O OpenBSD possui portas abertas na instalação padrão

3

Eu estive pensando em substituir o Ubuntu pelo OpenBSD para melhorar a segurança no meu servidor local. Eu preciso ter acesso ssh a ele, e eu também preciso dele para servir conteúdo web estático - então as únicas portas que eu preciso abrir são 22 e 80.

No entanto, quando eu examino o servidor em busca de portas abertas depois de instalar o OpenBSD 4.8, e habilitando o ssh e http em /etc/rc.conf

httpd_flags=""
sshd_flags=""

Eu descobri que ele tinha várias outras portas abertas:

Port Scan has started…

Port Scanning host: 192.168.56.102

     Open TCP Port:     13          daytime
     Open TCP Port:     22          ssh
     Open TCP Port:     37          time
     Open TCP Port:     80          http
     Open TCP Port:     113         ident

ssh (22) e http (80) devem estar abertos quando eu habilitar o httpd e o sshd, mas por que as outras portas estão abertas e devo me preocupar com elas criando vulnerabilidades de segurança adicionais? Eles devem ser abertos em uma instalação padrão?

    
por dzhelil 09.01.2011 / 21:59

3 respostas

4

Daytime e Tempo e o que eu consideraria protocolos" legados ". Meu palpite é que eles estão incluídos na configuração padrão para a integridade tradicional no estilo UNIX. Eles são iniciados pelo inetd e, a menos que você precise desses serviços (você provavelmente não precisa, se tiver que perguntar), você pode desabilitá-los, comentando as linhas relevantes em seu /etc/inetd.conf ( veja a página do manual .

#ident           stream  tcp     nowait  _identd /usr/libexec/identd     identd -el
#ident           stream  tcp6    nowait  _identd /usr/libexec/identd     identd -el
#daytime        stream  tcp     nowait  root    internal
#daytime        stream  tcp6    nowait  root    internal
#time           stream  tcp     nowait  root    internal
#time           stream  tcp6    nowait  root    internal

kill -HUP 'cat /var/run/inetd.pid'
    
por 09.01.2011 / 23:43
3

Dado que pf é habilitado por padrão, você pode fazer seu pf.conf usar o método default deny . Suponha que sua interface seja fxp0 , esse é um bom conjunto inicial de regras.

set skip on lo0

block in  fxp0
block out fxp0

pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state

pass in on fxp0 proto tcp from any to (fxp0) {22 80}
    
por 10.01.2011 / 05:10
1

Esta pergunta tem três anos, mas eu sinto que deve ser respondida: eles não estão abertos na instalação padrão; pelo menos, não mais.

Uma varredura de portas em uma instalação básica do OpenBSD 5.5 mostra apenas ssh:

Port Scan has started…

Port Scanning host: 192.168.1.29

     Open TCP Port:     22          ssh
Port Scan has completed…

Ativar o httpd e desativar o pf com pfctl -d mostra apenas ssh e http:

Port Scan has started…

Port Scanning host: 192.168.1.29

     Open TCP Port:     22          ssh
     Open TCP Port:     80          http
Port Scan has completed…

Isso não quer dizer que eles nunca foram abertos, eles estavam em versões anteriores. Seja ou não uma vulnerabilidade, depende do usuário. A realidade é que eles são daemons muito simples que imagino que seriam difíceis de explorar. Mais respostas here .

    
por 30.09.2014 / 14:58