Coisas sobre segurança

De MochilaWiki
Revisão de 14h46min de 15 de dezembro de 2009 por Banto Palmarino (discussão | contribs) (Nova página: Na minha máquina local vi que uma porta desconhecida estava aberta, a 111 111/tcp open rpcbind Normalmente se uma porta esta aberta é porque algum serviço esta usando… ai desl...)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegaçãoIr para pesquisar

Na minha máquina local vi que uma porta desconhecida estava aberta, a 111

111/tcp open  rpcbind 

Normalmente se uma porta esta aberta é porque algum serviço esta usando… ai desligamos pelo /etc/init.d/aplicativos stop. Ou desativo ao inicializar usando gerenciador rcconf.

Para os aplicativos que não são daemons, normalmente ficam para o gerenciamento do inetd. No debian usamos o comando update-inetd para habilitar, adicionar, desabilitar serviços que estejam rodando pelo inetd. Ficaria algo como:

# update-ined -disable imap4 

para fechar o serviço de imap4.

Não consegui fechar por daemon nem inetd. Então usei o comando fuser para me dizer quem tava usando:

root@camito:/home/banto# fuser -v 111/tcpUSER        PID ACCESS COMMAND
111/tcp:             daemon     2441 F…. portmap 

poderia matar usando o comando kill:

# kill -9 2441 

mas resolvi filtrar a porta com iptables:

# ipatbles -A INPUT -p tcp –dport 111 -j DROP 

mais ai meu kmail parou de funcionar. ai descobrir que em /etc/services existe uma lista com as portas e que aplicativo usa.

Para voltar a funcionar o kmail bastou limpar as regras do iptables:

iptables -F
iptables -t nat -F
iptables -t mangle -F 

Ai fui ver como anda a integridade do sistema, em busca vulnerabilidade, de rootkit, backdoor, sniffer e exploit scanner.

# apt-get install rkhunter
# rkhunter -c 

a única falha que ele achou foi o arquivo de configuração do sshd com permissão de acesso via root ;)

vi algumas coisas novas.. o comando abaixo é possivel saber que aplicativo está usando determinada porta

$ nmap -sV nkosi.org Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-04-23 17:38 BRT
Interesting ports on li24-188.members.linode.com (75.127.97.188):
Not shown: 1626 closed ports, 44 filtered ports
PORT    STATE SERVICE  VERSION
21/tcp  open  ftp      ProFTPD 1.3.0
25/tcp  open  smtp     Postfix smtpd
37/tcp  open  time      (32 bits)
80/tcp  open  http     Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch10 mod_ssl/2.2.3 OpenSSL/0.9.8c)
110/tcp open  pop3     Dovecot pop3d
143/tcp open  imap     Dovecot imapd
200/tcp open  ssh      OpenSSH 4.3p2 Debian 9 (protocol 1.99)
443/tcp open  ssl/http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch10 mod_ssl/2.2.3 OpenSSL/0.9.8c)
993/tcp open  ssl/imap Dovecot imapd
995/tcp open  ssl/pop3 Dovecot pop3d
Service Info: Host:  li24-188.members.linode.com; OSs: Unix, Linux

Nmap finished: 1 IP address (1 host up) scanned in 77.202 seconds