tcp:
| 0 | 0.0.0.0:80 | 0.0.0.0:* | LISTEN | 4076/apache |
| 0 | 0.0.0.0:111 | 0.0.0.0:* | LISTEN | 2155/portmap |
| 0 | 0.0.0.0:113 | 0.0.0.0:* | LISTEN | 4065/inetd |
| 0 | 0.0.0.0:738 | 0.0.0.0:* | LISTEN | 2676/rpc.statd |
udp:
| 0 | 0.0.0.0:111 | 0.0.0.0:* | 2155/portmap |
| 0 | 0.0.0.0:732 | 0.0.0.0:* | 2676/rpc.statd |
| 0 | 0.0.0.0:735 | 0.0.0.0:* | 2676/rpc.statd |
Hinter tcp port 113 verbirgt sich identd, der über inetd gestartet wird. Dies ist auch der einzigste. Mit openbsd-inetd wurde auch update-inetd installiert. Über update-inetd können andere Packete (Programme) beim installieren automatisch /etc/inetd.conf anpassen. Da ich inetd nur als Sicherheitslücke betrachte (Angreifer bekommt gültige user names des Systems), werde ich diesen deinstallieren.
Dabei werde ich auch gleich inetd durch den von mir bevorzugten xinetd ersetzen. Diesen werde ich zum starten von anderen Diensten verwenden, die ich selbst installiert habe, aber selbst nicht IP ranges einschränken können. Der Server befindet sich zwar hinter einem Router und ist durch NAT vor externen Angriffen geschützt, trotzdem sollte man die Latte so hoch wie möglich legen.
Den apache habe ich erst mal gestoppet. Werde mich mal auf die Suche machen, wie ich über dpkg/apt rausbekommen, wer alles von einem Packet abhängt.
Da ich kein nfs installiert habe, tappe ich noch im Dunkeln wer rpc und portmap verwendet. Auch sind die Ports 732, 735 und 738 nicht in /etc/services eingetragen. Eine erste Suche im Internet hat leider auch nichts ergeben.
[moved from vox]
Keine Kommentare:
Kommentar veröffentlichen