PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Unnötige Dienste abschalten - welche und wie?



Unixdepp
27.05.05, 20:40
Ich würde gern bei meinem Rootserver alle Dienste abschalten, die ich nicht brauche - nmap localhost spuckt das hier aus:


PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
143/tcp open imap
443/tcp open https
891/tcp open unknown
993/tcp open imaps
3306/tcp open mysql

ssh, smtp, http, https und imaps brauche ich wohl auf jeden Fall für Web + Mailserver, unklar ist mir allerdings:

(1) was rpcbind ist und ob/wie ich es abschalten kann (hat wohl was mit Portmapper zu tun?!?)

(2) ich benutze courier-imap-ssl und will keinen Zugriff ohne SSL (über 143) zulassen - trotz einigem Rumprobieren habe ich aber nicht nicht geschafft, courier auf SSL/993 zu beschränken - Thunderbird kann immer noch ohne SSL zugreifen?!

(3) xinetd habe ich abgeschaltet, da ich FTP nicht brauche/will - gibt es sonst einen Grund xinetd laufen zu lassen? Oder besser weg?

(4) vsftpd läuft wohl noch, trotz "rcxinetd stop" - wie kann ich das Teil abschalten? "/init.d/vsftpd" stop geht nicht?!? ("500 OOPS: vsftpd: cannot open config file:stop").

(5) auf 891 läuft so ein Sun-Dienst, der wohl irgendwas mit RPC zu tun hat(?!?)

(6) Brauche ich dann noch eine Firewall (Suse 9.2)? Wenn ja, wie richte ich die am einfachsten ein, so daß nur die benötigten Ports übrig bleiben? Suche nach Firewall ist leider etwas erschlagend...

Danke für jede Hilfe!!!

canis_lupus
27.05.05, 23:28
(1) was rpcbind ist und ob/wie ich es abschalten kann (hat wohl was mit Portmapper zu tun?!?)
Die Vermutung ist richtig. Es sollte ein Run-Level-Script "portmap" geben. Kann abgeschaltet werden, solange man kein NFS/NIS einsetzt. Also in deinem Fall: Deaktivieren



(2) ich benutze courier-imap-ssl und will keinen Zugriff ohne SSL (über 143) zulassen - trotz einigem Rumprobieren habe ich aber nicht nicht geschafft, courier auf SSL/993 zu beschränken - Thunderbird kann immer noch ohne SSL zugreifen?!

Weiss ich auf Anhieb nicht.



(3) xinetd habe ich abgeschaltet, da ich FTP nicht brauche/will - gibt es sonst einen Grund xinetd laufen zu lassen? Oder besser weg?
Nur wenn Du einen Dienst unter seiner Kontrolle haben willst.



(4) vsftpd läuft wohl noch, trotz "rcxinetd stop" - wie kann ich das Teil abschalten? "/init.d/vsftpd" stop geht nicht?!? ("500 OOPS: vsftpd: cannot open config file:stop").

Wieso läuft der? Nach deinem Scan tut er es nicht.



(5) auf 891 läuft so ein Sun-Dienst, der wohl irgendwas mit RPC zu tun hat(?!?)

Mal bitte ein netstat -plutn. Keine Ahnung was da läuft.
Ausserdem ist nmap localhost keine gute Idee. Versuche mal ein nmap <ip>, damit man sehen kann, welche Ports wirklich von aussen erreichbar sind. Der "netstat -plutn" sollte aber ausreichenden Infos liefern.



(6) Brauche ich dann noch eine Firewall (Suse 9.2)? Wenn ja, wie richte ich die am einfachsten ein, so daß nur die benötigten Ports übrig bleiben? Suche nach Firewall ist leider etwas erschlagend...

Darüber kann man streiten.

Roger Wilco
28.05.05, 12:21
nmap localhost spuckt das hier aus
Lass nmap nochmal von einem anderen Rechner laufen. Der Scan von localhost bringt dir nicht sehr viel, da dich ja interessiert, welche Dienste von außerhalb erreichbar sind.
Das ließe sich zwar auch schön mit netstat -tulpen herausfinden (alles, was nicht explizit an 127.0.0.1 gebunden ist, ist von außerhalb erreichbar), aber wenn du mit nmap glücklicher bist, möchte ich dich nicht abhalten. ;)

Wenn bspw. MySQL nur auf 127.0.0.1 gebunden ist, macht das herzlich wenig und ist manchmal (z. B. wenn MySQL in einer chroot-Umgebung läuft) auch notwendig.

Unixdepp
28.05.05, 14:19
Danke für die Antworten - hier die weiteren Infos:

netstat -plutn:


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 20242/amavisd (mast
tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 15537/master
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2665/mysqld-max
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2540/portmap
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 15537/master
tcp 0 0 127.0.0.1:891 0.0.0.0:* LISTEN 2411/fam
tcp 0 0 :::993 :::* LISTEN 21958/couriertcpd
tcp 0 0 ::1:10025 :::* LISTEN 15537/master
tcp 0 0 :::143 :::* LISTEN 24853/couriertcpd
tcp 0 0 :::80 :::* LISTEN 2811/httpd2-prefork
tcp 0 0 :::22 :::* LISTEN 26753/sshd
tcp 0 0 :::25 :::* LISTEN 15537/master
tcp 0 0 :::443 :::* LISTEN 2811/httpd2-prefork
udp 0 0 0.0.0.0:111 0.0.0.0:* 2540/portmap


netstat -tulpen spuckt folgendes aus:


Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 0 1579124 20242/amavisd (mast
tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 0 917895 15537/master
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 0 4434 2665/mysqld-max
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 4194 2540/portmap
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 357519 15537/master
tcp 0 0 127.0.0.1:891 0.0.0.0:* LISTEN 0 521151 2411/fam
tcp 0 0 :::993 :::* LISTEN 0 1598986 21958/couriertcpd
tcp 0 0 ::1:10025 :::* LISTEN 0 917896 15537/master
tcp 0 0 :::143 :::* LISTEN 0 439009 24853/couriertcpd
tcp 0 0 :::80 :::* LISTEN 0 4844 2811/httpd2-prefork
tcp 0 0 :::22 :::* LISTEN 0 1645492 26753/sshd
tcp 0 0 :::25 :::* LISTEN 0 357518 15537/master
tcp 0 0 :::443 :::* LISTEN 0 4845 2811/httpd2-prefork
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 4145 2540/portmap


Ich kann nmap leider nur auf dem Server (zB nmap ip, was allerdings zum glichen Ergebnis kommt) ausführen, da ich hier an einer Windows-Kiste sitze...

Zu vsftpd: wenn ich "# vsftpd status" oder "# vsftpd stop" aufrufe, antwortet er mit "500 OOPS: vsftpd: " Fehlermeldung - daher nehme ich an, daß das Teil noch läuft...

Wie werde ich den portmap los? rcportmap stop ? Oder gleich über Yast deinstallieren?

Roger Wilco
28.05.05, 14:27
netstat -tulpen und netstat -plutn machen ausser dem Parameter e das gleiche. ;)

portmap kannst du beenden, wenn du kein NFS verwendest.
Den mysqld solltest du nach außen abschotten, wenn du das nicht benötigst. Einfach skip-networking in die my.cnf eintragen.
Den fam kannst du prinzipiell laufen lassen, er ist nur an das loopback-device gebunden. Wenn du FAM gar nicht brauchst, kannst du ihn auch beenden, braucht eh nur Resourcen. Der Rest sieht eigentlich OK aus.

Wegen vsftpd: Der läuft nicht mehr. ;)