Як закрити порти в Linux?

У мене є питання щодо закриття порту, я думаю, що у мене з’явились якісь дивні речі.

Коли я використовую Execute

nmap --top-ports 10 192.168.1.1

це показує, що порт 23 / TCP відкритий.

Але коли я страчу

nmap --top-ports 10 localhost

це показує, що порт 23 / tcp закритий.

Який із них правдивий? Я хочу закрити цей порт у всій своїй системі, як це зробити?

Nmap - чудовий сканер портів, але іноді потрібно щось авторитетніше. Ви можете запитати ядро, які процеси мають, які порти відкриваються, скориставшись netstatутилітою:

я @ myhost: ~ $ sudo netstat -tlnp
Активні підключення до Інтернету (лише сервери)
Proto Recv-Q Send-Q Локальна адреса Ім'я PID / Програма іноземної адреси
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1004 / dnsmasq    
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 380 / сшд        
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 822 / скл       
tcp6 0 0 ::: 22 ::: * LISTEN 380 / sshd        
tcp6 0 0 :: 1: 631 ::: * СПИСОК 822 / чаш       

Надані мені варіанти:

• -t Тільки TCP
• -l Лише прослуховування портів
• -n Не шукайте імена служб та хостів, лише показуйте номери
• -p Показати інформацію про процес (вимагає root права)

У цьому випадку ми можемо бачити, що sshdслухає на будь-якому 0.0.0.0порту 22 інтерфейсу ( ) і cupsdслухає на 127.0.0.1порту 631. Loopback ( ). На виході може відображатися telnetdлокальна адреса 192.168.1.1:23, тобто він не відповідає на з'єднання на адаптері петлі. (наприклад, ви не можете telnet 127.0.0.1).

Є й інші інструменти, які показують подібну інформацію (наприклад, lsofчи /proc), але найпоширенішим є netstat. Він працює навіть у Windows ( netstat -anb). BSD netstat дещо інший: для отримання інформації про процес вам доведеться використовувати sockstat (1) .

Коли у вас є ідентифікатор процесу та назва програми, ви можете піти на пошук процесу та вбити його, якщо хочете закрити порт. Для більш тонкого контролю можна використовувати брандмауер (iptables в Linux) для обмеження доступу лише до певних адрес. Можливо, вам буде потрібно відключити запуск служби. Якщо PID є "-" в Linux, це, ймовірно, процес ядра (це, наприклад, NFS), тож удачі дізнатися, що це таке.

Примітка. Я сказав "авторитетно", тому що вас не заважають мережеві умови та брандмауери. Якщо ви довіряєте своєму комп’ютеру, це чудово. Однак, якщо ви підозрюєте, що вас зламали, можливо, ви не зможете довіряти інструментам на своєму комп’ютері. Заміна стандартних утиліт (а іноді навіть системних викликів) на ті, які приховують певні процеси або порти (також rootkits) - це стандартна практика серед зловмисників. Ваша найкраща ставка на даний момент - зробити криміналістичну копію вашого диска та відновити з резервної копії; потім скопіюйте копію, щоб визначити, як вони потрапили, і закрийте її.

Система Linux має так званий інтерфейсний зворотний зв'язок, який призначений для внутрішньої комунікації. Його ім'я хоста localhostі його IP-адреса 127.0.0.1.

При запуску nmapна localhost, ви на самому справі запустити PortScan на віртуальному кільцевому інтерфейсі. 192.168.1.1- IP-адреса вашого фізичного (швидше за все eth0) інтерфейсу.

Таким чином, ви працюєте nmapна двох різних мережевих інтерфейсах, тому у відкритих портах є різниця. Вони обоє правдиві.

Якщо у вас відкритий порт 23 TCP, цілком ймовірно, що у вас працює telnetсервер (що не дуже добре через його відсутність шифрування) або у вас на машині якийсь троянський кінь.

Щоб "закрити" порт, який ви можете використовувати iptables

sudo iptables -A INPUT -p tcp --dport 23 -m state --state NEW,ESTABLISHED -j DROP

У цьому випадку ви nmap localhostрозповідаєте про іншу ситуацію: деякі програми на Linux працюють як сервер, хоча вони використовуються лише локально. Це відбувається тому, що інші програми використовують їх, як сервер, до якого вони підключаються. Тож обидві відповіді вірні, оскільки ви задаєте щось інше.

Порт 23 використовується для telnet. Зазвичай не використовується більше. Спробуйте зробити, nmap -sV 192.168.1.1щоб дізнатися, яка програма відкриває порт.

(192 ... - локальна мережа IP, тому результат nmap <your outside world IP>також дасть інший результат через можливі налаштування брандмауера тощо)

Якщо у вас є служба, що працює і прослуховується на порту 23, можливо, чистіше зупинити процес, який слухає порт 23 (можливо telnet), ніж тримати його запущеним і закривати або блокувати порт 23 за допомогою iptables.

Коли в порту немає жодного процесу прослуховування, навіть за відсутності блоку брандмауера, будь-яка спроба підключитися до нього повинна спричинити негайне "відмову від з'єднання" ( ECONNREFUSEDдо connect(2))

Один із способів знайти процес (і його pid), який слухає на порту 23, якщо такий процес є:

sudo lsof -i -P | grep ':23 '

У вищезазначених -iсписках відкриваються порти Інтернету (і UDP, і TCP), і -P забороняє переклад портів на імена служб (через /etc/services)

Після того, як ви знайшли запущений процес прослуховування на порту 23, ви можете зрозуміти, як його почати, переглянувши дерево процесу (з скажімо, pstree). Якщо його батьківський init(дуже ймовірно), ви можете рекурсивно шукати ім'я процесу в /etc. наприклад:

sudo grep -r telnet /etc

Це повинно привести вас до найкращого способу відключити його запуск на 1-му місці.