¿Cómo "cerrar" los puertos abiertos?

Hace unos días comencé a preocuparme mucho por la seguridad de mis datos, nmapy terminé con:nmap 127.0.0.1

Sorpresa, sorpresa, tengo muchos servicios activos escucha localhost:

$ nmap 127.0.0.1
Starting Nmap 5.21 ( http://nmap.org ) at 2013-05-05 00:19 WEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00025s latency).
Not shown: 993 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
53/tcp  open  domain
111/tcp open  rpcbind
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds

El único que podría usar es ssh(aunque probablemente no esté bien configurado, mantendré este asunto en otra pregunta).

Por lo que sé ipp, CUPS utiliza el protocolo para compartir mis impresoras, no necesito compartirlas, solo acceder a las impresoras desde un servidor.

Esta es la salida del netstat -lntupusuario raíz, eliminando las direcciones localhost:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      497/sshd        
tcp        0      0 0.0.0.0:17500           0.0.0.0:*               LISTEN      2217/dropbox    
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      892/smbd        
tcp        0      0 0.0.0.0:50022           0.0.0.0:*               LISTEN      1021/rpc.statd  
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      892/smbd        
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      906/rpcbind     
tcp6       0      0 :::22                   :::*                    LISTEN      497/sshd        
tcp6       0      0 :::42712                :::*                    LISTEN      1021/rpc.statd  
tcp6       0      0 :::445                  :::*                    LISTEN      892/smbd        
tcp6       0      0 :::139                  :::*                    LISTEN      892/smbd        
tcp6       0      0 :::111                  :::*                    LISTEN      906/rpcbind     
udp        0      0 0.0.0.0:51566           0.0.0.0:*                           615/avahi-daemon: r
udp        0      0 0.0.0.0:68              0.0.0.0:*                           7362/dhclient   
udp        0      0 0.0.0.0:111             0.0.0.0:*                           906/rpcbind     
udp        0      0 192.168.1.255:137       0.0.0.0:*                           1782/nmbd       
udp        0      0 192.168.1.67:137        0.0.0.0:*                           1782/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1782/nmbd       
udp        0      0 192.168.1.255:138       0.0.0.0:*                           1782/nmbd       
udp        0      0 192.168.1.67:138        0.0.0.0:*                           1782/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1782/nmbd       
udp        0      0 0.0.0.0:655             0.0.0.0:*                           906/rpcbind     
udp        0      0 0.0.0.0:17500           0.0.0.0:*                           2217/dropbox    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           615/avahi-daemon: r
udp        0      0 0.0.0.0:34805           0.0.0.0:*                           1021/rpc.statd  
udp6       0      0 :::40192                :::*                                1021/rpc.statd  
udp6       0      0 :::111                  :::*                                906/rpcbind     
udp6       0      0 :::655                  :::*                                906/rpcbind     
udp6       0      0 :::5353                 :::*                                615/avahi-daemon: r
udp6       0      0 :::42629                :::*                                615/avahi-daemon: r

¿Cómo configuro esos servicios para que solo escuchen el mundo exterior cuando realmente los estoy usando?

Determina tu exposición

Tomando su salida del netstatcomando, lo que parece una gran cantidad de servicios es en realidad una lista muy corta:

$ netstat -lntup | awk '{print $6 $7}'|sed 's/LISTEN//'| cut -d"/" -f2|sort|uniq|grep -v Foreign
avahi-daemon:r
dhclient
dropbox
nmbd
rpcbind
rpc.statd
smbd
sshd

Obteniendo un plano de la tierra

Mirando esta lista, hay varios servicios que dejaría en paz.

• dhclient
  • El servidor DHCP daemon responsable de obtener su dirección IP, debe tener esta.
• Dropbox
  • obviamente Dropbox, tiene que tener

Comience a reducirlo - deshabilite Samba

Probablemente puede desactivar de inmediato Samba, representa 2 de los servicios anteriores nmbdy smbd. Es cuestionable que realmente necesite que se ejecute en una computadora portátil, ya sea en localhost o su IP frente a su red.

Para verificar que se estén ejecutando, puede usar el siguiente comando status:

$ status nmbd
nmbd start/running, process 19457
$ status smbd
smbd start/running, process 19423

Desactivar los servicios puede ser confuso con todo el flujo que ha estado ocurriendo con los negocios nuevos, /etc/rc.d, por lo que puede ser difícil determinar qué servicio está bajo qué tecnología. Para Samba puedes usar el servicecomando:

$ sudo service nmbd stop
nmbd stop/waiting
$ sudo service smbd stop
smbd stop/waiting

Ahora están fuera:

$ status nmbd 
nmbd stop/waiting
$ status smbd 
smbd stop/waiting

Manteniéndolos fuera ... permanentemente

Para que se mantengan alejados, he estado usando esta herramienta sysv-rc-conf, para administrar servicios desde una consola, funciona mejor que la mayoría. Le permite verificar qué servicios desea ejecutar y en qué nivel de ejecución deben iniciarse / detenerse:

$ sudo apt-get install sysv-rc-conf

Deshabilitar el resto de lo que NO es necesario

Así que ahora que Samba está fuera, nos queda lo siguiente:

• avahi-daemon
  • parte de zeroconf (plug-n-play), apáguelo
• rpcbind
  • necesario para NFS - apáguelo
• rpc.statd
  • necesario para NFS - apáguelo

Para los 3 restantes, puede hacer lo mismo que hicimos para que Samba los apague también.

¿TAZAS?

Para desactivar CUPS, que por cierto no necesita, puede seguir el mismo baile de desactivar el servicio y luego desactivarlo para que no se inicie. Para poder imprimir necesitará configurar cada impresora individualmente en su sistema. Puede hacerlo a través de la system-config-printerGUI.

¿Hacer estos servicios a pedido?

Este es realmente el corazón de su pregunta, pero en realidad no hay una solución definitiva para hacer que estos servicios sean "inteligentes" para que funcionen cuando se usan, en lugar de todo el tiempo.

Parte de esto es la división actual entre systemd y upstart . Hay una buena visión general de las tecnologías de la competencia 2 aquí .

Ambas tecnologías están tratando de hacer cosas ligeramente diferentes, en mi opinión, dado su conjunto de características, systemd parece estar más orientado hacia los servidores, mientras que el arranque parece más orientado hacia el rollo de escritorio. Con el tiempo, esto funcionará solo, IMO, y ambos servicios serán estables y ricos en funciones.

Eventualmente, ambos servicios ofrecerán a pedido, comenzando y deteniéndose en todos los ámbitos de todos los servicios que administran. Características como las que StopWhenUnneeded=yesya existen, systemdpor ejemplo, por lo que es solo cuestión de tiempo hasta que estas capacidades se desarrollen.

Algunos servicios no permiten detener / iniciar muy bien, si es que lo hacen. Los servicios que sshdparecen tener poco sentido para ejecutarse como a pedido, especialmente si se usan mucho. Además, algunos servicios como Apache proporcionan mecanismos dentro de sí mismos para hacer que más o menos sus propios oyentes se administren. Por lo tanto, no está claro cómo los servicios a pedido brindan systemdo upstartse integrarán con este tipo de servicios.

• iniciando sshd en la primera conexión al puerto 22 con el nuevo puente de conexión
• CUPS y systemd: inicio y parada bajo demanda

¿Es esto realmente necesario?

Escuchará de ambos lados que esto es excesivo o que debe adoptar un enfoque minimalista solo instalando lo que absolutamente necesita, pero es realmente una elección personal. Comprender que estos servicios están ahí y que lo que hacen es realmente lo importante. Al final del día, una computadora es una herramienta, y al usar un sistema Unix ya estás diciendo que estás dispuesto a mirar detrás de la cortina y entender qué hace que tu computadora funcione.

Diría que este tipo de preguntas es exactamente el estado de ánimo por el que uno debe luchar cuando se trata de computadoras y Unix en general.

Referencias

• Forma recomendada para habilitar y deshabilitar servicios
• advenedizo - wikipedia

• systemd - wikipedia

  [10: http://tech.cueup.com/blog/2013/03/08/running-daemons/

127.0.0.1 no es el "mundo exterior", está mirando dentro de la casa.

Verifique la configuración de su firewall (iptables en Linux hoy), la mayoría de ellos no deberían ser accesibles desde afuera.

No ejecute servicios que no necesita. Desinstale todo el software no requerido.

Cambia las contraseñas para ser más fuerte. Comprueba tu uso del sistema, no persigas ningún sitio web interesante al azar. Verifique la configuración antifraude, antiscripts, etc. del navegador. Revise su uso de SSH y su / sudo.

Pero, sobre todo, la paranoia excesiva es contraproducente. No te dejes atrapar por el brillo de la tecnología .

Si bien puede 'cerrar' los servicios individuales, tal vez sea más fácil configurar un firewall. Casi todas las distribuciones comunes (Ubuntu, Debian, Centos, etc.) tienen soporte para iptables incorporado.

Un conjunto de reglas simple para comenzar: (puede escribirlos en el símbolo del sistema; para que sean permanentes, agréguelos a sus scripts de inicio o díganos qué distribución está usando. En Centos por ejemplo: system-config -firewall es una buena interfaz de usuario para configurar las reglas de iptables)

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

Básicamente - permitir ssh entrante; deja todo lo demás.

Su cadena de ENTRADA ahora se ve así:

• Si un paquete está llegando a mi computadora para 'ssh' - permítelo
• Si un paquete no coincide con ninguna de las reglas anteriores, simplemente deséchelo.

Luego, en una fecha posterior, digamos que desea permitir 'samba' (uso compartido de archivos de Windows): podría ejecutar

iptables -I INPUT-p tcp --dport 465 -j ACCEPT

El -Iantecede y gobierna a la lista; -Aañade una regla Entonces su cadena ahora se ve así:

• Si un paquete llega a mi computadora para 'samba', permítelo
• Si un paquete está llegando a mi computadora para 'ssh' - permítelo
• Si un paquete no coincide con ninguna de las reglas anteriores, simplemente deséchelo.

La INPUTcadena se refiere a los paquetes destinados a su sistema. Otras cadenas son OUTPUTpara paquetes de su computadora, para ir a Internet y FORWARDpara paquetes que se enrutan a través de su computadora (es decir, paquetes que "transitan" a su computadora, como el área de tránsito de un aeropuerto; cosas que no INPUTse deben a que no ingresan a su computadora )

Como nota de despedida: nmap'ing 127.0.0.1 no es muy útil; Se puede acceder a muchos servicios solo desde 127.0.0.1 y desde ninguna otra dirección. Si no tiene otra máquina desde la que pueda ejecutar nmap, ¡intente usar Gibson Research 'Shields UP! ( https://www.grc.com/shieldsup ), que es un nmap-lite gratuito en línea. O agregue un comentario con su IP / correo electrónico y lo mapearé :)