Открыты порты 6000, 111. Как их закрыть?

freeze
13 лет, 5 месяцев назад
Темы: 11
Сообщения: 52
Участник с: 24 февраля 2009
Просканил себя nmap'ом (localhost), открыты порты 6000, 111, первый X11, второй rpcbind. Как их закрыть? iptables?
necrotigr
13 лет, 5 месяцев назад
Темы: 0
Сообщения: 14
Участник с: 31 января 2009
Эти порты закрывать не стоит, они служат для обеспечения межпроцессного взаимодействия.
lord3d
13 лет, 5 месяцев назад
Темы: 2
Сообщения: 62
Участник с: 03 марта 2009
Странно… думаю X11 установлена у всех

[[email protected] ~]$ nmap -p 1-65535 localhost
Starting Nmap 4.76 ( http://nmap.org ) at 2009-03-16 19:38 MSK
Interesting ports on epox-a643200.home.ru (127.0.0.1):
Not shown: 65534 closed ports
PORT      STATE SERVICE
41811/tcp open  unknown
Nmap done: 1 IP address (1 host up) scanned in 1.40 seconds

41811 - это мой порт для отдачи торрентов
muu
13 лет, 5 месяцев назад
Темы: 8
Сообщения: 476
Участник с: 16 ноября 2008
Иксы имеют параметр запуска ‘-nolisten tcp’. Не знаю только, используется он по умолчанию или это надо настраивать…

И, имхо, закрыть эти порты от внешних подключений все-таки нужно. Да и вообще, iptables использовать далеко не вредно. :)
necrotigr
13 лет, 5 месяцев назад
Темы: 0
Сообщения: 14
Участник с: 31 января 2009
Muu
Иксы имеют параметр запуска ‘-nolisten tcp’. Не знаю только, используется он по умолчанию или это надо настраивать…
По умолчанию скрипт startx запускает xinit с ‘-nolisten tcp’. Но, если запускать просто xinit без этого параметра, доступ к X-сессии контролируется через утилиту xhost, которая по умолчанию разрешает доступ только клиентам, включенным в её список доступа.
zsv
13 лет, 5 месяцев назад
Темы: 1
Сообщения: 7
Участник с: 28 сентября 2008
У меня в XFCE fam открывал rpcbind, заменил его на gamin. А для 6000 - nolisten tcp
muu
13 лет, 5 месяцев назад
Темы: 8
Сообщения: 476
Участник с: 16 ноября 2008
necrotigr
Но, если запускать просто xinit без этого параметра, доступ к X-сессии контролируется через утилиту xhost, которая по умолчанию разрешает доступ только клиентам, включенным в её список доступа.
Ок, доступ злоумышленнику предоставлен не будет. Но соответствующий порт в этом случае все равно наружу светится, что позволяет вооруженному nmap'ом негодяю точнее определить целевую ОС и, возможно, даже версию иксов (не проверял), а значит - более успешно искать непропатченные уязвимости и т.п..

Паранойя, конечно, но прикрыть эти порты от внешних подключений все равно не помешает.
necrotigr
13 лет, 5 месяцев назад
Темы: 0
Сообщения: 14
Участник с: 31 января 2009
Muu
Но соответствующий порт в этом случае все равно наружу светится, что позволяет вооруженному nmap'ом негодяю точнее определить целевую ОС
Логично, если есть X11 - значит какая-то Linux/FreeBSD :) Однако этот самый злоумышленник с тем же успехом может определить систему через nmap -O.
Muu
Паранойя, конечно, но прикрыть эти порты от внешних подключений все равно не помешает.
Это да, от внешних - не помешает.
exire
13 лет, 5 месяцев назад
Темы: 5
Сообщения: 181
Участник с: 25 ноября 2006
necrotigr
Логично, если есть X11 - значит какая-то Linux/FreeBSD :)
С чего это вдруг? У меня Иксы есть и на MacOS X, и на Винде.
muu
13 лет, 5 месяцев назад
Темы: 8
Сообщения: 476
Участник с: 16 ноября 2008
necrotigr
Однако этот самый злоумышленник с тем же успехом может определить систему через nmap -O.
Угу, вот только при отсутствии открытых портов nmap -O вряд ли покажет что-то внятное.

eXire
С чего это вдруг? У меня Иксы есть и на MacOS X, и на Винде.
Мсье знает толк в извращениях. Правда, и Макось и Винда вроде как имеют кучу собственных отличительных признаков.
 
Зарегистрироваться или войдите чтобы оставить сообщение.

© 2006-2022, Русскоязычное сообщество Arch Linux.
Название и логотип Arch Linux ™ являются признанными торговыми марками.
Linux ® — зарегистрированная торговая марка Linus Torvalds и LMI.