hi wie kann ich all diese für mich unnötigen offenen ports schließen, sowie pings + porscans blockieren ?
ich habe kernel 2.4.2 und suse 7.0, gehe mit rp-pppoe ins netz, pppd-2.4.0-pppeo.
das harden_suse script hatte ich vor der neuinstallation schonmal laufen lassen, danach konnten sich user nicht mehr einloggen.
suse abdichten
-
thadeus
Re: suse abdichten
tach, um die ports von z.b. apache zu schließen musst du sie einfach in /etc/rc.config auf "no" stetzen...
bye deus
bye deus
-
Leander Hanwald
Re: suse abdichten
Wenn du alles auf NO stellst sind aber nicht die Ports zu sondern die Demonen gestopt, damit fehlen dann dinge wie eine Hilfe (Apache), teilweise das Mailen (Sendmail, z.B. nutzen ihn die meisten Bug Report Systeme) und anderes.
Bessere ist du schaust dir den Workshop von HJB an den es bei Pro-Linux gibt.
http://www.pl-berichte.de/t_netzwerk/fi ... enbau.html. Das ist aber Handarbeit. Am bestens einfach Ignorieren. Wie warscheinlichkeit das jemand in dein Desktop System eindringt ist fast 0. Du solltest nur keine Bind laufen haben und wenn du Apache laufen hast dort die Aktuellste Version benutzen. Ansonsten brauchst du dir eigentlich keine Sorgen machen. Solange alles relativ aktuell ist wirst du keine Probleme bekommen.
Bessere ist du schaust dir den Workshop von HJB an den es bei Pro-Linux gibt.
http://www.pl-berichte.de/t_netzwerk/fi ... enbau.html. Das ist aber Handarbeit. Am bestens einfach Ignorieren. Wie warscheinlichkeit das jemand in dein Desktop System eindringt ist fast 0. Du solltest nur keine Bind laufen haben und wenn du Apache laufen hast dort die Aktuellste Version benutzen. Ansonsten brauchst du dir eigentlich keine Sorgen machen. Solange alles relativ aktuell ist wirst du keine Probleme bekommen.
-
marcdevil
Re: suse abdichten
bash-2.04# nmap xyz.xyz.xyz.xyz (meine mir vom ISP zugewiesene temporäre IP)
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on some.ugly.dns (xyz.xyz.xyz.xyz):
(The 1515 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
110/tcp open pop-3
515/tcp open printer
1030/tcp open iad1
1031/tcp open iad2
1032/tcp open iad3
6000/tcp open X11
8080/tcp open http-proxy
Nmap run completed -- 1 IP address (1 host up) scanned in 16 seconds
bash-2.04#
den workshop hatte ich mal überflogen, aber naja, das ist mir zu viel zu lesen für die paar ports.sind die, die offen sind ein sicherheitsrisiko? wozu ist ssh (shell) port offen und diese iadX ports ?
bis auf netscape navigator und messanger sollen höchstens noch knapster&co zum inet verbindung aufbauen/ports benutzen !
einen printer habe ich garnicht, also muss der auch nicht offen sein !
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on some.ugly.dns (xyz.xyz.xyz.xyz):
(The 1515 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
110/tcp open pop-3
515/tcp open printer
1030/tcp open iad1
1031/tcp open iad2
1032/tcp open iad3
6000/tcp open X11
8080/tcp open http-proxy
Nmap run completed -- 1 IP address (1 host up) scanned in 16 seconds
bash-2.04#
den workshop hatte ich mal überflogen, aber naja, das ist mir zu viel zu lesen für die paar ports.sind die, die offen sind ein sicherheitsrisiko? wozu ist ssh (shell) port offen und diese iadX ports ?
bis auf netscape navigator und messanger sollen höchstens noch knapster&co zum inet verbindung aufbauen/ports benutzen !
einen printer habe ich garnicht, also muss der auch nicht offen sein !
-
Thomas Mitzkat
Re: suse abdichten
Hi,
von unnötig offenen Ports kann kaum die Rede sein! Du solltest Dir mal /etc/services anschauen, um zu sehen welche Programme welche Ports benötigen, um zu funktionieren. Im Übrigen hast Du nur eine TCP-Scan gemacht, die Programme kommunizieren aber auch noch über UDP. ssh zum Beispiel, ist hier der Daemon, der an diesem Port lauscht, ob sich jemand einloggen will. Der Scan zeigt auch nur auf, welche Programme "im Moment" "aktiv" in den Porst lauschen" und nicht welche Programme über welche Ports rausmüssen und welche Programme temporär bestimmte Ports in Beschlag nehmen wie ICQ- oder Napster-Programme. Die Frage die sich nun ergibt ist, ob es nicht Sinn macht, sich doch mal mit dem Workshop zu beschäftigen, denn einfach dicht machen wird unter Umständen zu unverhergesehenen Ergebnissen führen, bei dem minimalen Sicherheitsaspekt, der damit einhergeht. Ich kann mir kaum vorstellen, dass Du so wichtige Daten hast, dass es sich lohnt Deine Kiste aufzubrechen.
von unnötig offenen Ports kann kaum die Rede sein! Du solltest Dir mal /etc/services anschauen, um zu sehen welche Programme welche Ports benötigen, um zu funktionieren. Im Übrigen hast Du nur eine TCP-Scan gemacht, die Programme kommunizieren aber auch noch über UDP. ssh zum Beispiel, ist hier der Daemon, der an diesem Port lauscht, ob sich jemand einloggen will. Der Scan zeigt auch nur auf, welche Programme "im Moment" "aktiv" in den Porst lauschen" und nicht welche Programme über welche Ports rausmüssen und welche Programme temporär bestimmte Ports in Beschlag nehmen wie ICQ- oder Napster-Programme. Die Frage die sich nun ergibt ist, ob es nicht Sinn macht, sich doch mal mit dem Workshop zu beschäftigen, denn einfach dicht machen wird unter Umständen zu unverhergesehenen Ergebnissen führen, bei dem minimalen Sicherheitsaspekt, der damit einhergeht. Ich kann mir kaum vorstellen, dass Du so wichtige Daten hast, dass es sich lohnt Deine Kiste aufzubrechen.