LINUX.ORG.RU

Безопасности компьютера


0

0

Fedora 9

Зашел на сайт 2ip.ru
Выполнил "Проверка безопасности вашего компьютера" и получил:


Port 21 (ftp)
FTP Server
Обычно используется FTP сервером.

Port 80 (www)
Web Server
Обычно используется Web сервером.


Количество открытых портов в вашей системе: 2
Настоятельно рекомендуется закрыть вышеуказанные порты !!!


Как их закрыть?

В Межсетевом экране они не установлены как доверительные.
Может в SELinux что-то надо менять, но где и что?

★★

Вот мой /etc/sysconfig/iptables


# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp+ -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 123 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 6543 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 6544 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i ppp+ -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Gooddy ★★
() автор топика

А ты уверен, что эти дятлы проверяли _твой_ IP-адрес, а не IP-адрес сервера твоего провайдера, который прикрыл тебя NAT'ом? :-) Потому как еслиу тебя линукс, то без файрвола в настроке по умолчанию, был бы открыт еще и SSH.

no-dashi ★★★★★
()
Ответ на: комментарий от Gooddy

И да, подтверждаю свое предположение - на твоем компе в твоей настройке файрвола SSH открыт. И еще, за такие настройки надо убивать.

no-dashi ★★★★★
()
Ответ на: комментарий от Gooddy

А что вам не нравится в моих настройках? Вроде-бы кроме настроек для работы SAMBA я ничего не добавлял!

Gooddy ★★
() автор топика

а если у меня в реале апач запущен - то это мега-дыра в системе? ёпта.. ужас то какой.

Komintern ★★★★★
()

Вы для начала решите, нужны ли вам вышеуказанные сервисы (HTTP-сервер и FTP-сервер) или нет. Если нет, то просто отрубите их.

Посмотреть какие у вас порты открыты можно командой sudo netstat -tupl

Это будет более достоверно. там же будут и имена процессов и адреса на которых они слушают.

И ещё момент. Не факт что ваша машина напрямую доступна из инетрнета (как уже говорили выше про NAT) + сам пров может резать некоторые порты (например у меня режутся нетбиос порты, может что-то ещё)

Nao ★★★★★
()
Ответ на: комментарий от Gooddy

> Он открыт - 22 порт.

Я блин тебе и говорю - у тебя порт открыт, демон почти наверняка запущен, а "мегасканер для труЪ клухаксоров" этого не показывает. Это означает, что он сканирет НЕ ТВОЙ АДРЕС. Ясно?

Сравни то, что сервер тебе говорит про IP-адрес с выводом ifconfig, блин. И почитай про NAT и transparent proxy

no-dashi ★★★★★
()

 netstat -ln -tcp. Ненужное убирайте из /etc/rc.d/rc.x.

tux2002
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.