Naujausias pranešimas: Samba kritinis pažeidžiamumas
frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

firewall konfiguravimas Webmin 1.5 / CentOS 6 aplinkoje

johniaxjohniax Naujokas (-ė)
edited 2013 rugsėjo 5 Į Pagalba
Sveiki,

Insatliavau CentOS 6 su Webmin 1.5. Su nmap patikrinau atvirus portus. Radau, kad yra per daug atviru portu. Konkreciu atveju noreciau uzdaryti 3306 (MySQL) porta, o porta 21, noreciau padaryti pasiekiama tik is whitelist`e esancio IP adreso (u), o webminas kad klausytusi ne 10000 o tarkim 2938 porto. Manau, kad visai naudinga butu suzinoti principus, kaip tai daroma.


Savo dedikuotame serveryje po dafault instaliacijos radau tokius atvirus portus:

Starting Nmap 6.00 ( http://nmap.org ) at 2013-08-21 00:01 EEST
Nmap scan report for
.com (---.---.---.---)
Host is up (0.13s latency).
Not shown: 987 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
1723/tcp filtered pptp
3306/tcp open mysql
10000/tcp open snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 158.58 seconds

Komentarai

  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 rugpjūčio 22
    Sveiki,

    šia tema jau turime paruošę pamokėlę https://forumas.dedikuoti.lt/showthread.php?t=92 . Pavyzdys su MySQL tarnyba, kaip tik tam tikram IP adresui leisti prieigą prie 3306 port'o:
    iptables -A INPUT -s [B]127.0.0.1[/B] -p tcp --dport 3306 -j ACCEPT 
    iptables -A INPUT -s [B]Serverio_IP[/B] -p tcp --dport 3306 -j ACCEPT 
    iptables -A INPUT -p tcp --dport 3306 -j DROP
    
    Panašiu principu galima drausti prieigą ir kitoms tarnyboms.

    Kaip keisti tam tikrų tarnybų numatytuosius prievadus, šios informacijos reiktų ieškoti dokumentacijoje. Webmin port'o keitimas galimas jo konfigūraciniame faile:
    /etc/webmin/miniserv.conf
    
  • johniaxjohniax Naujokas (-ė)
    edited 2013 rugpjūčio 27
    Sveiki,

    Aciu uz informacija - jusu nurodyta pamokele padejo.
    Visgi, per iptables apribojus prieiga prie 3306, skanuojant su nmap, portas 3306 turedavo statusa filtered.

    Problema issprendziau kitaip - atjungiau nuotoline prieiga prie pacio mysql serviso i /etc/my.cnf idedamas skip-networking komanda.
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 rugpjūčio 28
    johniax parašė: »
    Sveiki,

    Aciu uz informacija - jusu nurodyta pamokele padejo.
    Visgi, per iptables apribojus prieiga prie 3306, skanuojant su nmap, portas 3306 turedavo statusa filtered.

    Problema issprendziau kitaip - atjungiau nuotoline prieiga prie pacio mysql serviso i /etc/my.cnf idedamas skip-networking komanda.

    Galite sukurti konkrečią mini-pamokėlę apie atliktus veiksmus, taip visi forumo lankytojai galės pasinaudoti šiomis žiniomis :) .
  • johniaxjohniax Naujokas (-ė)
    edited 2013 rugsėjo 4
    IV_RomanL, mini-pamokele patalpinau cia.

    Visgi, dar noriu pasikonsultuoti del portu, i kuriuos atsakineja serveris.
    Si momenta, mano nutolusi hosta praskanavus su nmap, gaunami tokie rezultatai:
    nmap -sS manohostas.com

    Host is up (0.14s latency).
    Not shown: 991 closed ports
    PORT STATE SERVICE
    25/tcp open smtp
    53/tcp open domain
    80/tcp open http
    135/tcp filtered msrpc
    139/tcp filtered netbios-ssn
    143/tcp open imap
    443/tcp open https
    445/tcp filtered microsoft-ds
    1723/tcp filtered pptp

    Nmap done: 1 IP address (1 host up) scanned in 162.16 seconds

    Kai is virtualaus dedikuoto serverio konsoles ziuriu, kokie servisai klausosi portu, gaunu tokius rezultatus:
    tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 762/master
    tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 450/named
    tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 779/httpd
    tcp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* LISTEN 472/sshd
    tcp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* LISTEN 771/proftpd
    tcp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* LISTEN 836/perl
    tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 668/dovecot
    tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 779/httpd
    tcp 0 0 isorinis-ip-adresas:53 0.0.0.0:* LISTEN 450/named
    tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 450/named
    udp 0 0 0.0.0.0:pakeiciau 0.0.0.0:* 836/perl
    udp 0 0 isorinis-ip-adresas:53 0.0.0.0:* 450/named
    udp 0 0 127.0.0.1:53 0.0.0.0:* 450/named

    iptables konfiguracija rodo:
    iptables --list
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:webmino-portas
    ACCEPT tcp -- mano-ip-adresas anywhere tcp dpt:webmino-portas
    DROP tcp -- anywhere anywhere tcp dpt:webmino-portas

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination


    Del ko rasau si posta:
    1. Praskanavus hosta, portai 135, 139, 445, 1723 turi status filtered.
    2. netstat (su ivairiausiais parametrais) nerodo nei vieno serviso, kuris klausytusi siais portais
    3. iptables nerodo, kad punkte 1 isvardinti portai filtruojami.

    Niekaip nesugebu suprasti, kas filtruoja tuos portus, ir kokie servisai ju klausosi?
    Galbut tai susije su virtualaus dedikuoto serverio valdymu is https://klientams.iv.lt? (pvz serverio perkrovimas, iptables isvalymas, duomenu atstatymas ar pan..)
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 rugsėjo 5
    Sveiki,

    dėkojame už pamokėlę.

    Jūsų atveju prievado būsena "filtered" reiškia jog vykdant nmap komandą kai kurių prievadų informacija nėra pasiekiama. Jūsų atveju tai yra minėti 135, 139, 445, 1723 prievadai.

    Citata iš nmap'o "man" (daugiau informacijos):
    Filtered means that a firewall, filter, or other network obstacle is blocking the port so that Nmap cannot tell whether it is open or closed.
    Laikoma, jog geresnė praktika būtų nustatyti iptables input policy į DROP, ir tada ACCEPT'inti tik norimus prievadus.

    Šiai užduočiai rekomenduočiau CSF ugniasienę.
Norėdami palikti komentarą, turite prisijungti arba registruokis.
Dedikuoti.lt
Šiame forume rasite informaciją kaip atlikti serverio administravimą, konfigūravimą, įvairių tarnybų bei papildomų aplikacijų diegimą. Taip pat pateiksime rekomendacijų, skirtų serverių saugumui, monitoringui ir optimizavimui. Kviečiame prisijungti prie dedikuotų serverių administratorių bendruomenės, dalyvauti diskusijose ir praplėsti savo žinias serverių administravimo srityje!
© 2007 - 2023 Dedikuoti.lt forumas, visos teisės saugumos.