Preverjanje odprtih vrat je med prvimi koraki za zaščito vaše naprave. Poslušalne storitve so lahko vhod za napadalce, ki lahko izkoriščajo ranljivosti storitev, da pridobijo dostop ali motijo ​​sistem. Storitev za poslušanje ali vrata za poslušanje so odprta vrata z aplikacijo, ki čaka, da se odjemalec poveže (npr.g strežnik FTP, ki čaka na odjemalca FTP) Smiselno je, da spletni strežnik deluje, če spletnega mesta ne uporabljate, niti vrata 22, če ne uporabljate ssh. Ta vadnica prikazuje, kako preveriti odprta vrata na daljavo in lokalno ter kako jih zapreti.

• Kako preveriti odprta vrata v Linuxu na daljavo z Nmap
• Kako preveriti lokalno odprta vrata v Linuxu
• Odstranjevanje storitev na Debian 10 Buster
• Kako zapreti odprta vrata v Linuxu s pomočjo UFW
• Kako zapreti odprta vrata v Linuxu s pomočjo iptables
• Povezani članki

Kako preveriti lokalno odprta vrata v Linuxu

Ukaz netstat je prisoten v vseh računalniških OS (operacijskih sistemih) za nadzor omrežnih povezav. Naslednji ukaz uporablja netstat za prikaz vseh poslušalnih vrat, ki uporabljajo protokol TCP:

netstat -lt

Kje:
netstat: pokliče program.
-l: seznam poslušalnih vrat.
-t: določa protokol TCP.

Izhod je prijazen do človeka, dobro urejen v stolpcih, ki prikazujejo protokol, prejete in poslane pakete, lokalne in oddaljene naslove IP ter stanje vrat.

Če spremenite protokol TCP za UDP, bodo rezultati, vsaj v Linuxu, prikazali samo odprta vrata brez navedbe stanja, ker je protokol UDP v nasprotju s protokolom TCP brez državljanstva.

netstat -lu

Izognite se določanju protokolov in uporabite samo možnost -l ali -listen, da dobite informacije o vseh vratih, ki poslušajo neodvisno od protokola:

netstat --listen

Zgornja možnost bo prikazala informacije za protokole vtičnic TCP, UDP in Unix.

Vsi zgornji primeri kažejo, kako natisniti informacije na vrata za poslušanje brez vzpostavljenih povezav. Naslednji ukaz prikazuje, kako prikazati vrata za poslušanje in vzpostavljene povezave:

netstat -vatn

Kje:
netstat: pokliče program
-v: besednost
-a: prikazuje aktivne povezave.
-t: prikazuje povezave tcp
-n: prikazuje vrata v številčni vrednosti

Recimo, da ste v sistemu prepoznali sumljiv postopek in želite preveriti povezana vrata z njim. Uporabite lahko ukaz tudi uporablja se za seznam odprtih datotek, povezanih s procesi.

lsof -i 4 -a -p

V naslednjem primeru bom preveril postopek 19327:

lsof -i 4 -a -p 19327

Kje:
tudi: pokliče program
-jaz: seznam datotek, ki komunicirajo z internetom, možnost 4 navodilo za tiskanje samo IPv4, opcija 6 je na voljo za IPv6.
-a: naroči, da se izhod označi z AND.
-p: določa številko PID postopka, ki ga želite preveriti.

Kot vidite, je postopek povezan s poslušnimi vrati SMTP.

Kako na daljavo preveriti odprta vrata v Linuxu

Če želite zaznati vrata v oddaljenem sistemu, je najpogosteje uporabljeno orodje Nmap (Network Mapper). Naslednji primer prikazuje skeniranje enojnih vrat proti Linuxhint.com:

nmap linuxhint.com

Izhod je razvrščen v 3 stolpce, ki prikazujejo vrata, stanje pristanišča in storitev, ki posluša za vrati.

Ni prikazano: 988 zaprtih vrat
LUŠKA DRŽAVNA STORITEV
22 / tcp odpri ssh
25 / tcp odprt smtp
80 / tcp odpri http
161 / tcp filtrirani snmp
443 / tcp odprta https
1666 / tcp filtriran netview-aix-6
1723 / tcp filtriran pptp
6666 / tcp filtrirano irc
6667 / tcp filtrirano irc
6668 / tcp filtrirano irc
6669 / tcp filtrirano irc
9100 / tcp filtrirani jetdirect

Privzeto nmap skenira najpogostejših 1000 vrat. Če želite, da nmap skenira vsa vrata, zaženite:

nmap -p- linuxhint.com

Pri povezani članki V tej vadnici lahko najdete dodatne vadnice na Nmapu za skeniranje vrat in ciljev z veliko dodatnimi možnostmi.

Odstranjevanje storitev na Debian 10 busterju

Poleg pravil požarnega zidu je priporočljivo, da vrata ostanejo blokirana, zato odstranite nepotrebne storitve. Pod Debian 10 Buster je to mogoče doseči z apt.
Naslednji primer prikazuje, kako odstraniti storitev Apache 2 s pomočjo apt:

apt odstraniti apache2

Na zahtevo pritisnite Y da končate odstranitev.

Kako zapreti odprta vrata v Linuxu s pomočjo UFW

Če najdete odprta vrata, vam ni treba odpreti, je najlažja rešitev, da jih zaprete s pomočjo UFW (nezapleteni požarni zid)
Z možnostjo lahko vrata blokirate na dva načina zanikati in z možnostjo zavrni, razlika je v tem, da bo zavrnitev obvestila drugo stran, da je bila povezava zavrnjena.

Za blokiranje vrat 22 uporabite pravilo zanikati samo zaženi:

ufw zanika 22

Za blokiranje vrat 22 uporabite pravilo zavrni samo zaženi:

ufw zavrne 22

Na povezani članki Na koncu te vadnice najdete dobro vadnico o nezapletenem požarnem zidu.

Kako zapreti odprta vrata v Linuxu s pomočjo iptables

Medtem ko je UFW najlažji način za upravljanje vrat, je predpomnilnik za Iptables.
Naslednji primer prikazuje, kako zavrniti povezave do vrat 22 z uporabo iptables:

iptables -I INPUT -p tcp --dport 22 -j ZAvrni

Zgornje pravilo nalaga zavrnitev vseh dohodnih povezav tcp (INPUT) do ciljnih vrat (dport) 22. Če bo zavrnjen, bo vir obveščen, da je bila povezava zavrnjena.

Naslednje pravilo samo spusti vse pakete, ne da bi obvestilo vir, da je bila povezava zavrnjena:

iptables -A INPUT -p tcp --dport 22 -j DROP

Upam, da vam je bila ta kratka vadnica koristna. Sledite LinuxHint za dodatne posodobitve in nasvete o Linuxu in omrežju.

Povezani članki:

• Delo z UFW (nezapleteni požarni zid)
• Vadnica za osnove NMAP
• Kako seznam odprtih vrat v požarnem zidu
• Skeniranje omrežja Nmap
• Namestitev in uporaba Zenmap (Nmap GUI) na Ubuntu in Debian
• Nmap: skeniranje obsegov IP
• Uporaba skriptov nmap: Nmap banner grab
• 30 primerov Nmap