frame
Sveiki apsilankę!
Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.
PrisijungtiRegistruotisSveiki apsilankę!
Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.
Quick Links
Kategorijos
- 837 Visos kategorijos
- 196 Apie paslaugas
- 41 Naujienos bei pranešimai
- 155 Klausimai ir pastabos
- 614 Pamokos
- 17 Tipinės problemos
- 30 Serverių saugumas
- 51 Valdymo pultai
- 25 Web serveriai
- 12 Pašto serveriai
- 14 Monitoringas
- 41 Kitos aplikacijos
- 47 Informaciniai straipsniai
- 357 Pagalba
- 25 Pageidavimai
- 100 Įvairios diskusijos
- 136 Archyvas
firewall konfiguravimas Webmin 1.5 / CentOS 6 aplinkoje
Sveiki,
Insatliavau CentOS 6 su Webmin 1.5. Su nmap patikrinau atvirus portus. Radau, kad yra per daug atviru portu. Konkreciu atveju noreciau uzdaryti 3306 (MySQL) porta, o porta 21, noreciau padaryti pasiekiama tik is whitelist`e esancio IP adreso (u), o webminas kad klausytusi ne 10000 o tarkim 2938 porto. Manau, kad visai naudinga butu suzinoti principus, kaip tai daroma.
Savo dedikuotame serveryje po dafault instaliacijos radau tokius atvirus portus:
Starting Nmap 6.00 ( http://nmap.org ) at 2013-08-21 00:01 EEST
Nmap scan report for
.com (---.---.---.---)
Host is up (0.13s latency).
Not shown: 987 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
1723/tcp filtered pptp
3306/tcp open mysql
10000/tcp open snet-sensor-mgmt
Nmap done: 1 IP address (1 host up) scanned in 158.58 seconds
Insatliavau CentOS 6 su Webmin 1.5. Su nmap patikrinau atvirus portus. Radau, kad yra per daug atviru portu. Konkreciu atveju noreciau uzdaryti 3306 (MySQL) porta, o porta 21, noreciau padaryti pasiekiama tik is whitelist`e esancio IP adreso (u), o webminas kad klausytusi ne 10000 o tarkim 2938 porto. Manau, kad visai naudinga butu suzinoti principus, kaip tai daroma.
Savo dedikuotame serveryje po dafault instaliacijos radau tokius atvirus portus:
Starting Nmap 6.00 ( http://nmap.org ) at 2013-08-21 00:01 EEST
Nmap scan report for
.com (---.---.---.---)
Host is up (0.13s latency).
Not shown: 987 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
1723/tcp filtered pptp
3306/tcp open mysql
10000/tcp open snet-sensor-mgmt
Nmap done: 1 IP address (1 host up) scanned in 158.58 seconds
Norėdami palikti komentarą, turite prisijungti arba registruokis.
foot
Komentarai
šia tema jau turime paruošę pamokėlę https://forumas.dedikuoti.lt/showthread.php?t=92 . Pavyzdys su MySQL tarnyba, kaip tik tam tikram IP adresui leisti prieigą prie 3306 port'o:
Panašiu principu galima drausti prieigą ir kitoms tarnyboms.
Kaip keisti tam tikrų tarnybų numatytuosius prievadus, šios informacijos reiktų ieškoti dokumentacijoje. Webmin port'o keitimas galimas jo konfigūraciniame faile:
Aciu uz informacija - jusu nurodyta pamokele padejo.
Visgi, per iptables apribojus prieiga prie 3306, skanuojant su nmap, portas 3306 turedavo statusa filtered.
Problema issprendziau kitaip - atjungiau nuotoline prieiga prie pacio mysql serviso i /etc/my.cnf idedamas skip-networking komanda.
Galite sukurti konkrečią mini-pamokėlę apie atliktus veiksmus, taip visi forumo lankytojai galės pasinaudoti šiomis žiniomis
Visgi, dar noriu pasikonsultuoti del portu, i kuriuos atsakineja serveris.
Si momenta, mano nutolusi hosta praskanavus su nmap, gaunami tokie rezultatai:
Host is up (0.14s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
25/tcp open smtp
53/tcp open domain
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
1723/tcp filtered pptp
Nmap done: 1 IP address (1 host up) scanned in 162.16 seconds
Kai is virtualaus dedikuoto serverio konsoles ziuriu, kokie servisai klausosi portu, gaunu tokius rezultatus:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 450/named
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 779/httpd
tcp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* LISTEN 472/sshd
tcp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* LISTEN 771/proftpd
tcp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* LISTEN 836/perl
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 668/dovecot
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 779/httpd
tcp 0 0 isorinis-ip-adresas:53 0.0.0.0:* LISTEN 450/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 450/named
udp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* 836/perl
udp 0 0 isorinis-ip-adresas:53 0.0.0.0:* 450/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 450/named
iptables konfiguracija rodo:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:webmino-portas
ACCEPT tcp -- mano-ip-adresas anywhere tcp dpt:webmino-portas
DROP tcp -- anywhere anywhere tcp dpt:webmino-portas
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Del ko rasau si posta:
1. Praskanavus hosta, portai 135, 139, 445, 1723 turi status filtered.
2. netstat (su ivairiausiais parametrais) nerodo nei vieno serviso, kuris klausytusi siais portais
3. iptables nerodo, kad punkte 1 isvardinti portai filtruojami.
Niekaip nesugebu suprasti, kas filtruoja tuos portus, ir kokie servisai ju klausosi?
Galbut tai susije su virtualaus dedikuoto serverio valdymu is https://klientams.iv.lt? (pvz serverio perkrovimas, iptables isvalymas, duomenu atstatymas ar pan..)
dėkojame už pamokėlę.
Jūsų atveju prievado būsena "filtered" reiškia jog vykdant nmap komandą kai kurių prievadų informacija nėra pasiekiama. Jūsų atveju tai yra minėti 135, 139, 445, 1723 prievadai.
Citata iš nmap'o "man" (daugiau informacijos):
Laikoma, jog geresnė praktika būtų nustatyti iptables input policy į DROP, ir tada ACCEPT'inti tik norimus prievadus.
Šiai užduočiai rekomenduočiau CSF ugniasienę.