Dubbio nmap e /var/log

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Pandorix
Linux 2.0
Linux 2.0
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Dubbio nmap e /var/log

Messaggioda Pandorix » sab gen 14, 2006 23:01

Ciao a tutti :-)
Premetto che non ci capisco niente di iptables e di sicurezza, ho un paio di cose da chiedervi.
1- facendo un nmap sul mio pc risultano aperte alcune porte, tra cui la 37 time, la 111 rpcbind e la 113 auth. Ho installato firestarter e chiuso tutte le porte tranne quelle che mi servono e quelle 3 non sono tra queste, per quale motivo risultano aperte? E come si fa per chiuderle?
2- controllando per la prima volta /var/log/ ho trovato qualcosa come 5100 files, tra cui i vari secure, messages, cron ecc. Gli altri sono tutti files con nome samba e un indirizzo ip(tipo samba.89.34.56.117). E' normale questo? Ho 2 pc collegati in rete tramite samba.
Grazie :-)

Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware
Contatta:

Messaggioda DaNiMoTh » dom gen 15, 2006 11:50

1 - Generalmente, per chiudere una porta che non ti serve, devi "spegnere" il servizio che ci sta dietro, non proteggerti con un firewall, perche` impedira` all'esterno di vederti quelle porte, ma per te ( localhost ) saranno sempre visibili perche` il firewall non ti blocca.

Quindi: modifica /etc/inetd.conf e commenta tutto cio` che non ti serve. Inoltre, se lo commenti tutto, togli il permesso di esecuzione a /etc/rc.d/rc.inetd


2 - E` tutto normale, sono i log di samba.

Pandorix
Linux 2.0
Linux 2.0
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Messaggioda Pandorix » dom gen 15, 2006 18:03

Grazie mille :D

Però mi sorge una domanda, se le porte verso l'esterno sono chiuse dal firewall, il fatto che siano aperte all'interno, può essere un problema per quanto riguarda eventuali attacchi da fuori?

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3955
Iscritto il: lun apr 25, 2005 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggioda Paoletta » dom gen 15, 2006 20:20

Pandorix ha scritto:Grazie mille :D

Però mi sorge una domanda, se le porte verso l'esterno sono chiuse dal firewall, il fatto che siano aperte all'interno, può essere un problema per quanto riguarda eventuali attacchi da fuori?

chi "viene" da fuori dovrebbe riuscire ad impossessarsi di una macchina interna ed attaccare...cosa alquanto complicata

Pandorix
Linux 2.0
Linux 2.0
Messaggi: 148
Iscritto il: ven mar 25, 2005 0:00

Messaggioda Pandorix » lun gen 16, 2006 21:39

Ok :-)

Avatar utente
IceSlack
Linux 3.x
Linux 3.x
Messaggi: 1313
Iscritto il: dom ott 30, 2005 13:27

Messaggioda IceSlack » lun gen 16, 2006 23:52

Paoletta ha scritto:
Pandorix ha scritto:Grazie mille :D

Però mi sorge una domanda, se le porte verso l'esterno sono chiuse dal firewall, il fatto che siano aperte all'interno, può essere un problema per quanto riguarda eventuali attacchi da fuori?

chi "viene" da fuori dovrebbe riuscire ad impossessarsi di una macchina interna ed attaccare...cosa alquanto complicata


se hai un buon firewall.... :wink:

zeroday
Linux 1.0
Linux 1.0
Messaggi: 12
Iscritto il: gio ago 11, 2005 0:00
Contatta:

Messaggioda zeroday » gio feb 09, 2006 12:46

Pandorix ha scritto:Grazie mille :D

Però mi sorge una domanda, se le porte verso l'esterno sono chiuse dal firewall, il fatto che siano aperte all'interno, può essere un problema per quanto riguarda eventuali attacchi da fuori?


La macchina fa da router/gateway ?


Perche` se lo fa vuol dire che natta i computers della tua lan. Se fa nat vuol dire che ha 2 interfacce sulla tua iptables box, una esterna e una interna. E` cosi?

Beh e` molto difficile che uno riesca a prendere il controllo di uno dei computer interni,anzi e` impossibile...proprio perche` questi in teoria ~NON~ offrono servizi all`esterno e non sono port-forwardati.Se invece lo sono...beh, per questo esistono le DMZ ..altra interfaccia...e quindi separata dalla normale LAN. Poi i computers sono nattati..

Tu cosa intendi con "porte aperte all`interno" ? Se hai una rete LAN, allora devi considerare trusted solo i computers in rete locale, non dei server, i quali staranno in DMZ. Se invece non hai una lan, i tuoi attacchi del tipo: nmap localhost NON sono bloccati per il semplice fatto che l`interfaccia di loopback e` condiderata trusted !


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti