Welche Dienste sollte ich zumachen?

Bückstück · Beitrag von **Bückstück** » 10.05.2004 20:52:23

Ich habe mit nmap getestet, welche Dienste laufen.

Ergebnis:

22/tcp open ssh
111/tcp open sunrpc
113/tcp open auth
631/tcp open cups
5432/tcp open postgres

Welche der Dienste muss ich zumachen? Wie kann ich testen, ob man von außen zugreifen kann?

eagle · Beitrag von **eagle** » 10.05.2004 21:10:38

Das hängt sehr stark davon ab was du tun möchtest. In der Regel kann man als normaler Benutzer alle Dienste bis auch CUPS dicht machen. Ausserdem kannst du den Zugriff zum Beispiel über die /etc/hosts.allow und /etc/hosts.deny regeln.

ssh - wenn Leute sich auf deinem Rechner einloggen sollen
sunrpc - wenn du bestimmte RPC Dienste wie NFS benötigst
cups - Druckerservice
postgres - wenn du eine Postgres Datenbank brauchst

eagle

DynaBlaster · Beitrag von **DynaBlaster** » 10.05.2004 21:12:32

zum Testen der Funktion deiner Firewall guck mal hier nach:

http://www.lfd.niedersachsen.de/

oder:

https://grc.com/x/ne.dll?bh0bkyd2
http://www.symantec.com/securitycheck
http://www.sygatetech.com/

Die letzten 3 habe ich selbst nicht getestet, aber beim ersten wird ein portscan gegen deinen rechner gestartet und die ergebnisse angezeigt.
Ach ja, die priviligierten Ports (1-1023) zu scannen reicht normalerweise, wenn du alle ports scannen lässt, dauert das ewig - ist aber vielleicht wegen Port 5432 keien so schlechte idee.

pdreker · Beitrag von **pdreker** » 10.05.2004 21:52:44

Ausser maximal SSH sollte keiner dieser Dienste von aussen sichtbar sein. SSH auch nur dann, wenn Du Dich von aussen in Deinen Rechner einloggen willst...

Patrick

Bückstück · Beitrag von **Bückstück** » 11.05.2004 18:06:51

Die ssh habe ich geschlossen, da ich mich nicht auf meinen Rechner von außen einloggen will. postgres ist auch geschlossen, da ich zur Zeit mit PostgreSQL nicht arbeite.

Ab cups kann ich wohl kaum schließen. Schließlich will ich ja weiter drucken. Was muss ich tun, damit der Port 631 nicht von außen erreichbar ist? In meiner cupsd.conf ist das bereits mit folgendem Eintrag m. E. bereits auf lokale Zugriffe beschränkt:

## Restrict access to local domain
Order Deny,Allow
Deny From All
Allow From 127.0.0.1

Trotzdem sagt mir der Scan von außen, dass der Port 631 offen ist.

Außerdem frage ich mich, wie kann ich auth und sunrpc stoppen bzw. von außen unerreichbar machen?

pdreker · Beitrag von **pdreker** » 11.05.2004 18:15:40

CUPS ist zwar sichtbar, wird aber immer mit "permission denied" antworten. sunrpc kann man eigentlich nur stoppen, oder firewallen.

auth ist der identd...

Patrick

Bückstück · Beitrag von **Bückstück** » 11.05.2004 20:03:35

Das mit Cups leuchtet ein. Selbstversuche hatten dies auch schon zum Ergebnis. Bedeutet dies nun, dass ich nur mit apt-get update && apt-get upgrade die Software immer aktuell halten muss, um zumindest alles Menschenmögliche gegen Angriffe getan zu haben?

Zum Thema Firewall:
Ich habe aus der letzten Ausgabe der Linux-User folgendes kleines Script abgeschrieben:

Code: Alles auswählen

#!/bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "Firewall: "
echo "Firewall started"

Reichen diese Regeln aus, um meinen Einzelplatzrechner vor Angriffen von außen zu schützen? Soweit ich dies verstanden habe, bewirkt das Script, dass alle Versuche, mit meinem Rechner eine Verbindung aufzubauen, scheitern. Bei von mir aufgebauten Verbindungen werden aber die Pakete von außen akzeptiert.

Reicht diese Firewall für einen Einzelplatzrechner aus?

Bückstück · Beitrag von **Bückstück** » 11.05.2004 20:38:27

Jetzt habe ich mir wohl ein Eigentor geschossen. Ein Portscan von außen über

https://grc.com/x/ne.dll?bh0bkyd2

hat ergeben, dass alle Ports stealth sind. Aber scheinbar sind die jetzt so stealth, dass mein ganzes System irgendwie Probleme hat.

1. Ich kann nicht drucken. Das muss am Port 631 liegen. Jetzt muss ich also heraus kriegen, wie ich die Regeln so ändere, dass ich Port 631 wieder frei bekomme (für Hinweise bin ich immer dankbar - verkürzt die Sache ungemein

).

2. Ich nutze KDE. Ich habe den Eindruck, dass KDE etwas mit den RPCs zu tun hat. Seit dem ich alle Ports zu habe (also auch sunrpc) kann ich nicht einmal mein Home-Verzeichnis vom Kicker aus aufrufen. Auch der Aufruf von Programmen aus den Menüs klappt nicht mehr. Also muss ich jetzt irgenwie die sunrpc (lokal) freikriegen.

Auf zum freudigen Suchen

Bückstück · Beitrag von **Bückstück** » 11.05.2004 22:21:18

Jetzt antworte ich mir ein zweites Mal

Meine Probleme sind gelöst. Ich hatte vergessen, dem Loopback-Interface alles zu erlauben.

Mein Script sieht jetzt so aus:

Code: Alles auswählen

#!/bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT  # neu!
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "Firewall: "
echo "Firewall started"

Das Ganze habe ich nun als my_littlefirewall.sh unter /etc/init.d gespeichert und eine symlink von /etc/rc2.d/S12Firewall darauf gesetzt, so dass es bei jedem Neustart geladen wird.

Ich werde zwar noch ein wenig weiter forschen, ob man das Ganze noch verbessern kann (siehe LinuxUser Heft 5 aus 2002). Aber fürs Erste habe ich erst einmal einen ziemlich sicheren Rechner.

Vielen Dank für alle Antworten!

pdreker · Beitrag von **pdreker** » 12.05.2004 00:52:52

Jo, die Firewall ist ultradicht. Das ist eigentlich auch die beste Lösung. Das mit dem lo hast Du ja selbst rausgefunden.

Ich würde allerdings die Firewall etwas später starten, bei S15 z.B. da normalerweise der pppd erst bei S14 gestartet wird, und das u.U. Ärger geben kann, wenn das ppp0 Device noch nicht da sein sollte...

Ist aber eher kosmetisch...

Patrick