Firewall - Teil 4
6.2 Ports
Auf einem Linuxsysytem werden die meisten Netzwerkdienste über den Internetdaemon inetd gestartet. Ein Daemon ist ein Hintergrundprozeß, der erst aktiv wird, wenn er durch ein Kommando aufgerufen wird.
Wird z.B. versucht, den Computer per Telnet zu erreichen, wird der inetd aktiv. Er bemerkt den Versuch, eine Verbindung auf Port 23 (Telnet) aufzubauen. Nun prüft der inetd die Datei /etc/services und findet unter Port 23 den Dienst Telnet. In seiner Konfigurationsdatei /etc/inetd.conf ist vermerkt, welches Programm für Telnetverbindungen zu starten ist. Schließlich wird das passende Programm aufgerufen.
Es sollten deshalb alle Dienste, die nicht benötigt werden, deaktiviert werden. In den meisten Linux-Ditributionen sind zahlreiche dieser Ports aktiviert, obwohl die Dienste nicht benötigt werden. Das Deaktivieren der Dienste geschieht durch einfaches Auskommentieren der Einträge in der Konfigurationsdatei des inetd-Daemons /etc/inetd.conf. Die Datei /etc/services kann, muß aber nicht editiert werden, da es reicht, wenn einem Dienst kein Programm zugeordnet ist.2
Ein Auszug der Datei /etc/services:
daytime 13/tcp daytime 13/udp netstat 15/tcp qotd 17/tcp quote ftp-data 20/tcp ftp 21/tcp fsp 21/udp fspd ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp # SSH Remote Login Protocol telnet 23/tcp domain 53/tcp nameserver # name-domain server domain 53/udp nameserver tftp 69/udp gopher 70/tcp # Internet Gopher gopher 70/udp # finger 79/tcp www 80/tcp http # WorldWideWeb HTTP www 80/udp # HyperText Transfer Protocol # pop-2 109/tcp postoffice # POP version 2 # pop-2 109/udp # pop-3 110/tcp # POP version 3 # pop-3 110/udp imap2 143/tcp imap # Interim Mail Access Proto v2 imap2 143/udp imap https 443/tcp https 443/udp
Auszug aus der Konfigurationsdatei /etc/inetd.conf:
# inetd.conf This file describes the services that will be available # through the INETD TCP/IP super server. To re-configure # the running INETD process, edit this file, then send the # INETD process a SIGHUP signal. # # Version: @(#)/etc/inetd.conf 3.10 05/27/93 # # Authors: Original taken from BSD UNIX 4.3/TAHOE. # Fred N. van Kempen,<waltje@uwalt.nl.mugnet.org> # To re-read this file after changes, just do a 'killall -HUP inetd' # # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> # #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a # telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd shell stream tcp nowait root /usr/sbin/tcpd in.rshd login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd #ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l # auth stream tcp wait root /usr/sbin/in.identd in.identd -e -o #bootps dgram udp wait root /usr/sbin/tcpd bootpd # Finger, systat and netstat give out userinformation which may be # valuable to potential "system crackers." Many sites choose to disable # some or all of these services to improve security. # #finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd #cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx #netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet # # End of inetd.conf
