alles auswählen

fuser -uv 111/tcp

eingeben(mit angepasstem Port).

[Bert]

Nö, ich wollte niemanden mit einem Windowsvergleich beleidigen . Hatte mich vor einiger Zeit halt mal Beruflich etwas damit beschäftigen müßen (bei Windows, und dann aus Interesse mal gelesen, wie das bei Linux passiert).

@suntsu: Ein Scan auf localhost sagt nicht alszuviel. Interessanter ist doch, was auf den externen Interfaces läuft/lauscht. Bei mir hängt Postfix am localhost um meine Mail zu versenden, aber von außen ist der Port dicht. Wenn Du aber keinen Mailserver (local) verwendest, um Deine Mails zu versenden, dann kannst Du den problemlos abschalten (oder das entsprechende Package entfernen)

[suntsu]

doh...

Wie guck ich dann was von aussen erreichbar ist?

[Bert]

von außen scannen. Hab damals Patrick gefragt... Aber es gab doch auch hier im Forum mal ein paar Links zu Webseiten, die einen dann scannen. Wenn Du mir Deine IP gibst, kann ich Dich heut Abend ja mal untersuchen..

[suntsu]

k,

aber das heisst ja das ich mich mit einem zweiten Rechner selber scannen kann

Code: Alles auswählen

nmap ip

sollte funktionieren, oder?[/code]

[Gast]

Hi suntsu,

sehr gut zum Scannen offener Ports ist SuperScan geeignet.
Kuckst du hier: http://www.webattack.com/get/superscan.shtml

@Berti,
hab ich dir eh ned übel genommen, meine antwort war etwas forsch geb ich zu.


Viele Grüße

Andreas

[arteist]

sehr gut zum Scannen offener Ports ist SuperScan geeignet.
Kuckst du hier: http://www.webattack.com/get/superscan.shtml

Aber wenn jetzt auf dem Zweitrechner keine Redmondsche Spyware läuft?

Ich lass mich immer gerade von meinem Server im gleichen Netz scannen -> Ich gehe per SSH drauf und dann nmap <ip>!

Lokal kann ich mich garnicht gescheit scannen, da ich sowieso alles vom localhost-interface ohne wenn und aber durchlasse...

[Fussl]

Hallo Leute,

hab die postings hier verfolgt und auch einiges für mich umsetzen können.
Mein Rechner steht hinter einem Hardwarerouter und stelle eigentlich nur
Port 80 (http) und 22(ssh) zur Verfügung.
Da ich aber diesen Rechner auch als Workstation benutze, sprich X laufen habe
ist noch ein Port.
nmap von aussen liefert:

22/tcp open ssh
80/tcp open http
6000/tcp open X11

Kann man diesen Port nach außen schließen ?

gruß
Fussl