Hi, ich bin noch Linuxneuling und habe mich unter Windows bei solchen Fragen immer auf die Firewalls verlassen. Da die Suse Firewall aber für mich etwas weniger verständlich ist, würde ich mich gern versichern ob ich abgesichert genug bin. Folgende Ports hat das Tool nmap bzw. xnmap als offen gemeldet:

22/tcp - Service SSH
25/tcp - Service smtp
111/tcp - Service sunrpc
515/tcp - Service printer
6000/tcp -Service X11

Ich arbeite auf einem stand alone PC ohne internes Netzwerk und gehe per dynamischer Internetverbindung (also wechselnde IP) ins Internet.

Falls ich einen Port schließen muß wo und wie kann ich das tun.

Für eine Info von Euch wäre ich dankbar.

Gruß Der Surfer

[ 13. September 2002, 13:18: Beitrag editiert von: Der Surfer ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Der Surfer:

22/tcp - Service SSH
111/tcp - Service sunrpc
515/tcp - Service printer
6000/tcp -Service X11

Falls ich einen Port schließen muß wo und wie kann ich das tun.
[/QB]</font>[/QUOTE]Hi,

Die Dienste SSH und Sunrpc solltest Du auf jedenfall beenden falls Du sie nicht benötigst.

Wenn Du Suse benutzt kannst Du das über Yast bewerkstelligen. In den rc.config Einstellungen die Dienste auf no setzen. Oder die rc.config mit einem Editor Deiner Wahl öffnen und die entsprechenden Einträge bearbeiten. Soll heißen von yes auf no setzen. Abspeichern und überprüfen ob die Dienste noch mitgestartet werden.

Dienste starten und beenden

Service Printer könntest Du auch schließen. Weiß jedoch nicht inwieweit Du über Deine Distri einen Drucker ansprechen willst. Das müsste noch geklärt werden.

X kannst Du nicht so einfach schließen, da dieser Dienst von den meisten Usern benötigt wird.

Siehe auch: nmap localhost

piet

</font><blockquote>Zitat:</font><hr />Original erstellt von Der Surfer:
22/tcp - Service SSH</font>[/QUOTE]solltest du auf jeden fall abschalten:
1) es kann sein, dass das noch eine ältere version mit bugs ist (keine ahnung, welche version SuSe da beipackt
2) wenn du ein schlechtes passwort für deinen account gewählt hast, kann man das durch ausprobieren knacken.

unter suse müsstest du das kompfortabel per yast abstellen können (wenn nicht, nochmal nachfragen)

</font><blockquote>Zitat:</font><hr />25/tcp - Service smtp</font>[/QUOTE]mit yast abstellen -&gt; brauchst du nicht, wenn du zB kmail und den smtp-server deines providers für email benutzt.

</font><blockquote>Zitat:</font><hr />111/tcp - Service sunrpc</font>[/QUOTE]abstellen.

</font><blockquote>Zitat:</font><hr />515/tcp - Service printer</font>[/QUOTE]mit dem drucken hab ich mich nicht weiter beschäftigt, kannst du aber IMHO erstmal so lassen. ich würde ne firewall-regel erstellen, die diesen port (nach außen) blockt.

</font><blockquote>Zitat:</font><hr />6000/tcp -Service X11</font>[/QUOTE]schau mal in der datei /etc/X11/xdm/Xservers nach </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">:0 local /bin/nice -n -10 /usr/X11R6/bin/X -deferglyphs 16</pre>[/QUOTE]und erweitere die zeile um ein </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">-nolisten tcp</pre>[/QUOTE].cruz

[ 13. September 2002, 13:40: Beitrag editiert von: cruz ]

ich setze ein paar kenntnisse voraus, wenn dir noch was unklar sein sollte, frag ruhig nach.

.cruz

Ok, da ich ein DAU in diesen Sachen bin und SUSE 8 scheinbar alles umgebaut hat. rc.config besteht nur aus ein paar Zeilen. Die von Euch empfohlenen Einstellung lassen sich zwar unter suseFirewall2 vornehmen, sind aber auch schon so eingestellt. Suse selbst sagt "deaktivieren Sie die Firewall2 und aktivieren sie die PersonalFirewall" dies habe ich mit den Einstellungen "reject on all interfaces" getan und siehe da, alle Ports sind laut www.port-scan.de zu bzw. werden mit "kein Dienst" benannt.

Allerdings habe ich jetzt deutlich häufiger Warnmeldung in der Konsole die z.B. so aussehen:

Sep 13 15:01:10 linux kernel: IN=ippp0 OUT= MAC= SRC=217.9.58.55 DST=213.7.188.100 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=51744 DF PROTO=TCP SPT=4504 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

Kann es sein, dass da jemand einbrechen möchte und hat er, wenn die Ports lt. Port-Scan alle zu sind, eine Chance?

Sorry, dass ich Euch so nerve. Ich geb mir Mühe mein Wissen zu erweitern und auch anderen zu helfen.

Gruß Der Surfer

</font><blockquote>Zitat:</font><hr />Original erstellt von Der Surfer:
Allerdings habe ich jetzt deutlich häufiger Warnmeldung in der Konsole die z.B. so aussehen:

Sep 13 15:01:10 linux kernel: IN=ippp0 OUT= MAC= SRC=217.9.58.55 DST=213.7.188.100 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=51744 DF PROTO=TCP SPT=4504 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

Kann es sein, dass da jemand einbrechen möchte und hat er, wenn die Ports lt. Port-Scan alle zu sind, eine Chance?
[/QB]</font>[/QUOTE]Hi,

Das sind Meldungen Deiner Iptaples (also FW). Sieht imo nicht gefährlich aus.

Schau mal bei folgenden Link vorbei. Dort wird erklärt wie Du die Meldungen steuern kannst, bzw. das nur die wichtigen auf der Konsole angezeigt werden.

http://channel.debian.de/faq/ch-config.html

Ziemlich weit unten auf der Seite.

Später noch mehr, muss jetzt weg.

piet