[Debian] Services uitzetten - Linux en overige clients

zondag 26 juni 2005 18:34

Acties:

Vrolijkheid alom!

Topicstarter

Al een tijdje erger ik mij er aan dat ik m'n linux server niet goed dicht kan krijgen. Ik heb basiskennis van het systeem, maar echt grip op het hele systeem ontbreekt nog een beetje. Naar mijn idee is het eerste wat je doet na een verse installatie, er voor zorgen dat alles goed dichtgetimmerd zit en dat er geen onnodige services draaien.

Om dat doel te bereiken gebruik ik nmap om te kijken welke poorten er open staan, en het programma firehol om het schrijven van iptables configs makkelijker te maken. Dit laatste programma heb ik door en werkt naar behoren. Het probleem is echter dat er meer services open blijven staan dan dat ik wil. Ik heb het dan over dingen als discard, daytime, smtp, rpcbind en anderen.

Als ik google en topics hier mag geloven worden deze services gestart door inetd, waarvan de config file te vinden is in etc/. Hierin staan inderdaad discard, daytime en time, welke ik nu dus escaped heb met een #. Daarna netjes een restart gedaan en opnieuw gekeken naar de open poorten. Deze zijn helaas ongewijzigd.

Ik kan mij uit een grijs verleden herinneren dat er een simpel commando was waarmee een grafisch programma'tje je hielp bij het aan- en uitzetten van services. Bij het doorbladeren van alle beschikbare commando's kwam ik dit echter niet tegen. Wel het commando update-inetd, maar ook dit bracht geen wijzigingen in de open poorten. Zodoende blijf ik zitten met een systeem waarvan ik weet dat het zo lek als een mandje is

Wat was dat commando? Of moet ik nog wat meer uitvoeren met inetd voor die config toegepast wordt?

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

zondag 26 juni 2005 18:59

Acties:

Verwijderd

Die dingen hoeven niet perse via inetd te draaien.
Ze kunnen ook standalone draaien.
Ik snap alleen niet waarom je niet simpelweg alle poorten dichtgooit met iptables en alleen bijv. 80, 25, en 22 open zet.
Dan maakt het niet uit welke services er draaien.
Zoiets:

code:

Chain INPUT (policy ACCEPT 24834 packets, 2062K bytes)
 pkts bytes target     prot opt in     out     source               destination
5849K 1490M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
  126  6500 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:smtp
 2799  151K ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:http
 9565  820K ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh
    0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:imaps
 1371 66906 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:https
 476K   24M DROP       tcp  --  eth0   any     anywhere             anywhere
 5034  151K DROP       icmp --  eth0   any     anywhere             anywhere
 178K   13M ACCEPT     udp  --  eth0   any     anywhere             anywhere            udp dpt:domain
 6343 2348K DROP       udp  --  eth0   any     anywhere             anywhere
67751 5134K ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     all  --  dummy0 any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 27002 packets, 8764K bytes)
 pkts bytes target     prot opt in     out     source               destination
5969K  920M ACCEPT     all  --  any    any     anywhere             anywhere

In bovenstaand voorbeeld staat iptables alleen tcp toe op de poorten in het lijstje, de rest wordt gedropt, udp alleen op poort 53, de rest wordt gedropt, icmp wordt helemaal gedropt, en connecties die lokaal begonnen zijn worden wel toegelaten.
Doe eens een iptables -L -v.
Je krijgt dan een overzicht zoals hierboven.
Let op de regel:

"67751 5134K ACCEPT all -- lo any anywhere anywhere"
loopback accepteert dus alles.

Nmap vanaf de machine zelf loopt via de loopback, iptables rules staan meestal op eth0, dus die werken niet als je nmapped vanaf de machine zelf.
Je kan rcconf eens installeren, daarmee kan je services uit de runlevels gooien zodat ze niet bij het booten starten. "apt-get install rcconf".

[ Voor 72% gewijzigd door Verwijderd op 26-06-2005 19:05 ]

zondag 26 juni 2005 19:03

Acties:

Kaastosti

Vrolijkheid alom!

Topicstarter

Ik snap alleen niet waarom je niet simpelweg alle poorten dichtgooit met iptables en alleen bijv. 80, 25, en 22 open zet.

Ik heb met firehol de config zo gemaakt dat alleen ssh en een custom poort accepted worden. De rest wordt allemaal gedropped. Dat systeem zou moeten werken... misschien dat inderdaad die loopback niet netjes report wat er eigenlijk gebeurt.

rcconf was redelijk duidelijk... daar stonden een aantal services die ik niet wilde hebben

bedankt voor de tip... ik had in een brainwave ineens het 'nselect' commando in m'n hoofd, maar da's volgens mij alleen redhat

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

zondag 26 juni 2005 20:27

Acties:

Gondor

Ik gebruik update-rc.d, hiermee kan je ook aangeven in welke levels het gestart/gestopt moet worden. Die rcconf is wel handig als je default wilt.

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

zondag 26 juni 2005 20:30

Acties:

Azzmodan

Dit is wel een leuk dingetje als je met security aan het spelen bent:
http://www.bastille-linux.org/

En is gewoon te apt-getten

zondag 26 juni 2005 21:14

Acties:

eth0

tip: met het commando "netstat -tuanp" krijg je een lijst met poorten welke luisteren maar tevens staat hier ook het pid en proces naam bij. Dit maakt het gemakkelijker op te kijken welk poort bij welk proces hoort.

zondag 26 juni 2005 21:15

Acties:

Wirehead

Services zet ik gewoon uit door het desbetreffende rc-script te "chmod -x"-en.
Volgende keer dat je herstart wordt die service niet gestart. En de service stop je zelf door /etc/init.d/servicenaam stop
te doen.

Simpel en doeltreffend.

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

zondag 26 juni 2005 21:18

Acties:

Kaastosti

Vrolijkheid alom!

Topicstarter

En de service stop je zelf door /etc/init.d/servicenaam stop
te doen.

Dat werkt natuurlijk voor de huidige sessie, maar bij bijvoorbeeld een reboot is de service dan weer terug

Bedankt voor de tips, ik ben weer een stap verder

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

zondag 26 juni 2005 21:43

Acties:

eth0

Voor Debian moet je daar voor het commando update-rc.d gebruiken ipv te chmodden

code:

1	update-rc.d -f apache remove

zondag 26 juni 2005 21:57

Acties:

Kaastosti

Vrolijkheid alom!

Topicstarter

Ik krijg de rpcbind er niet uit... als ik nmap opvraag:
22/tcp open ssh
111/tcp open rpcbind
De eerste hoort zo, maar rpcbind wil ik er niet in hebben. Deze heb ik met update-rc.d geprobeerd er uit te halen, inetd.conf aangepast etc. Uiteindelijk gewoon gekilled, maar bij reboot is deze gewoon weer terug.

Oh heh misschien eens als root proberen. Als ik netstat -tuamp run als root zie ik dat dat programma wordt gebruikt door portmap... die er misschien uithalen dan.

[ Voor 21% gewijzigd door Kaastosti op 26-06-2005 22:00 ]

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

zondag 26 juni 2005 22:01

Acties:

Verwijderd

Kaastosti schreef op zondag 26 juni 2005 @ 21:57:
Ik krijg de rpcbind er niet uit... als ik nmap opvraag:
22/tcp open ssh
111/tcp open rpcbind
De eerste hoort zo, maar rpcbind wil ik er niet in hebben. Deze heb ik met update-rc.d geprobeerd er uit te halen, inetd.conf aangepast etc. Uiteindelijk gewoon gekilled, maar bij reboot is deze gewoon weer terug.

Oh heh misschien eens als root proberen. Als ik netstat -tuamp run als root zie ik dat dat programma wordt gebruikt door portmap... die er misschien uithalen dan.

Ik weet niet wat voor soort machine je draait, maar op een desktop wil je portmap lekker laten draaien.
Portmap is nodig voor communicatie met Windows machines, Samba etc.

Je kan portmap ook met de -l optie laten lopen, dan luistert hij alleen op localhost.
Ik snap alleen nog steeds niet waar je je nou druk om maakt, iptables zit er toch tussen voor connecties van buitenaf?

En ik snap ook niet waarom je zo met nmap aan het kutten bent.
Nmap scanned standaard niet alle poorten, dat weet je he?
Als je echt alle poorten wil scannen moet je nmap -p 1-65535 gebruiken.
En dan nog pak je alleen dingen die ook op de loopback gebonden zijn.
Er zijn vast wel apps die alleen op eth0 zitten. Die zie je dan niet.

Als je even nadenkt, gebruik je gewoon alleen netstat of lsof.
Su naar root en doe: "netstat -eeap"
"netstat -m" doet het trouwens niet eens bij mij, wat voor netstat heb je?

[ Voor 42% gewijzigd door Verwijderd op 26-06-2005 22:20 ]

zondag 26 juni 2005 22:55

Acties:

Kaastosti

Vrolijkheid alom!

Topicstarter

Er wordt op dit moment alleen maar mee gewerkt via ssh... dus communicatie met Windows is op dit moment nog niet aan de orge. Ik maak me druk om het feit dat ik het niet krijg zoals ik het hebben wil. Als ik een service niet wil draaien, dan moet deze gewoon uit... dat niemand er bij kan omdat de poort toch dicht zit is mooi, maar het draait nog steeds wel.

Als je even nadenkt, gebruik je gewoon alleen netstat of lsof.

Ik heb basiskennis van het systeem, maar echt grip op het hele systeem ontbreekt nog een beetje

I rest my case... ik ken gewoon nog lang niet alle commando's en mogelijkheden

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.