Am si eu o nelamurire.

Despre porturile din linux.Din cate stiu eu ( nu sunt expert linux ) pentru a afla ce porturi am deschise pe un calculator care foloseste OS linux trebuie executate una din urmatoarele comenzi: netstat , iptraf . Cam asa stiu eu.Daca gresesc sa ma corectati.

Acum vreau sa va intreb asta este singura posibilitate de a vedea ce porturi sunt deschise ?

Daca te hackeaza cineva si iti instaleaza o rk de exemplu o deschide pe un port.Pot afla ce port s-a deschis ? Daca da cum ? Si cum as putea inchide acel port.

In general fac ceva experimente cu deschideri de porturi si vreau sa vad daca chiar se deschid.

Astept lamuriri.

http://www.informit.com/isapi/product_id~%...nt/articlex.asp

http://archives.mandrakelinux.com/expert/2...02/msg00942.php

http://www.netsys.com/suse-linux-security/...9-Dec/0003.html

http://www.redhat.com/docs/manuals/linux/R...rver-ports.html

Mihai eu am cerut o explicatie ... in limba romana nu documentatii ce imi dai tu aici.

Daca ar fi asa as putea si eu sa caut in google.com si sa postez aici primele 4 linkuri care apar acolo si care tin de subiect.
E cineva aici care poate sa ma lamureasca frumos ! ?

Well, nu ai spus ce distributie ai. Sunt incepator in Linux (foarte incepator ....), dar voi incerca:

Porturi: HTTP => 80, ftp => 21, telnet => 23, POP => 110, SMTP => 25, IMAP4 => 143, SSH => 22
Pe astea ar fi bine sa le lasi deschise. Astfel:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 23 -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp --dport 143 -j ACCEPT

iptables -A INPUT -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

Dupa ce in prealabil le-ai inchis pe toate ( iptables -P INPUT -j DROP )

Cu portsentry verifici daca iti scaneaza cineva porturile.
Cu $netstat -ltu verifici ce porturi sunt ascultate.
Cu socklist sau sockstat (pe bsd-uri) vezi ce porturi ai deschise.

Daca vrei, poti sa restrictionezi sa fii 'pinguit': (cu toate ca nu prea are sens)
iptables -A INPUT -s 0/0 -d $TU -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-net-unreachable

Necromanc, daca vrei sa vezi ce porturi ai deschise, fa urmatoarea treaba:
1. Iti scanezi sistemul cu nmap (scrii in consola xnmap si iti apare interfata grafica).
2. Vezi ce porturi ai deschise, te uiti ce servicii iti trebuie si ce nu, apoi lasi deschis ce ai nevoie si celelalte le inchizi sau le filtrezi,dupa caz (referitor la configurarea iptables vezi ce a scris Mihai).

E uite asa mai merge.

Acum sunt multumit !

Bafta!

Imi permit sa-ti mai dau un sfat,referitor la ce a zis anterior Mihai despre configurarea IPTABLES:

QUOTE

Porturi: HTTP => 80, ftp => 21, telnet => 23, POP => 110, SMTP => 25, IMAP4 => 143, SSH => 22 Pe astea ar fi bine sa le lasi deschise.

port 22 ssh: daca nu folosesti ssh e mai bine sa il inchizi, daca il folosesti filtreaza-l sa accepte conexiuni doar intre IP-uri specificate de tine. SSH e poarta de intrare pt. multi rau-voitori.
port 23 telnet: daca nu il folosesti iti recomand sa il inchizi.
port 21 ftp: daca nu folosesti ftp,inchide-l, daca folosesti seteaza-l sa nu accepte logari anonime.

P.S.

Verifica periodic logurile si daca gasesti conectari suspecte e mai bine sa le interzici pe viitor accesul.

P.P.S
Din punctul meu de vedere paranoia e mama securitatii ...

Da astea cu porturile telnet , ssh , ftp stiu si eu ce sa fac cu ele.
Cum ai spus tu cu logurile nu e asa usor , pentru ca daca cineva intra la tine in sistem instaleaza o rk , care singura sterge logurile , si deschide un port.De atunci nu mai ai ce face , deoarece nu il mai vezi pe respectivul cand este conectat.

Cu logurile este si mai simplu. Evident daca cineva vrea sa te hackereasca nu va reusi din prima si raman urme dupa incercarile nereusite ale lui. Rk sterge logurile, ok, dar ce ar fi sa faci un mic script care periodic (din ora in ora, zilnic sau saptamanal ... cum vrei tu) sa ia frumos logurile si sa faca o copie despre ele in alta parte. Eu am aplicat aceasta metoda la toate serverele pe care le administrez. Cateodata functioneaza, cateodata nu. Aici ma refer la faptul daca hackerul ii mai rapid decat un interval de salvare al logurilor tale solutia de mai sus ... nu mai este o solutie .
Parte cu porturile conectate intotdeauna le poti urmari cu netstat care-ti afiseaza ce porturi sunt conectate. De asemenea poti folosi si programe ca netwatcher sau iptraf.

Da , dar degeaba salvezi logurile cei care practica hack de obicei nu hackeaza de pe PCul propriu ci de pe suprafete deja hackate ( alte servere ) si cand vrei sa vezi cine e respectivul te trezesti ca este www.trafic.ro sau www.fbi.org spre exemplu cunosc situatii de genul asta si nimeni nu scaneaza de pe propriul Linux pentru ca riscurile sunt destul de mari.

Cu netstat sau iptraf nu detectezi toate porturile deschise , mai ales daca ai un server care practica webhosting.Iti dai seama cate porturi sunt deschise acolo ? Nu ai cum sa iti dai seama care e portul hackerului si care sunt serviciile oferite de fiecare pagina , si fiecare ce porturi are deschise.

ruleaza si tu un man nmap pt ca nu ii stiu atributele pe dinafara
si apoi da un nmap cu atributele de care ai nevoie pe ipul tau
intern sau extern
hai ca am aflat:
nmap -sS ip
iti face o scanare a porturilor uzuale
sunt si alte atribute care scaneaza toate porturile
pt asta recomand o doza buna de rabdare si o carte