Sicurezza e porte aperte

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
Gi0va
Linux 1.x
Linux 1.x
Messaggi: 133
Iscritto il: sab 31 dic 2005, 17:10

Sicurezza e porte aperte

Messaggio da Gi0va »

Oggi ho fatto delle scansioni con nmap per testare la mia sicurezza.
Se eseguo nmap -sF -p1-65535 localhost ottengo il seguente output:

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-01-13 17:16 UTC
Interesting ports on localhost (127.0.0.1):
(The 65532 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
631/tcp open|filtered ipp
6000/tcp open|filtered X11
63677/tcp open|filtered unknown

La porta che mi fa paura è soprattutto la 63677 ma...
se eseguo il comando scrivendo al posto di localhost il mio ip ottengo questo output:

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-01-13 17:11 UTC
Interesting ports on host18-131.pool876.interbusiness.it (XXXXPRIVACYXXXX):
(The 65533 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
631/tcp open|filtered ipp
6000/tcp open|filtered X11

Vorrei sapere se ci sono modi per chiudere queste porte.

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

qualche consiglio veloce:
1) per la 631 puoi configurare (se non è di default o l'hai già fatto) cups in modo che ascolti solo da localhost
2) per la 6000 la puoi disabilitare scrivendo un .xsessionrc apposta (adesso non c'è l'ho sottomano, posto appena possibile)
3) per l'ultima porta puoi controllare http://www.portsdb.org/ appena finiscono la manutenzione :)

ciao

Avatar utente
alessiodf
Linux 3.x
Linux 3.x
Messaggi: 823
Iscritto il: ven 14 ott 2005, 21:04
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1
Località: Roma
Contatta:

Messaggio da alessiodf »

Visto che si sta parlando di sicurezza, posto il mio stato di security! :wink:
LOCALHOST

Codice: Seleziona tutto

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-01-13 18:03 CET
Interesting ports on localhost (127.0.0.1):
(The 65525 ports scanned but not shown below are in state: closed)
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
37/tcp  open|filtered time
80/tcp  open|filtered http
110/tcp open|filtered pop3
113/tcp open|filtered auth
139/tcp open|filtered netbios-ssn
445/tcp open|filtered microsoft-ds
587/tcp open|filtered submission
631/tcp open|filtered ipp
RETE ESTERNA...

Codice: Seleziona tutto

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-01-13 18:04 CET
Interesting ports on hostXXX-XXX.poolXXXX.interbusiness.it (xxx.xxx.xxx.xxx):
(The 65533 ports scanned but not shown below are in state: closed)
PORT   STATE         SERVICE
21/tcp open|filtered ftp
80/tcp open|filtered http
Che mi potete dire?? sta tutto ok guisto?

Avatar utente
Sawk
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: dom 6 feb 2005, 0:00
Località: Pordenone, Italy
Contatta:

Messaggio da Sawk »

per la 6000 basta che scrivi:

startx -- -nolisten tcp

all'avvio, al posto di startx

Avatar utente
Gi0va
Linux 1.x
Linux 1.x
Messaggi: 133
Iscritto il: sab 31 dic 2005, 17:10

Messaggio da Gi0va »

grazie raga :D

alessiodf: non sono sicuro che sei in perfetto stato di sicurezza, secondo me c'è qualche porta come la 139, 445 che devono stare chiuse.

Spero di non avere detto una castroneria... :wink:

ciao

Avatar utente
prione
Linux 1.x
Linux 1.x
Messaggi: 183
Iscritto il: lun 5 dic 2005, 22:33
Località: Milano

Messaggio da prione »

Gi0va ha scritto:grazie raga :D

alessiodf: non sono sicuro che sei in perfetto stato di sicurezza, secondo me c'è qualche porta come la 139, 445 che devono stare chiuse.

Spero di non avere detto una castroneria... :wink:

ciao
se non ricordo male le porte 139 e 445 servono a samba.

Avatar utente
alessiodf
Linux 3.x
Linux 3.x
Messaggi: 823
Iscritto il: ven 14 ott 2005, 21:04
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1
Località: Roma
Contatta:

Messaggio da alessiodf »

si raga...quelle sono x samba!! comunque quello è il nmap del localhost... non ci dovrebbero essere problemi di sicurezza..giusto? anke perché a casa ho un router... che mi dite??? :wink:

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

Sawk ha scritto:startx -- -nolisten tcp
io uso solo "startx" e questo .xserverrc (non .xsessionrc come ho scritto in precedenza):

Codice: Seleziona tutto

exec X :0 -dpi 100 -nolisten tcp
in questo modo puoi passare delle opzioni a startx senza doverle scrivere ogni volta (decisamente + comodo)

ciao

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3974
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

alessiodf ha scritto:si raga...quelle sono x samba!! comunque quello è il nmap del localhost... non ci dovrebbero essere problemi di sicurezza..giusto?
yep!

Avatar utente
alessiodf
Linux 3.x
Linux 3.x
Messaggi: 823
Iscritto il: ven 14 ott 2005, 21:04
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1
Località: Roma
Contatta:

Messaggio da alessiodf »

Paoletta, invece per le porte che sono aperte dall'esterno, vanno bene così?? Mi puzza la porta 21... Voglio dire, io mica facico da server ftp! :shock: che motivo c'è di stare aperta? e soprattutto, come la chiudo? :roll:

Tnks! :wink:

Avatar utente
Luke88
Linux 3.x
Linux 3.x
Messaggi: 624
Iscritto il: mer 7 set 2005, 0:00
Slackware: 13.0
Kernel: 2.6.30-zen4
Desktop: xfce4
Località: Udine

Messaggio da Luke88 »

anche se non sono paoletta ti rispondo io:
puoi chiudere la porta 21 commentando il servizio ftp su /etc/inetd.conf (qui è dove trovi molti altri servizi tipo tftp, swat, pop3, imap....) oppure usando iptables (ci sono molti tutorial in giro.. anche sl loro sito)puoi chiudere anche la porta 80, che server per apache, server web (non serve per navigare) con iptables ma sopratutto togliendo i permessi di esecuzione a rc.httpd in /etc/rc.d/ (qui hai script che avviano altri servizi, dai un "chmod -x nome_servizio" per non avviarlo con il boot)
Meeting efficency = Average_Intelligence/( Number_Of_People^2 )

Avatar utente
alessiodf
Linux 3.x
Linux 3.x
Messaggi: 823
Iscritto il: ven 14 ott 2005, 21:04
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1
Località: Roma
Contatta:

Messaggio da alessiodf »

Luke88 ha scritto:anche se non sono paoletta ti rispondo io:
puoi chiudere la porta 21 commentando il servizio ftp su /etc/inetd.conf (qui è dove trovi molti altri servizi tipo tftp, swat, pop3, imap....) oppure usando iptables (ci sono molti tutorial in giro.. anche sl loro sito)puoi chiudere anche la porta 80, che server per apache, server web (non serve per navigare) con iptables ma sopratutto togliendo i permessi di esecuzione a rc.httpd in /etc/rc.d/ (qui hai script che avviano altri servizi, dai un "chmod -x nome_servizio" per non avviarlo con il boot)
Ok, configurerò iptables..comunque internamente la porta 80 non la posso escludere..apache mi serve per PHP... grazie a tutti..ciao! :wink:

Avatar utente
Luke88
Linux 3.x
Linux 3.x
Messaggi: 624
Iscritto il: mer 7 set 2005, 0:00
Slackware: 13.0
Kernel: 2.6.30-zen4
Desktop: xfce4
Località: Udine

Messaggio da Luke88 »

ok, scusa, ero partito in quarta :lol:
Meeting efficency = Average_Intelligence/( Number_Of_People^2 )

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun 27 giu 2005, 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Messaggio da Luci0 »

alessiodf ha scritto:Visto che si sta parlando di sicurezza, posto il mio stato di security! :wink:
LOCALHOST

RETE ESTERNA...

Codice: Seleziona tutto

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-01-13 18:04 CET
Interesting ports on hostXXX-XXX.poolXXXX.interbusiness.it (xxx.xxx.xxx.xxx):
(The 65533 ports scanned but not shown below are in state: closed)
PORT   STATE         SERVICE
21/tcp open|filtered ftp
80/tcp open|filtered http
Che mi potete dire?? sta tutto ok guisto?

la porta 21 e la 80 sono le porte aperte del ruoter ... se il router é il tuo ... puoi riprogrammarlo in modo tale che sia accessibile e configurabile solo dalla rete interna... se invece la password di accesso la ha il tuo ISP ... in teoria potrà portare avanti attacchi e a suo piacimento con dei port forvarding sulle macchine della rete interna, delle quali forse conosce anche gli ip se é attivo un servizio DHCP ... non mi fido e spesso in tali condizioni o cambio provider o metto un firewall o un router nuovo...

Avatar utente
alessiodf
Linux 3.x
Linux 3.x
Messaggi: 823
Iscritto il: ven 14 ott 2005, 21:04
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1
Località: Roma
Contatta:

Messaggio da alessiodf »

Grazie della risposta.. allora, il router è mio... e condivide la connessione internet a circa 3-4 computer... è vero, ho notato che anche dall'esterno, se scrivo l'ip mi accede (naturalmente mi chiede di autenticarmi) all'amministrazione del router... per quello che riguarda gli ip interni e il forwarding, gli ip sono messi statici da me e il dhcp è stato disattivato! il forwarding anche è impostato da me...
ORA; come gli dico al router di essre accessibile solamente dalla rete interna?? :roll: ..smanettando nelle configurazioni del router forse trovo qualcosa... ora ci provo! :D :wink:

ciao e grazie!

Rispondi