Coisas sobre segurança
- OSSEC is an Open Source Host-based Intrusion Detection System. It performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response.
Na minha máquina local vi que uma porta desconhecida estava aberta, a 111
111/tcp open rpcbind
Normalmente se uma porta esta aberta é porque algum serviço esta usando… ai desligamos pelo /etc/init.d/aplicativos stop. Ou desativo ao inicializar usando gerenciador rcconf.
Para os aplicativos que não são daemons, normalmente ficam para o gerenciamento do inetd. No debian usamos o comando update-inetd para habilitar, adicionar, desabilitar serviços que estejam rodando pelo inetd. Ficaria algo como:
# update-ined -disable imap4
para fechar o serviço de imap4.
Não consegui fechar por daemon nem inetd. Então usei o comando fuser para me dizer quem tava usando:
root@camito:/home/banto# fuser -v 111/tcpUSER PID ACCESS COMMAND 111/tcp: daemon 2441 F…. portmap
poderia matar usando o comando kill:
# kill -9 2441
mas resolvi filtrar a porta com iptables:
# ipatbles -A INPUT -p tcp –dport 111 -j DROP
mais ai meu kmail parou de funcionar. ai descobrir que em /etc/services existe uma lista com as portas e que aplicativo usa.
Para voltar a funcionar o kmail bastou limpar as regras do iptables:
iptables -F iptables -t nat -F iptables -t mangle -F
Ai fui ver como anda a integridade do sistema, em busca vulnerabilidade, de rootkit, backdoor, sniffer e exploit scanner.
# apt-get install rkhunter # rkhunter -c
a única falha que ele achou foi o arquivo de configuração do sshd com permissão de acesso via root ;)
vi algumas coisas novas.. o comando abaixo é possivel saber que aplicativo está usando determinada porta
$ nmap -sV nkosi.org Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-04-23 17:38 BRT Interesting ports on li24-188.members.linode.com (75.127.97.188): Not shown: 1626 closed ports, 44 filtered ports PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.0 25/tcp open smtp Postfix smtpd 37/tcp open time (32 bits) 80/tcp open http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch10 mod_ssl/2.2.3 OpenSSL/0.9.8c) 110/tcp open pop3 Dovecot pop3d 143/tcp open imap Dovecot imapd 200/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 1.99) 443/tcp open ssl/http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch10 mod_ssl/2.2.3 OpenSSL/0.9.8c) 993/tcp open ssl/imap Dovecot imapd 995/tcp open ssl/pop3 Dovecot pop3d Service Info: Host: li24-188.members.linode.com; OSs: Unix, Linux
Nmap finished: 1 IP address (1 host up) scanned in 77.202 seconds