Защита сервера

0

0

Админю сервер . Выдача nmap меня не очень обрадовала.
Как обезопасить его(там часть через xinetd ходит)?Что делать с mysql?

Starting Nmap 4.76 ( http://nmap.org ) at 2008-11-03 19:43 MSK
Interesting ports on test:
Not shown: 984 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.1
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
25/tcp open smtp qmail smtpd
| SMTPcommands: EHLO xyz.com, AUTH=LOGIN CRAM-MD5 PLAIN, AUTH LOGIN CRAM-MD5 PLAIN, STARTTLS, PIPELINING, 250 8BITMIME
|_ HELP qmail home page: http://pobox.com/~djb/qmail.html
53/tcp open domain ISC BIND 9.3.4-P1
80/tcp open http Apache httpd 2.2.3 ((CentOS))
|_ HTML title: sd
106/tcp open pop3pw poppassd
110/tcp open pop3 Courier pop3d
|_ POP3 Capabilites: USER STLS IMPLEMENTATION(Courier Mail Server) UIDL PIPELINING APOP TOP LOGIN-DELAY(10)
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100024 1 716/udp status
| 100000 2 111/tcp rpcbind
|_ 100024 1 719/tcp status
143/tcp open imap Courier Imapd (released 2004)
443/tcp open ssl OpenSSL
|_ SSLv2: server still supports SSLv2
465/tcp open ssl OpenSSL
993/tcp open ssl OpenSSL
|_ SSLv2: server still supports SSLv2
995/tcp open ssl OpenSSL
|_ SSLv2: server still supports SSLv2
1720/tcp filtered H.323/Q.931
3306/tcp open mysql MySQL (unauthorized)
8443/tcp open http Apache httpd
|_ HTML title: xcsd 302 Found
Device type: general purpose|specialized|broadband router|WAP|switch|PDA
Running (JUST GUESSING) : Linux 2.6.X|2.4.X (96%), Infoblox NIOS 4.X (94%), Linksys embedded (90%), Siemens embedded (90%), QLogic embedded (90%), Sharp Linux 2.4.X (90%)
Aggressive OS guesses: Linux 2.6.9 - 2.6.20 (96%), Infoblox NIOS 4.1r5 (94%), Linux 2.6.17 - 2.6.22 (94%), Linux 2.6.17 - 2.6.25 (93%), Linux 2.6.22 - 2.6.23 (93%), Linux 2.6.24 (93%), Linux 2.6.23 (93%), Linux 2.6.22 (93%), Linux 2.6.20-1 (Fedora Core 5) (92%), Linux 2.6.5 - 2.6.9 (92%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 11 hops
Service Info: Host: localhost.localdomain; OS: Unix

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 50.50 seconds

Ссылка

←	Wine и вирусы

Wine: антивирусная проверка «на лету» своими руками

→

Ну, тут надо отдельно по каждой службе возможности или невозможности доступа, и/или условия получения оного рассматривать. (Доступ посредством xinetd тоже ограничевается).

MiracleMan ★★★★★
(03.11.08 21:51:43 MSK)

Ответ на: комментарий от MiracleMan 03.11.08 21:51:43 MSK

>Ну, тут надо отдельно по каждой службе возможности или невозможности доступа, и/или условия получения оного рассматривать. (Доступ посредством xinetd тоже ограничевается).

Мне интересно как ограничить доступ в mysql извне?а то все в нете ищу и немогу найти.

pinachet ★★★★★
(03.11.08 22:25:52 MSK) автор топика

Ответ на: комментарий от pinachet 03.11.08 22:25:52 MSK

iptables

зафильтровать порт, либо сейчас по умолчанию mysql слушает только 127.0.0.1 и или сокет.

в случае же с iptables - можно задавать исключения.

ну и естественно в самой mysql прописывать хосты user@localhost

user@192.168.1.2 а не user@%

Sylvia ★★★★★
(03.11.08 22:30:17 MSK)

Ответ на: комментарий от Sylvia 03.11.08 22:30:17 MSK

Как сделать это в my.cnf ?

просто iptables надо поострожней а то другие админа если что будут мне в рот смотреть если что случится.Надо попроще :)

pinachet ★★★★★
(03.11.08 22:43:29 MSK) автор топика

Ответ на: комментарий от pinachet 03.11.08 22:43:29 MSK

bind-address = 0.0.0.0

связывает все интерфейсы,

если поставить

bind-address = 127.0.0.1

то mysql будет недоступна извне (на самом сервере можно поставить и phpmyadmin для удобства)

через iptables

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 1.1.1.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP

первая строка разрешает доступ с локалхоста
вторая - разрешает один айпи 1.1.1.1
третья разрешает маску адресов 192.168.1.*

четвертая (последняя, обязательная) - запрет всего того что неразрешено

Sylvia ★★★★★
(03.11.08 22:54:07 MSK)

Ответ на: комментарий от pinachet 03.11.08 22:25:52 MSK

Проще, не проще.. Глянь тут, тут кое-что описано, что касается безопасности самого сервиса.. - http://www.ice2o.com/secure_mysql.php
http://dev.mysql.com/doc/refman/5.0/en/faqs-security.html

MiracleMan ★★★★★
(03.11.08 23:14:59 MSK)