- This topic has 12 hozzászólás, 6 résztvevő, and was last updated 19 years, 10 months telt el by
.
-
Bejegyzés
-
szabilinux, iptables.
érdekes lenne megnézni történik-e valami ezeken a portokon (tcpdump) bár utána kéne nézni az rpc hol kommunikál és miért.
„megreformáltam” a futási szintet /etc/rc2.d
a következõ linkek lettek eddig eltávolítva:s20exim
s20ssh
s21nfs-common
s20inetd
s18portmapnmap jelenleg így néz ki:
111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
930/tcp open unknowna 111/tcp portot portmap használja ami jelenleg azért fut mert rcS.d ben is indul (de már nem sokáig 😛 😀 )
a 930/tcp-re viszont nem tudtam rájönni hogy mitõl van nyitva (valószínüleg attól amitõl tegnap még 619/tcp volt)
portmap-ot nyugodt szívvel távolítsam el rcS.d -bõl is? (szerintem nekem nincs rá szükségem)
valamint az utsó open port még rejtély (remélem az sem sokáig)
ezek után tcpdump:
juuzer:~# tcpdump -vv
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
06:33:48.900026 arp who-has catv-5063d10a.catv.broadband.hu tell catv-5063d1fe.catv.broadband.hu
06:33:48.910087 IP (tos 0x0, ttl 64, id 50096, offset 0, flags [DF], length: 71) catv-5063d0a1.catv.broadband.hu.32768 > hu-bud-dns02.chello.hu.domain: [bad udp cksum 3f74!] 56337+ PTR? 10.209.99.80.in-addr.arpa. (43)
06:33:48.927799 IP (tos 0x0, ttl 250, id 61357, offset 0, flags [DF], length: 116) hu-bud-dns02.chello.hu.domain > catv-5063d0a1.catv.broadband.hu.32768: 56337 q: PTR? 10.209.99.80.in-addr.arpa. 1/0/0 10.209.99.80.in-addr.arpa. (88)
06:33:48.927950 IP (tos 0x0, ttl 64, id 50114, offset 0, flags [DF], length: 72) catv-5063d0a1.catv.broadband.hu.32768 > hu-bud-dns02.chello.hu.domain: [bad udp cksum 9dd6!] 56338+ PTR? 254.209.99.80.in-addr.arpa. (44)
…
193 packets captured
193 packets received by filter
0 packets dropped by kerneltcpdump-nál ….bad udp cksum…. ez valami hibára utal?
Na a Debian desktop kialakítása címû szerzemény megoldotta gondjaimat, köszönet érte a szerzõknek :bigups:
…ezért távolítsuk el (‘dpkg –purge csomag’) a következõ csomagokat: ‘ftp’ (felesleges, van biztonságosabb), ‘lpr’ (nyomtató, nyitva hagy portot; a ‘/var/spool/lpd’ eltávolítását engedélyezd), ‘nfs-common’ (network file system, desktopra felesleges), ‘pidentd’ (felesleges, nem biztonságos), ‘portmap’ (nem biztonságos, desktopra felesleges), ‘ssh’ (nem árt, de ha nem használjuk, akkor nem kell), ‘telnet’ (nem biztonságos + ssh jobb)…
nemcsak debian-t használóknak lehet hasznos olvasmány, hanem mindenkinek aki nem tartja magát Linux gurunak…
még két kérdésem lenne:
1.-tcpdump-nál ….bad udp cksum…. ez valami hibára utal?
2.ha nincs open portom, és nem használok tûzfalat, mennyivel nagyobb az esélye(mennivel könnyeb) egy támadás a gépem ellen?Na asszem sikerült kilõnöm minden felesleges dolgot ami portokat nyitogat, le is teszteltem a gépemet a neten fellelhetõ különbözõ teszoldalakkal/programokkal, (közben ment chat, böngészõ, levelezõ, stb…) igaz tûzfalam nincs, még csak iptables szabályok sincsenek felállítva(legalábbis én eddig nem foglalkoztam vele, ha alapból van ilyen rendszerben akkor az megy/vagy lehet hogy az sem) a legdurvább amit találtak :
böngészõben sütik engedélyezve vannak(gondolom azért ennek lehetnek hátulütõi)
valamint egy-két zárt port (ami gondolom ha tûzfal mögé van rejtve akkor sem jelent gondot annak aki ért hozzá hogyan jusson be)ezt tudom ajánlani mindenkinek, lehet tesztelgetni:
http://www.pcflank.com/
http://www.pcflank.com/about.htm:ph34r: B) :bomb: :onfire:
… ha nincs open portom, és nem használok tûzfalat, mennyivel nagyobb az esélye(mennivel könnyeb) egy támadás a gépem ellen?
[align=right][snapback]142535[/snapback][/align]Azért gondolom a 80 nyitva van, ha netezel 😀 , és ott is sok csúnyaságot lehet ám mûvelni (valahol olvastam, hogy kb. a támadások 80%-a ott megy :unsure: ).
Pl.
http://www.cgisecurity.com/papers/fingerprinting-2.html
http://www.finjan.com/SecurityLab/Knowledg…erabilities.asp2.ha nincs open portom, és nem használok tûzfalat, mennyivel nagyobb az esélye(mennivel könnyeb) egy támadás a gépem ellen?
[align=right][snapback]142535[/snapback][/align]Tûzfal nélkül simán megpróbálhatnak kapcsolódni pl az sshd-hez egy kis jelszópróbálgatásra, de mivel az nem fut…
roante: az elsõ linkelt oldal aszongya a 80-as portról:
Port 80 is the standard port for websites, and it can have a lot of different security issues.
These holes can allow an attacker to gain either administrative access to the website, or even
the web server itself.imho juzerként emiatt fölösleges aggódni :rolleyes:
Most teszteltem (amugy szolgáltató azért szerintem szûröget)(közben böngészõ, levelezõ, meg irc-fut [ha valaki gondolja jöjjön fel irc.freenode.net #linuxforum.hu])
juuzer:/# nmap -sS -O -p- -PI -PT localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-28 09:56 CEST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 65535 scanned ports on localhost.localdomain (127.0.0.1) are: closed
Too many fingerprints match this host to give specific OS detailsNmap finished: 1 IP address (1 host up) scanned in 7.392 seconds
juuzer:/# nmap -sT -O -p- -PI -PT localhostStarting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-28 09:56 CEST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 65535 scanned ports on localhost.localdomain (127.0.0.1) are: closed
Too many fingerprints match this host to give specific OS detailsNmap finished: 1 IP address (1 host up) scanned in 5.289 seconds
Szóval én tartom azt a véleményem továbbra is hogy az elõl aki ért hozzá egy tûzfal sem nyújt nagyobb védelmet, bár nem kell megkövezni ha nem így van!!!
😛Azért gondolom a 80 nyitva van, ha netezel 😀
[align=right][snapback]143009[/snapback][/align]Uzemeltet web-szervert?
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz