Hi,

wie kann ich unter SUSE9.1 offene Ports schließen?
Ein "nmap localhost" zeigt mir:

22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
10000/tcp open snet-sensor-mgmt


als offene ports an. Unter Debian konnte ich per update-inet --remove rpcbind beispielsweise port 111 schließen. Wie geht das unter SUSE?

MfG
Bruce

ich meine du kannst das ganze über iptables lösen, aber ich meine warum willst du ssh dicht machen? oder ist es sowas wie ein router den von außen nicht ereichbar sein soll? dann brachst du iptables ansonsten einfach den dienst beeneden

cu SHB

Hi,

wie kann ich unter SUSE9.1 offene Ports schließen?
Ein "nmap localhost" zeigt mir:

22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
10000/tcp open snet-sensor-mgmt

du kannst in /etc/inetd.conf die protocole deaktivieren (indem du ein # davor setst und dann noch brav inetd neustartest) alles andere tut iptables (nehme an du hast 'ne firewall am laufen).

du kannst in /etc/inetd.conf die protocole deaktivieren (indem du ein # davor setst und dann noch brav inetd neustartest) alles andere tut iptables (nehme an du hast 'ne firewall am laufen).

Afaik läuft keiner der Dienste standardmässig über inetd.

;)

Afaik läuft keiner der Dienste standardmässig über inetd.

;)
wetten dass? :) ist zwar kein suse (um gottes willen) was ich hier am laufen hab, doch ich bin mir zu 99% sicher dass es doch tut! Eventl. chmod -x /etc/rc.d/rc.httpd /etc/rc.d/rc.sshd /etc/rc.d/rc.sendmail - die restlichen2 sagen mir nur wenieg;

wetten dass? :)

Gilt! Was kriegt der Gewinner ?

Port 111 :

Ist der portmapper, läuft standardmässig garantiert nicht über inetd.
/etc/init.d/portmap startet den portmapper

Port 10000 :

webmin, Standardaufruf innerhalb von suse :
/etc/init.d/webmin
Also nix mit inetd

Gruß
Terran

@topic: Wenn du mit nmap localhost scanst ist das schwachsinn.
Du musst deinen rechner von aussen scannen, also nicht mit deinem rechner.
Für localhost wird eigentlich immer alles durchgelassen nur die regeln für ppp oder eth sachen werden editiert.
Scar

wetten dass? :) ist zwar kein suse (um gottes willen) was ich hier am laufen hab, doch ich bin mir zu 99% sicher dass es doch tut! Eventl. chmod -x /etc/rc.d/rc.httpd /etc/rc.d/rc.sshd /etc/rc.d/rc.sendmail - die restlichen2 sagen mir nur wenieg;

Niemals. Apache, SSHd und MTA laufen definitiv als eigenständige Daemons.

1% ist halt manchmal doch ziemlich viel. :rolleyes:

Niemals. Apache, SSHd und MTA laufen definitiv als eigenständige Daemons.

[] Du kennst RedHat 9

Es würde mich schon schwer wundern wenn RedHat das alles über den InetD startet....

Alles nicht, aber den MTA und SSHD immerhin, um bei deinem Beispiel zu bleiben.

Niemals. Apache, SSHd und MTA laufen definitiv als eigenständige Daemons.
dann hast du waschreinlich nicht alles gelesen was ich geschrieben hab; port 22, 25 und 80 100% - doch was dich beiden letzten weiss ich ned was diese sind!

dann hast du waschreinlich nicht alles gelesen was ich geschrieben hab; port 22, 25 und 80 100% - doch was dich beiden letzten weiss ich ned was diese sind!

Das erkläre ich aber in meinem letzten Posting.

-> webmin & portmap

Also was krieg ich jetzt von dir ;) ?

reicht es nicht die entsprechenden Einträge aus der /etc/services zu entfernen? :confused:

reicht es nicht die entsprechenden Einträge aus der /etc/services zu entfernen? :confused:

Nein,

das sind nur Namenszuweisungen, die die Portnummer automatisch in für Menschen lesbare Namen umwandeln.

Wenn die Dienste nicht benötigt werden, sind sie zu beenden,
ansonsten ist die (Suse)Firewall so anzupassen, das die Dienste nicht mehr übers Internet erreichbar sind.

Gruß
Terran

Ich meine, das ganze funktioniert so:

Die Dienste stehen unter SuSE in /etc/rc.d/rc0.d bis rc5.d . Hier muss man bei Diensten, die man nicht aktivieren möchte, statt einem "S" ein "K" davorsetzen, also einfach austauschen.

Du musst nur herausfinden, welcher Port zu welchem Dienst gehört.


Grüsse
schuelsche

Ich meine, das ganze funktioniert so:

Die Dienste stehen unter SuSE in /etc/rc.d/rc0.d bis rc5.d . Hier muss man bei Diensten, die man nicht aktivieren möchte, statt einem "S" ein "K" davorsetzen, also einfach austauschen.


So klappts auf jeden Fall,

sauberer ist es aber über den yast - Runlevel - editor oder über das Kommandozeilentool chkconfig.

Zu bedenken ist: Unter /etc/rc.d/rcN.d liegen nur symbolische Links auf das Init-Skript unter /etc/rc.d/init.d. Ich würde es auch per YaST machen. Geht schneller. :)