Forum Linux.général Mes ports ouverts

Posté par elloco (site web personnel) le 17 février 2005 à 19:15.

Étiquettes :

fév.

2005

Salut,

je cherche quelques explications ;
je suis en debian sarge et j'ai scanné mes ports :

PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp
712/tcp open unknown

mais je ne sais pas trop à quoi ça correspond, si je peux les fermer, comment les fermer et tout ça ?
Il y a juste ssh que je sais et que je souhaite laisser ouvert mais pour les autres ?
j'avais lu que rpcbind était dangereux, qu'en est-il ?

merci

# lsof is your friend!

Posté par calandoa le 17 février 2005 à 20:16. Évalué à 1.

Le port 631 devrait correspondre à cupsd.

Pour savoir par quoi sont ouvert les autres ports, fait un « lsof » (list open files) puis une recherche sur le numéro du port.
- [^] # netstat is your friend!
  
  Posté par free2.org le 17 février 2005 à 20:40. Évalué à 4.
  
  plus simple que que lsof, je te recommande de taper en root:
  netstat -alpe
  
  seules les première lignes concernent les ports TCP/UDP dont tu parles (domaine INTERNET)
  
  certains démons peuvent être utiles en local et inutiles à distance, alors je te recommande de les protéger avec iptables
  
  essaye de ne plus lancer au boot ceux qui te sont completement inutiles (renseigne toi bien avant, surtout si la machine est utilisée à distance)
  regarde dans /etc/rcS.d/ et surtout dans /etc/rc2.d/
  et dans /etc/inetd.conf
  
  dans la plupart des cas, si un démon te manque après le boot, tu peux le lancer en tapant:
  /etc/init.d/nom_démon start
  - [^] # Re: netstat is your friend!
    
    Posté par Uvoguine le 18 février 2005 à 00:07. Évalué à 2.
    
    plus simple que que lsof, je te recommande de taper en root:
    netstat -alpe
    
    seules les première lignes concernent les ports TCP/UDP dont tu parles (domaine INTERNET)
    
    Pour avoir justes ces lignes, il suffit de faire
    netstat -lapute
    C'est pas très élégant, mais c'est facile à retenir ;-)
- [^] # Re: lsof is your friend!
  
  Posté par doublehp (site web personnel) le 17 février 2005 à 20:55. Évalué à 1.
  
  lsof -n est tres bien, mais pas encore parfait: le numero de port n apparait pas en clair; il est traduis a l aide de /etc/services.:
  
  il faut matter dans ce fichier le nom du port; pour moi:
  
  www 80/tcp http # WorldWideWeb HTTP
  =>
  $ lsof -n | grep www
  
  ou
  lsof -n | grep TCP
  
  attention, si ton kernel supporte le IPv6, que tu t en serve ou non, tous tes ports seront v6 ... dans l edoute, utilises
  lsof -n | grep IP sans preciser.
# Les ports ...

Posté par JJD le 17 février 2005 à 20:48. Évalué à 5.

Salut,

Voici quelques explications pour ces ports ouverts :
- 22 : comme tu l'as dit c'est SSH.

- 631 : Internet Printing Protocol (IPP). C'est le protocole d'impression utilisé par cups. Normalement, si tu n'as rien touché à la config initiale, je pense qu'il n'est ouvert qu'en local. Tu peux t'en assurer avec 'netstat -an |grep 631'. Si tu vois une ligne avec 127.0.0.1:631 tout va bien, si tu a quelque chose du genre 0.0.0.0:631, alors le serveur est ouvert. Tu peux facilement limiter les accès avec la ligne 'Listen 127.0.0.1:631' dans /etc/cups/cupsd.conf.

-113 : protocole d'authentification. Ce protocole est utilisé par certains serveurs (FTP en particulier) pour interroger le client qui ouvre une connexion sur l'identité de l'utilisateur à l'origine de l'ouverture de cette connexion : par exemple le user elloco se connecte sur un serveur FTP depuis sa machine en FTP. Le serveur FTP interroge alors la machine cliente, sur le port 113, afin de connaître le user qui a ouvert la connexion et la machine cliente répond 'elloco'. A mon avis, cela ne sert à rien. Il y a de grande chances que ce service soit géré par inetd : regarde dans /etc/inetd.conf et commente la ligne commençant par "auth"

- 111 : c'est le port utilisé par portmap, qui est comme son nom l'indique un "Port Mapper". Schématiquement, il assigne des ports TCP à des services RPC qui s'enregistre auprès de lui et renseigne les clients sur le port utilisé par un service donné. C'est sans doute portmap qui a assigné le port suivant (712)

-712 : port attribué par portmap à famd (je ne peux pas en être sûr, mais j'en mettrais ma main à couper), c'est à dire le File Alteration Monitor Daemon. famd est utilisé par les navigateurs de fichiers (comme nautilus) pour être renseigné que le contenu d'un répertoire ou un fichier ont été modifiés et raffraichir l'affichage en temps réel (sans que tu aies besoin de demander un réactualisation) -> si tu arrêtes portmap, famd ne fonctionne plus. Normalement, famd est en écoute seulement en localn sauf si tu exportes des partages NFS (il doit il y avoir "local_only = true" dans /etc/fam.conf)

De façon générale, tu peux savoir quels sont les ports à l'écoute (et sur quelles interfaces réseau), les connexions ouvertes et les programmes qui sont derrières ces connexions avec la commande "netstat -tanp"

J'espère avoir été à peu près compréhensible (j'ai eu une dure journée)

JJD
# Inetd et autres démons

Posté par Laurent Mutricy le 17 février 2005 à 20:49. Évalué à 1.

Tu peux aller voir dans ton inetd.conf pour deactiver certains services en commentant toutes les lignes que tu ne veux pas. Il y aura a priori ident d'activé (port 113)

après pour rpcbind il faut desactiver le demon sunrpc (via un petit coup d'update-rc.d ou rcconf)

pour l'ipp il faut vérifier la configuration de ton gestionnaire d'imprimante (cups à priori) pour lui dire de ne pas ouvrir de service d'impression via le protocole IPP (internet printing protocol)

et pour le unknown voir avec inetd ou faire un bon coup de lsof (avec le grep qui va bien derrière)
- [^] # Re: Inetd et autres démons
  
  Posté par elloco (site web personnel) le 17 février 2005 à 21:13. Évalué à 2.
  
  on m'a déjà conseilllé de commenté les lignes dans inetd.conf mais tout est commenté :-)
  - [^] # Re: Inetd et autres démons
    
    Posté par Ellendhel (site web personnel) le 17 février 2005 à 22:38. Évalué à 2.
    
    Il faut aussi redemarrer inetd.conf (ou le système au pire)
    
    La commande suivante peut t'y aider :
    
    # kill -HUP `cat /var/run/inetd.pid`
    
    Attention ce n'est pas une apostrophe mais un guillemet inversé (AltGr + 7).
    - [^] # Re: Inetd et autres démons
      
      Posté par free2.org le 18 février 2005 à 04:08. Évalué à 2.
      
      sous Debian, la méthode pour relancer un démon est:
      /etc/init.d/inetd restart
      
      mais inetd ne gere pas tous les démons, notamment tous les autres qui sont dans /etc/init.d/ ne sont pas gérés par lui.
# firewall

Posté par Matthieu Moy (site web personnel) le 18 février 2005 à 13:37. Évalué à 2.

Pour fermer tes ports, le plus simple est encore

http://redvip.homelinux.net/varios/netfilter/iptables-HOWTO-5.html(...)
- [^] # Re: firewall
  
  Posté par Laurent Mutricy le 25 février 2005 à 22:36. Évalué à 1.
  
  barf c'est un peut une méthode de barbare,
  le firewall sert à se proteger et pas à pallier un petit défaut de configuration.
  
  Il suffit pour resoudre le problème d'ajouter des commentaires dans des fichiers de conf et de ne pas demarer certains démons, ce qui est assez simple sous linux ( et sous tout UNIX d'ailleur).
  
  La méthode du firewall est un peut une méthode windowsien sous WP avec le sp2 :-(
  - [^] # Re: firewall
    
    Posté par Matthieu Moy (site web personnel) le 27 février 2005 à 21:34. Évalué à 3.
    
    > le firewall sert à se proteger et pas à pallier un petit défaut de
    > configuration.
    
    La méthode proposée te protège d'a peu près tout, y compris des faillles de sécuritées non patchées de n'importe quel démon qui pourrait tourner sur ta machine.
    
    La méthode « je bloque tout, et on cause après » est très bonne en terme de sécurité informatique.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.