Vienas iš pirmųjų įrenginio apsaugos žingsnių yra tikrinimas, ar nėra atvirų prievadų. Klausymo paslaugos gali būti įžanga užpuolikams, kurie gali pasinaudoti paslaugų pažeidžiamumais, kad gautų prieigą ar sutrikdytų sistemą. Klausymo paslauga arba klausymo prievadas yra atviras prievadas su programa, laukiančia kliento prisijungimo (pvz.,.g nėra FTP serverio, laukiančio FTP kliento) Nėra prasmės išlaikyti žiniatinklio serverį veikiantį, jei netarnaujate svetainei, taip pat laikyti atvirą 22 prievadą, jei nenaudojate ssh. Šioje pamokoje parodoma, kaip nuotoliniu būdu ir vietoje patikrinti, ar nėra atvirų prievadų, ir kaip juos uždaryti.

• Kaip nuotoliniu būdu patikrinti „Linux“ atidarytus prievadus naudojant „Nmap“
• Kaip vietoje patikrinti, ar „Linux“ yra atviri prievadai
• „Debian 10 Buster“ paslaugų pašalinimas
• Kaip uždaryti atvirus „Linux“ uostus naudojant UFW
• Kaip uždaryti atidarytus „Linux“ uostus naudojant „iptables“
• Susiję straipsniai

Kaip vietoje patikrinti, ar „Linux“ yra atviri prievadai

Komanda netstat yra visose kompiuterio OS (operacinėse sistemose), kad būtų galima stebėti tinklo ryšius. Ši komanda naudoja netstat, kad būtų rodomi visi klausymosi prievadai, naudojant TCP protokolą:

netstat -lt

Kur:
netstat: iškviečia programą.
-l: išvardijami klausymo prievadai.
-t: nurodo TCP protokolą.

Išvestis yra draugiška žmonėms, gerai išdėstyta stulpeliuose, kuriuose rodomas protokolas, gauti ir išsiųsti paketai, vietiniai ir nuotoliniai IP adresai bei uosto būsena.

Pakeitus UDP TCP protokolą, rezultatas, bent jau „Linux“, rodys tik atidarytus prievadus, nenurodydamas būsenos, nes priešingai nei TCP protokole, UDP protokolas yra be pilietybės.

netstat -lu

Galite vengti nurodyti protokolus ir naudoti tik parinktį -l arba -listen, kad gautumėte informacijos apie visus uostus, klausančius nepriklausomai nuo protokolo:

netstat --klausyk

Aukščiau pateiktoje parinktyje bus rodoma TCP, UDP ir „Unix“ lizdų protokolų informacija.

Visi aukščiau pateikti pavyzdžiai rodo, kaip atsispausdinti informaciją klausomuosiuose prievaduose be užmegztų ryšių. Ši komanda parodo, kaip rodyti klausymo prievadus ir užmegztus ryšius:

netstat -vatn

Kur:
netstat: iškviečia programą
-v: daugiažodiškumas
-a: rodo aktyvius ryšius.
-t: rodo TCP ryšius
-n: rodo uostus skaitine verte

Tarkime, kad sistemoje nustatėte įtartiną procesą ir norite patikrinti susijusius jo prievadus. Galite naudoti komandą lsof naudojamas atidaryti su procesais susijusius failus.

lsof -i 4 -a -p

Kitame pavyzdyje patikrinsiu procesą 19327:

lsof -i 4 -a -p 19327 m

Kur:
lsof: iškviečia programą
-aš: išvardijami failai, sąveikaujantys su internetu, parinktis 4 nurodo spausdinti tik „IPv4“ - parinktį 6 yra prieinamas „IPv6“.
-a: nurodo išvestį ANDed.
-p: nurodo norimo patikrinti proceso PID numerį.

Kaip matote, procesas yra susijęs su klausančiu smtp prievadu.

Kaip nuotoliniu būdu patikrinti, ar „Linux“ yra atviri prievadai

Jei norite aptikti nuotolinės sistemos prievadus, dažniausiai naudojamas įrankis yra „Nmap“ („Network Mapper“). Šiame pavyzdyje pavaizduotas vieno uosto nuskaitymas naudojant „Linuxhint“.com:

nmap linuxhint.com

Išvestis užsakoma 3 stulpeliuose, rodančiuose uostą, uosto būseną ir už uosto besiklausančią tarnybą.

Nerodoma: 988 uždaryti uostai
UOSO VALSTYBĖS TARNYBA
22 / tcp atviras ssh
25 / tcp atviras smtp
80 / tcp atidarykite http
161 / tcp filtruotas snmp
443 / tcp atidarykite https
1666 / tcp filtruotas „netview-aix-6“
1723 / tcp filtruotas pptp
6666 / tcp filtruotas irc
6667 / tcp filtruotas irc
6668 / tcp filtruotas irc
6669 / tcp filtruotas irc
9100 / tcp filtruotas jetdirect

Pagal numatytuosius nustatymus nmap nuskaito tik labiausiai paplitusius 1000 prievadų. Jei norite, kad nmap nuskaitytų visus paleistus uostus:

nmap -p- linuxhint.com

Prie susiję straipsniai Šios pamokos skyriuje galite rasti papildomų „Nmap“ vadovėlių, norėdami nuskaityti uostus ir taikinius su daugybe papildomų parinkčių.

„Debian 10“ buster paslaugų pašalinimas

Be ugniasienės taisyklių, kad jūsų uostai būtų blokuojami, rekomenduojama pašalinti nereikalingas paslaugas. Pagal Debian 10 Buster tai galima pasiekti naudojant apt.
Šiame pavyzdyje parodyta, kaip pašalinti „Apache 2“ paslaugą naudojant apt:

apt pašalinti apache2

Jei pageidaujate, paspauskite Y kad pašalinimas būtų baigtas.

Kaip uždaryti atvirus „Linux“ uostus naudojant UFW

Jei radote atvirų prievadų, jums nereikia jų atidaryti. Lengviausias sprendimas yra jį uždaryti naudojant UFW (nesudėtingą užkardą)
Yra du būdai, kaip užblokuoti uostą, naudojant parinktį neigti ir su galimybe atmesti, skirtumas yra atmetimo nurodymas informuos antrąją pusę, kad ryšys buvo atmestas.

Norėdami užblokuoti 22 prievadą naudodami taisyklę neigti tiesiog bėk:

ufw paneigti 22

Norėdami užblokuoti 22 prievadą naudodami taisyklę atmesti tiesiog bėk:

22 atmesti

Ant susiję straipsniai skyriuje šios pamokos pabaigoje galite rasti gerą pamoką apie nesudėtingą užkardą.

Kaip uždaryti atidarytus „Linux“ uostus naudojant „iptables“

Nors UFW yra paprasčiausias būdas valdyti uostus, tai yra „Iptables“ sąsaja.
Šiame pavyzdyje parodyta, kaip atmesti ryšius su 22 prievadu naudojant „iptables“:

„iptables“ - „I INPUT“ -p tcp - 22 portas -j ATSISAKYKITE

Pirmiau nurodyta taisyklė nurodo atmesti visus tcp gaunamus (INPUT) ryšius su paskirties uostu (dport) 22. Jei bus atmestas šaltinis, bus pranešta, kad ryšys atmestas.

Ši taisyklė tiesiog numeta visus paketus, nepranešdama šaltiniui, kad ryšys buvo atmestas:

„iptables“ -A ĮVADAS -p tcp - 22 portas -j DROP

Tikiuosi, kad ši trumpa pamoka jums buvo naudinga. Toliau sekite „LinuxHint“, kad gautumėte papildomų „Linux“ ir tinklų naujinių ir patarimų.

Susiję straipsniai:

• Darbas su UFW (nesudėtinga užkarda)
• NMAP pagrindų pamoka
• Kaip išvardyti atvirus uostus užkardoje
• Nmap tinklo nuskaitymas
• „Zenmap“ (Nmap GUI) diegimas ir naudojimas „Ubuntu“ ir „Debian“
• Nmap: nuskaityti IP diapazonus
• Naudojant nmap scenarijus: Nmap banerio griebtuvas
• 30 Nmap pavyzdžių