Ein wichtiger Teil der Absicherung eines Linux-Systems besteht darin, unbenutzte Ports zu sperren, um zu verhindern, dass sie von Angreifern angegriffen und schließlich entführt werden.

Linux-Systeme sind als Server konzipiert, so dass Angreifer versuchen würden, ein kompromittiertes System auf diese Weise zu verwenden, selbst wenn dieses System als Desktop eingerichtet wurde.

Durch die Verwendung von Tools wie NMAP können Sie herausfinden, welche Ports auf Ihrem Linux-System geöffnet sind, unerwünschte und nicht verwendete Dienste stoppen und möglicherweise diese Ports mit iptables schließen.

Installieren Sie NMAP

Zuerst müssen Sie NMAP installieren. Es ist ein bekanntes und respektiertes Sicherheitstool, das in fast allen offiziellen Repositories der Distribution verfügbar ist. Um es auf Ubuntu zu installieren, führe Folgendes aus.

 sudo apt installiert nmap 

Führen Sie einen Scan durch

Obwohl NMAP ein so einfaches Befehlszeilenprogramm ist, bietet es zahlreiche Optionen, um unter verschiedenen Umständen eine Vielzahl verschiedener Scans durchzuführen. Sie werden nicht alle dafür brauchen, aber es könnte sich lohnen, in Ihrem eigenen Netzwerk zu Lernzwecken zu experimentieren.

Alles, was Sie hier tun müssen, ist ein einfacher Scan Ihres eigenen Computers. NMAP durchsucht die gängigsten Ports auf Ihrem Computer und zeigt an, welche geöffnet und verwendet werden.

Um Ihren Computer zu scannen, benötigen Sie seine IP-Adresse. Wenn Sie es nicht wissen, führen Sie ifconfig in einem Terminal aus, um es zu finden.

Sobald Sie die IP-Adresse Ihres Computers haben, können Sie damit mit NMAP scannen.

 sudo nmap -sS -O 192.168.1.100 

Ersetzen Sie die IP Ihres Computers in den Befehl. NMAP dauert einige Sekunden, während es Ihren Computer scannt. Es zeigt Ihnen, welche Dienste auf welchen Ports ausgeführt werden und ob diese Ports geöffnet sind. (Sie werden alle offen sein.) Es wird auch versuchen, Ihnen zu sagen, welcher Dienst diesen Port benutzt. Das ist eine sehr wichtige Information. Notieren Sie es, wenn NMAP den Dienst finden kann.

Wenn Sie weitere Informationen zu Ihrem Computer von NMAP erhalten möchten, versuchen Sie es mit dem Flag -A, um es aggressiv zu scannen.

 sudo nmap -A 192.168.1.100 

Sie werden eine Tonne mehr Informationen sehen, von denen die meisten Sie wirklich nicht brauchen werden, es sei denn, Sie sehen etwas, das möglicherweise verdächtig ist.

Schließlich, wenn Sie super paranoid sein wollen, können Sie jeden Port auf Ihrem Computer scannen. Es wird lange dauern. Es gibt Tausende von ihnen.

 sudo nmap -sS -O -p- 192.168.1.100 

Häfen

Werfen Sie einen Blick auf die offenen Ports, die NMAP entdeckt hat. Weißt du, was sie alle sind? Benutzt du sie alle regelmäßig? Wenn Sie beide Fragen mit "Nein" beantwortet haben, ist es eine Untersuchung wert.

Erstens behandeln Ubuntu und andere Debian-basierte Distributionen Dienste auf eine seltsame Art und Weise. Sie starten jedes Programm, das als Dienst ausgeführt wird, automatisch, sobald es installiert ist. Das mag zwar praktisch erscheinen, macht aber keinen Sinn. Sie werden niemals einen nicht konfigurierten Dienst auf einem Server ausführen wollen, daher müssen Sie den Dienst sofort herunterfahren, um ihn trotzdem für die normale Verwendung zu konfigurieren.

Es erzeugt auch ein Problem mit "Phantom" -Diensten, die ohne das Wissen des Besitzers laufen. Paketmanager ziehen bei der Installation eines Programms viele Abhängigkeiten ein. Die meiste Zeit lesen Sie nicht alle durch, besonders wenn Sie in Eile sind. Das bedeutet, dass Sie Dienste ohne Ihr Wissen oder Ihre Zustimmung auf Ihrem Computer im Hintergrund ausführen können. Dies kann die Ursache für unbekannte offene Ports sein, die Sie entdeckt haben.

Hier sind einige der am häufigsten verwendeten Ports auf Linux-Systemen:

  • 21 - FTP
  • 22 - SSH
  • 25 - SMTP (E-Mail senden)
  • 53 - DNS (Domain Name Service)
  • 80 - HTTP (Webserver)
  • 110 - POP3 (E-Mail-Posteingang)
  • 123 - NTP (Netzwerkzeitprotokoll)
  • 143 - IMAP (E-Mail-Posteingang)
  • 443 - HTTPS (sicherer Webserver)
  • 465 - SMTPS (sichere Email senden)
  • 631 - CUPS (Druckserver)
  • 993 - IMAPS (sicherer E-Mail-Posteingang)
  • 995 - POP3 (sicherer E-Mail-Posteingang)

Es gibt natürlich noch mehr, und wenn Sie etwas ganz Außergewöhnliches finden, suchen Sie online nach. Wenn Sie eines dieser Programme ausführen, wenn Sie diesen Dienst nicht absichtlich ausführen, fahren Sie es herunter.

Herunterfahren von Diensten

Sie haben also ein paar unerwünschte Dienste auf Ihrem Computer entdeckt. Das ist keine große Sache. Sie können Systemd verwenden, um sie herunterzufahren und zu deaktivieren, damit sie beim nächsten Start des Computers nicht beim Start ausgeführt werden.

 sudo systemctl stop apache2 

Der obige Befehl stoppt den Apache2-Webserver. Wenn Sie es beim Start deaktivieren möchten, führen Sie den nächsten Befehl aus.

 sudo systemctl deaktiviert apache2 

Tun Sie das für jeden Dienst, den Sie nicht ausführen können. Wenn Sie Schwierigkeiten haben, den genauen Namen des Dienstes herauszufinden, können Sie auflisten, was sich im Dienstverzeichnis befindet.

 sudo ls -lah /etc/init.d 

Blockieren Sie Ports mit Iptables

Wenn Sie die Dinge noch einen Schritt weiter gehen und die Ports sperren möchten, die Sie nicht verwenden, können Sie Regeln in der iptables-Firewall einrichten, um nur die verwendeten Ports zuzulassen und allen anderen Verkehr zu blockieren.

Das ist ein ganz eigener Prozess, der, wenn Sie nicht vertraut sind, einige Zeit in Anspruch nehmen wird. Um mehr über die Sicherung Ihres Linux-Desktops mit iptables zu erfahren, lesen Sie unseren Artikel zu diesem Thema.

Wenn etwas falsch aussieht

Sie sind vielleicht auf etwas wirklich Verdächtiges gestoßen. Es passiert. Manchmal ist es nichts, worüber man sich Sorgen machen muss, manchmal kann es auch anders sein. Um sicherzustellen, dass Ihr Computer dadurch nicht beschädigt wird oder etwas dagegen unternommen wird, müssen Sie Ihren Computer auf Viren und Rootkits überprüfen.

Bevor Sie an dieser Möglichkeit zweifeln, können Linux-Rechner mit Malware infiziert werden. Um zu erfahren, wie Sie Ihren Computer scannen, werfen Sie einen Blick auf unseren Linux-Malware-Leitfaden.

Vorwärts gehen

Unabhängig davon, was die Ergebnisse Ihrer Scans waren, sollten Sie Ihren Computer regelmäßig mit NMAP überprüfen, um festzustellen, ob etwas verdächtig oder einfach unerwünscht ist. Denken Sie daran, dass unerwünschte Dienste auch eine potentielle Angriffsfläche für potentielle Eindringlinge darstellen. Eine schlanke Maschine ist eine sicherere Maschine.