Hallo Leute, ich habe meine SuSE 9.0-Installation mal auf grc.com wegen offener Ports überprüft und dabei wurden 3 Ports als offen angezeigt: 22(ssh), 111(sunrpc) und 631(ipp) Stellen diese offenen Ports ein Sicherheitsrisiko dar? Den Paketfilter will ich erst aktivieren, wenn ich genau weiß, was ich da tue. ,-) Gruß, Frank -- ** pgp public key available from keyservers **
Hallo Frank, On Sat, Nov 08, 2003 at 12:20:00PM +0100, Frank Streitz wrote:
22(ssh), 111(sunrpc) und 631(ipp)
Stellen diese offenen Ports ein Sicherheitsrisiko dar?
Ja tun sie.
Den Paketfilter will ich erst aktivieren, wenn ich genau weiß, was ich da tue. ,-)
vor allem dann wenn du nicht genau weisst was du da tust :) IIRC sollte dir folgendes helfen. Port 22 chkconfig sshd off /etc/init.d/sshd stop Port 111 chkconfig portmap off /etc/init.d/portmap stop Port 631 in /etc/cups/cupsd.conf statt Port 631 Listen 127.0.0.1:631 verwenden. und statt Browsing On Browsing Off eintragen danach /etc/init.d/rccupsd restart was mich wundert ist dass dein Port 6000 nicht auftaucht (X) dort hift dir sonst die Option -nolisten TCP Um herauszufinden was auf deinem System los ist reicht übrigens (wenn es noch nicht kompromitiert wurde :) einer der folgenden Befehle. netstat -tulpen netstat --inet -pan lsof -i TCP -n -P lsof -i UDP -n -P Greetings Daniel -- "Zwei Dinge halte ich für unendlich: die menschliche Dummheit und das Universum. Bei Letzterem bin ich mir aber noch nicht sicher." -- Albert Einstein
Hallo Daniel, Daniel Lord meinte am 08.11.03 um 12:48:
danach /etc/init.d/rccupsd restart
Das hat nicht geklappt. Diese Datei gibt es nicht. Habe ich aber durch einen Reboot gelöst. Danach waren alle 3 Ports zu. Nochmals vielen Dank! Wäre ja auch ein Unding, wenn ich bei Windows alle Ports geschlossen hätte und bei Linux nicht. ;-)
was mich wundert ist dass dein Port 6000 nicht auftaucht (X)
Taucht leider doch auf. War nur bei der Standardsuche nicht dabei (die ging nur bis 5000). Habe den jetzt nochmal prüfen lassen und er ist offen.
dort hift dir sonst die Option -nolisten TCP
Gut, aber an welchen Befehl muß ich diese Option anhängen? An chkconfig? Gruß, Frank -- ** pgp public key available from keyservers **
Am 08.11.03 schrieb Frank Streitz:
Hallo Daniel,
Daniel Lord meinte am 08.11.03 um 12:48:
dort hift dir sonst die Option -nolisten TCP
Gut, aber an welchen Befehl muß ich diese Option anhängen? An chkconfig?
In /usr/X11R6/lib/X11/xdm/Xservers die letzte Zeile abändern nach: :0 local /usr/X11R6/bin/X :0 vt07 -nolisten tcp Falls Du KDE (kdm) oder Gnome (gdm) benutzst: Dort gibt es auch eine oder mehrere Xservers-Datei, in Du "-nolisten tcp" anfügen solltest. (Habe kein KDE installiert, deshalb kann ich es nicht nachprüfen, sorry.) Guido
Guido Laubender meinte am 08.11.03 um 16:37:
In /usr/X11R6/lib/X11/xdm/Xservers die letzte Zeile abändern nach:
:0 local /usr/X11R6/bin/X :0 vt07 -nolisten tcp
Danke, da wäre ich von selbst nie drauf gekommen!
Falls Du KDE (kdm) oder Gnome (gdm) benutzst: Dort gibt es auch eine oder mehrere Xservers-Datei, in Du "-nolisten tcp" anfügen solltest.
Ja, ich benutze KDE. Momentan habe ich noch ziemlich alle Standardeinstellungen der SuSE 9.0, bis ich mich etwas mehr eingearbeitet habe. Werde ich mal ein bischen suchen, wo sonst noch Einstellungen für X vorkommen. ;-) Gruß, Frank -- ** pgp public key available from keyservers **
Hallo Guido, Guido Laubender meinte am 08.11.03 um 16:37:
Falls Du KDE (kdm) oder Gnome (gdm) benutzst: Dort gibt es auch eine oder mehrere Xservers-Datei, in Du "-nolisten tcp" anfügen solltest. (Habe kein KDE installiert, deshalb kann ich es nicht nachprüfen, sorry.)
Ich habe noch eine Datei unter /opt/kde/share/config/kdm/ gefunden die Xservers heißt und einen ähnlichen String hat. Leider hat beides noch nichts genützt. Der Port 6000 ist noch offen. Ich habe in der Option, so wie Daniel es schrieb, TCP groß geschrieben. Wird es wirklich, so wie Du gepostet hast, klein geschrieben? Ich dachte mir nämlich, da es beim lsof-Befehl groß geschrieben wird, müßte es auch bei -nolisten groß geschrieben werden. War das ein Denkfehler? Wenn nicht, muß ich halt weiter suchen. Gruß, Frank -- ** pgp public key available from keyservers **
On Sat, 2003-11-08 at 22:07, Frank Streitz wrote:
Hallo Guido,
Guido Laubender meinte am 08.11.03 um 16:37:
Falls Du KDE (kdm) oder Gnome (gdm) benutzst: Dort gibt es auch eine oder mehrere Xservers-Datei, in Du "-nolisten tcp" anfügen solltest. (Habe kein KDE installiert, deshalb kann ich es nicht nachprüfen, sorry.)
Ich habe noch eine Datei unter /opt/kde/share/config/kdm/ gefunden die Xservers heißt und einen ähnlichen String hat. Leider hat beides noch nichts genützt. Der Port 6000 ist noch offen. Ich habe in der Option, so wie Daniel es schrieb, TCP groß geschrieben.
Nimm /etc/opt/kde3/share/config/kdm/Xservers
- die Konfiguration von kde wird unter /etc gespeichert.
Und es heisst tatsächlich "-nolisten tcp"
tail /etc/opt/kde3/share/config/kdm/Xservers
#:0 local@tty1 /usr/X11R6/bin/X vt7
# "reserve" means that the X server gets only started on request
:0 local /usr/X11R6/bin/X vt7 -nolisten tcp
:1 local reserve /usr/X11R6/bin/X :1 vt8
:2 local reserve /usr/X11R6/bin/X :2 vt9
:3 local reserve /usr/X11R6/bin/X :3 vt10
:4 local reserve /usr/X11R6/bin/X :4 vt11
:5 local reserve /usr/X11R6/bin/X :5 vt12
Gruß,
Konstantin
--
Konstantin
Konstantin Malakhanov meinte am 09.11.03 um 01:16:
Nimm /etc/opt/kde3/share/config/kdm/Xservers - die Konfiguration von kde wird unter /etc gespeichert. Und es heisst tatsächlich "-nolisten tcp"
Sorry, hat alles nichts geholfen: "tcp" jetzt kleingeschrieben und die von Dir genannte Datei bearbeitet. Port 6000 ist immer noch listening von X. Das Einzige, was komischerweise passiert ist, ist, daß ich jetzt nicht mehr automatisch einlogge, sondern nur bis zur Konsole komme und dann wie in früheren Versionen von SuSE einloggen muß, was mir gar nicht mal unangenehm wäre, wenn nur nicht in jeder Version die Schrift auf der Konsole immer kleiner würde. Dann nach startx ist alles fast normal, bis auf daß KDE etliche Fehlermeldungen rausgibt, wofür ich Wochen zum Überprüfen bräuchte. Scheint aber alles noch normal zu funktionieren. ;-) Nur dieser sch... Port ist halt immer noch offen (mit netstat -tulpen und grc.com überprüft. Ratlos, Frank -- ** pgp public key available from keyservers **
Am 09.11.03 schrieb Frank Streitz:
Konstantin Malakhanov meinte am 09.11.03 um 01:16:
Nimm /etc/opt/kde3/share/config/kdm/Xservers - die Konfiguration von kde wird unter /etc gespeichert. Und es heisst tatsächlich "-nolisten tcp"
Sorry, hat alles nichts geholfen: "tcp" jetzt kleingeschrieben und die von Dir genannte Datei bearbeitet. Port 6000 ist immer noch listening von X. Das Einzige, was komischerweise passiert ist, ist, daß ich jetzt nicht mehr automatisch einlogge, sondern nur bis zur Konsole komme und dann wie in früheren Versionen von SuSE einloggen muß, was mir gar nicht mal unangenehm wäre, wenn nur nicht in jeder Version die Schrift auf der Konsole immer kleiner würde.
Hallo Frank, so, nun sitze ich an einem Rechner mit KDE. Die Option "-nolisten tcp" steht bei mir in folgenden Dateien drin, und der Port ist geschlossen: /usr/X11R6/lib/X11/xdm/Xservers, /etc/opt/kde3/share/config/kdm/Xervers und /opt/kde3/share/config/kdm/Xervers. Schau mal, ob dies bei Dir auch in all diesen Dateien steht. Wenn nicht, einfach eintragen, in Runlevel 3 und anschließend 5 wechseln und schauen, ob der Port nun dicht ist. Guido
Guido Laubender meinte am 09.11.03 um 21:33:
Die Option "-nolisten tcp" steht bei mir in folgenden Dateien drin, und der Port ist geschlossen:
/usr/X11R6/lib/X11/xdm/Xservers, /etc/opt/kde3/share/config/kdm/Xervers und
Die beiden habe ich. Zuerst zwar mit TCP groß, dann aber auf klein geändert.
/opt/kde3/share/config/kdm/Xervers.
Die hatte ich gefunden und wieder rausgeschmissen, weil ich dachte, daß ändert nichts systemweit. :-( Ich berichte morgen, ob es geklappt hat. Danke, Frank -- ** pgp public key available from keyservers **
Guido Laubender meinte am 09.11.03 um 21:33:
Die Option "-nolisten tcp" steht bei mir in folgenden Dateien drin, und der Port ist geschlossen:
/usr/X11R6/lib/X11/xdm/Xservers, /etc/opt/kde3/share/config/kdm/Xervers und /opt/kde3/share/config/kdm/Xervers.
Das alleine hat bei mir noch nicht gereicht.
Schau mal, ob dies bei Dir auch in all diesen Dateien steht. Wenn nicht, einfach eintragen, in Runlevel 3 und anschließend 5 wechseln und schauen, ob der Port nun dicht ist.
Wenn ich aber, wie von Daniel beschrieben, im runlevel 3 "startx -- -nolisten tcp" eingebe, ist der Port endlich dicht. Vielen Dank für die Hilfe, Frank -- ** pgp public key available from keyservers **
Frank Streitz wrote:
Guido Laubender meinte am 09.11.03 um 21:33:
Die Option "-nolisten tcp" steht bei mir in folgenden Dateien drin, und der Port ist geschlossen:
/usr/X11R6/lib/X11/xdm/Xservers,
Das zeigt am Ende auch nur auf /etc/X11.... und hat die gewünschte Wirkung, wenn man mittels startx aus runlevel 3 X startet.
/etc/opt/kde3/share/config/kdm/Xervers und /opt/kde3/share/config/kdm/Xervers.
Das braucht man, wenn man gleich in Runlevel 5 durchstartet. Imho von SuSE so gemacht, weil die da ihr "Neue Sitzung starten" aus KDE heraus etwas "verfeinert" haben. Da stehen ja jetzt ein haufen reservierte Terminals für locale X-sessions drinnen.
Das alleine hat bei mir noch nicht gereicht.
Siehe meine Kommentare oben. Sind imho 2 verschiedenen Fälle. Jedenfalls habt Ihr mir in Eurer Diskussion geholfen, dass dieses "Problem" auf meiner Todo-Liste auch endlich abgehakt ist :-) [...] MfG Benn -- #250319 - http://counter.li.org
Hi Frank, Am Samstag November 8 2003 16:33 schrieb Frank Streitz:
Daniel Lord meinte am 08.11.03 um 12:48:
danach /etc/init.d/rccupsd restart
Das hat nicht geklappt. Diese Datei gibt es nicht. Habe ich aber durch einen Reboot gelöst.
/etc/init.d/cups restart geht. (Auf den rccups bin ich auch reingefallen ;) ). Helga *von den Tipps hier sehr angetan* -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo zusammen, On Sat, Nov 08, 2003 at 07:36:35PM +0100, Helga Fischer wrote:
Am Samstag November 8 2003 16:33 schrieb Frank Streitz:
Daniel Lord meinte am 08.11.03 um 12:48:
danach /etc/init.d/rccupsd restart ^^ na ja... ohne rc gehts besser :)
Das hat nicht geklappt. Diese Datei gibt es nicht. Habe ich aber durch einen Reboot gelöst.
/etc/init.d/cups restart geht. (Auf den rccups bin ich auch reingefallen ;) ).
Sorry. Was das -nolisten tcp angeht das lässt sich auch auf der Konsole eingeben :) startx -- -nolisten tcp& exit führt aus Runlevel 3 zum gewünschten Ergebnis. bzw. einen alias in die .bashrc stecken. alias sx='startx -- -nolisten tcp& exit' dann reicht ein sx und es kann graphisch los gehen. die Schriftgrösse der Konsole lässt sich übrigens über einen Eintrag in /etc/lilo.conf oder der Grub menu.lst lösen. vga = normal # passt für lilo. Grub hab ich keinen. KDE und Co auch nicht :\. Es gibt aber wenn ich mir das gerade richtig zusammengesucht habe so einige Möglichkeiten die Zeile unterzubringen :) z.B. in: /etc/opt/kde3/share/config/kdm/Xservers /etc/X11/xdm/Xservers /var/X11R6/sax/config/Xserver /var/adm/SuSEconfig/md5/etc/X11/xdm/Xservers wie gesagt ich kann das nicht testen aber schau vielleicht mal da nach ;) oder versuch es mit einem. find / -name "Xservers" Greetings Daniel -- Gefühle gibt es nicht, Frieden gibt es. Unwissenheit gibt es nicht, Wissen gibt es. Leidenschaft gibt es nicht, Gelassenheit gibt es. Den Tod gibt es nicht, die Macht gibt es. -- Auszug aus dem Jedi-Codex
Daniel Lord meinte am 09.11.03 um 19:18:
On Sat, Nov 08, 2003 at 07:36:35PM +0100, Helga Fischer wrote:
/etc/init.d/cups restart geht. (Auf den rccups bin ich auch reingefallen ;) ).
So ein Mist, die Mail habe ich gar nicht erhalten. :-(
Sorry.
Was das -nolisten tcp angeht das lässt sich auch auf der Konsole eingeben :)
startx -- -nolisten tcp& exit
Wie einfach doch das Leben sein kann. ;-)
führt aus Runlevel 3 zum gewünschten Ergebnis. bzw. einen alias in die .bashrc stecken.
alias sx='startx -- -nolisten tcp& exit'
Noch besser. Werde ich machen.
dann reicht ein sx und es kann graphisch los gehen.
die Schriftgrösse der Konsole lässt sich übrigens über einen Eintrag in /etc/lilo.conf oder der Grub menu.lst lösen.
Ja ich habe Grub. Momentan brauche ich schon 'ne Lupe, wenn ich die Fehlermeldungen lesen will. Werde ich auch testen.
z.B. in: /etc/opt/kde3/share/config/kdm/Xservers /etc/X11/xdm/Xservers
Die beiden habe ich gefunden.
/var/X11R6/sax/config/Xserver /var/adm/SuSEconfig/md5/etc/X11/xdm/Xservers
Wenn ich / im MC als Beginn der Suche angegeben habe, ist er abgestürzt. War ihm wohl zuviel. Unter /usr habe ich noch ein paar Sachen gefunden. Waren aber wohl keine systemweiten Dateien. Auf die Idee in /var zu suchen, bin ich leider nicht gekommen, weil ich da keine Config-Dateien vermutet habe.
wie gesagt ich kann das nicht testen aber schau vielleicht mal da nach ;) oder versuch es mit einem.
find / -name "Xservers"
Ja, das klappt bestimmt besser. Der MC arbeitet mit grep, und da ich nur nach X* gesucht habe, hat es ewig gedauert. ;-) Ich werde morgen berichten, ob ich diesen mistigen Port endlich dicht gekriegt habe! Erstmal soweit vielen Dank! Gruß, Frank BTW: Kriegt ihr auch Bounces von Leuten, die die Liste unter gefakten Namen abomiert haben, oder Eure Domain auf der Blacklist stehen haben? -- ** pgp public key available from keyservers **
Daniel Lord meinte am 09.11.03 um 19:18:
Was das -nolisten tcp angeht das lässt sich auch auf der Konsole eingeben :)
startx -- -nolisten tcp& exit
Als User eingeben bin ich dadurch wieder ausgeloggt. ;-) Als root eingegeben hat es zwar geklappt, aber ich habe dann auch einen KDE für root gestartet.
führt aus Runlevel 3 zum gewünschten Ergebnis.
Wenn ich aber nur startx -- -nolisten tcp eingebe, dann klappt es und der Port ist dicht (zusammen mit den Einträgen in den Xservers-Dateien).
bzw. einen alias in die .bashrc stecken. alias sx='startx -- -nolisten tcp& exit'
dann reicht ein sx und es kann graphisch los gehen.
Leider nicht, aber das lies auch das Verhalten auf der Konsole schon vermuten. Aber auch, wenn ich das "& exit" weglasse, startet er nicht mit sx.
die Schriftgrösse der Konsole lässt sich übrigens über einen Eintrag in /etc/lilo.conf oder der Grub menu.lst lösen.
Leider war in der Datei selbst nichts dokumentiert für diesen Zweck. Ich muß halt noch in den Dokumentationen suchen. Aber wenigstens habe ich jetzt eien Ansatzpunkt.
/etc/opt/kde3/share/config/kdm/Xservers /etc/X11/xdm/Xservers
plus: /opt/kde3/share/config/kdm/Xservers
/var/X11R6/sax/config/Xserver /var/adm/SuSEconfig/md5/etc/X11/xdm/Xservers
Die beiden Einträge sind nicht mehr nötig.
wie gesagt ich kann das nicht testen aber schau vielleicht mal da nach ;)
Klappt ja jetzt erstmal, daß die Ports dicht sind. Vielen Dank für Deine Hilfe! Gruß, Frank -- ** pgp public key available from keyservers **
participants (6)
-
Bernd Schmelter
-
Daniel Lord
-
fstreitz@gmx.de
-
Guido Laubender
-
Helga Fischer
-
Konstantin Malakhanov