За последние 60 дней ни разу не выходила
Сайт листа:
http://www.linuxrsp.ru
Открыт:
25-07-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.discuss-list@subscribe.ru
Адрес
модератора: comp.soft.linux.discuss-owner@subscribe.ru
Здравствуйте.
Дистрибутив Slackware 9.0 ядро 2.4.20
Я проверил сканером портов свой узел.
Оказалось, что открыты несколько портов, например ftp.
В конфиге inetd я закомментировал все строки.
Каким образом могли остаться открытые порты и как их закрыть?
Если все порты закрыть, то зачем применять firewall ?
IMHO, еще firewall нужен для того, чтобы dropать пакеты. Иначе,
компьютер в ответ на отключенный сервис (обращение к порту, за который
ничего не отвечает) будет посылать icmp-ответ. Таким образом, можно
сформировать на машину такой поток пакетов, на который она замучается
отвечать и т.п. DROPанье же просто игнорирует пришедшие пакеты,
оставляет без ответа. Кстати, по-моему, по rejectам (по их
сигнатурам) производится анализ систем всякими сканерами.
Я могу быть не прав. С удовольствием учту поправки.
C уважением, Kolotov Alexandr aka mr. Эбола
отвечать: akmypo***@m*****.ru
ICQ: 100349254
| Registered Linux user # 236664 |
-*Название листа "Linux: разрешение вопросов, перспективы и общение"; Участников: 992
Написать в лист: comp.soft.linux.discuss-list@subscribe.ru
Архив Листа - http://subscribe.ru/archive/comp.soft.linux.discuss Поиск: http://www.google.com
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 4001; Возраст листа: 203
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/79260
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
Hello d2r,
Friday, February 13, 2004, 9:36:36 AM, you wrote:
А нельзя просто в /etc/services закоментировать все и оставить только
нужное (порты).
Правильность метода не гарантирую, просто когда-то ставил
firebird(interbase да и другие сервера) там четко написано
что надо проверить этот файл на предмет комментариев на нужных
портах. И как следствие если закоментировать в нем 21/tcp и
21/udp, то при запуске ftp выругается и не запустится, т.е.
если ругань программ при запуске не напрягает - можно попробовать так.
Kos wrote:
Боюсь что /etc/services это просто справочник :)
Отсутствие записи в нем не гарантирует того,
любая реализация к примеру ftpd откажется работать.
Посему лучше принимать комплексные меры:
- пользовать firewall
- слушать только на нужных интерфейсах
- принимать только нужные адреса
- патчить дыры
.
.
.
-*Название листа "Linux: разрешение вопросов, перспективы и общение"; Участников: 993
Написать в лист: comp.soft.linux.discuss-list@subscribe.ru
Архив Листа - http://subscribe.ru/archive/comp.soft.linux.discuss Поиск: http://www.google.com
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 4101; Возраст листа: 207
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/82447
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
Hello Kos,
Tuesday, February 17, 2004, 8:59:35 AM, you wrote:
Это примерное то же самое, что закрыть глаза и думать что тебя никто
не видит ;)
Hello Sergey!
Thursday, February 12, 2004, 8:59:46 PM, Ваше письмо:
Sergey> Здравствуйте.
Sergey> Дистрибутив Slackware 9.0 ядро 2.4.20
Sergey> Я проверил сканером портов свой узел.
Sergey> Оказалось, что открыты несколько портов, например ftp.
Sergey> В конфиге inetd я закомментировал все строки.
Sergey> Каким образом могли остаться открытые порты и как их закрыть?
Sergey> Если все порты закрыть, то зачем применять firewall ?
а если выключить компутер, то вообще не надо ни порты закрывать, ни
firewall ставить. :)
firewall блокирует открытые порты от несанкционированного доступа -
скажем так,
а закрываются порты не коментариями в inetd а отключением конкретной
службы, в данном случае ftp, как только напишешь например:
/etc/init.d/ftpd stop то на удивление 20 и 21 порты закроются.
Sergey Petrelevich wrote:
Попробуй запустить netstat -a -n | grep ^tcp
те, кто LISTEN - те открыты, те кто ESTABLISHED,
тех уже пользуют и т.д....
Скорее всего у тебя ftp работает не через inetd,
а запущен самостоятельно, отдельным демоном.
Например, чтобы запретить пингование своего хоста :)
Вообще лучше закрыть firewall все, а потом открыть
то, что нужно.
-*Название листа "Linux: разрешение вопросов, перспективы и общение"; Участников: 992
Написать в лист: comp.soft.linux.discuss-list@subscribe.ru
Архив Листа - http://subscribe.ru/archive/comp.soft.linux.discuss Поиск: http://www.google.com
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 4012; Возраст листа: 203
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/79348
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
Доброе время суток!
В письме "Безопасность. Как перекрыть порты?" от 12 Февраля 2004 в 20:59
Sergey Petrelevich написал:
Думаю, что если вы не используете inetd, то лучше этот демон, как и
остальные, просто убрать из запуска (обычно это симлинк в /etc/rcX.d, где
X - уровень запуска, 2,3 или 5)
Открытые порты закрываются отстановкой демонов, настройкой конфигов (как
например в XFree86, а потом можно еще все что не удалось закрыть закрыть
firewall'ом :-)
Во-первых, правильно настроенный firewall контролирует весь траффик:
входящий, исходящий и проходящий. Потом у iptables кажется есть такая
функция, как SocketFiltering - фильтрация сокетов, т.е. ограничение
локальных подключений к сокетам. Хотя сам я этим не пользовался, поэтому
может чего и путаю ;)
Еще можно icmp-пакеты фильтровать :)
А правильно настроенный firewall поможет вам узнать что вас сканят и т.п.
Хотя, для этого лучше использовать что-нибудь специализированное, например
PortSentry.
P.S. Если вы в Инет ходите, желательно бы ядро обновить хотя бы до 2.4.23
;) До 2.4.23 какие-то дыры не хорошие были
--
With best wishes,
Mike Zelenkin mailto:mzelenkin(at)arzamas.nnov.ru
-*Название листа "Linux: разрешение вопросов, перспективы и общение"; Участников: 989
Написать в лист: comp.soft.linux.discuss-list@subscribe.ru
Архив Листа - http://subscribe.ru/archive/comp.soft.linux.discuss Поиск: http://www.google.com
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 4043; Возраст листа: 204
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/79990
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
В сообщении от 14 Февраль 2004 12:10 Mike Zelenkin написал(a):
Вообще, если мне память не изменяет, то они как раз давали возможность
пользователю ЛОКАЛЬНО получить доступ к системе. Так что, если я не
путаю:), то применительно к инету это значения не имеет.
В сообщении от 15 Февраль 2004 01:03 iam написал(a):
Бузу написал, сорри, исправляюсь - я имел в виду, что эти дыры позволяют
локальному пользователю получить привелегии root-пользователя.
Доброе время суток!
В сообщении "Re: Безопасность. Как перекрыть порты?" от 15 Февраля 2004
21:37 iam написал:
Прямого нет, а если сервис взломают, то да. Кажется косвенно от нескольких
этих дыр в свое время сервера Debian пострадали ;) Хотя я уже не помню
всех подробростей :-)
--
With best wishes,
Mike Zelenkin mailto:mzelenk***@a*****.ru
Linux registered user #316521
-*Название листа "Linux: разрешение вопросов, перспективы и общение"; Участников: 1000
Написать в лист: comp.soft.linux.discuss-list@subscribe.ru
Архив Листа - http://subscribe.ru/archive/comp.soft.linux.discuss Поиск: http://www.google.com
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 4139; Возраст листа: 208
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/83557
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
Sergey Petrelevich пишет:
Проверьте наличие запущенного ftp-сервера как демона. В таком случае,
суперсервер inetd не используется и все запросы на ftp подключение
обрабатываются исключительно самим сервером.
Firewall, на мой взгляд, нужен затем, чтобы не совсем закрыть требуемые
порты и службы, а ограничить их доступ. Например, тот же ftp-сервер,
если нужно разрешить его работу только для определенных адресов/имен.
-*Название листа "Linux: разрешение вопросов, перспективы и общение"; Участников: 992
Написать в лист: comp.soft.linux.discuss-list@subscribe.ru
Архив Листа - http://subscribe.ru/archive/comp.soft.linux.discuss Поиск: http://www.google.com
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 3990; Возраст листа: 203
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/79062
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru