ローカルサーバーのセキュリティを向上させるために、UbuntuをOpenBSDに置き換えることを検討しています。 sshにアクセスする必要があり、静的Webコンテンツを提供するためにも必要です。したがって、開く必要があるポートは22と80だけです。
しかし、OpenBSD 4.8をインストールし、/etc/rc.conf
でsshとhttpを有効にした後、サーバーで開いているポートをスキャンすると
httpd_flags=""
sshd_flags=""
私はそれが他のいくつかの開いているポートを持っていることを発見しました:
Port Scan has started…
Port Scanning Host: 192.168.56.102
Open TCP Port: 13 daytime
Open TCP Port: 22 ssh
Open TCP Port: 37 time
Open TCP Port: 80 http
Open TCP Port: 113 ident
httpdとsshdを有効にすると、ssh(22)とhttp(80)が開いているはずですが、他のポートが開いているのはなぜですか。また、セキュリティの脆弱性が増えることを心配する必要がありますか?デフォルトのインストールで開く必要がありますか?
Daytime および Time そして私が「レガシー」プロトコルと見なすもの。私の推測では、これらは従来のUNIXスタイルの完全性のためのデフォルト構成に含まれています。それらはinetdによって開始され、これらのサービスが必要でない限り(尋ねる必要がある場合はおそらく必要ありません)、/ etc/inetdの関連する行をコメントアウトすることで無効にできます。 conf( manページ を参照)。
#ident stream tcp nowait _identd /usr/libexec/identd identd -el
#ident stream tcp6 nowait _identd /usr/libexec/identd identd -el
#daytime stream tcp nowait root internal
#daytime stream tcp6 nowait root internal
#time stream tcp nowait root internal
#time stream tcp6 nowait root internal
kill -HUP `cat /var/run/inetd.pid`
Pfがデフォルトで有効になっている場合、pf.confにdefault denyメソッドを使用させることができます。インターフェイスがfxpであると仮定すると、これは適切な開始ルールセットです。
set skip on lo0
block in fxp0
block out fxp0
pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state
pass in on fxp0 proto tcp from any to (fxp0) {22 80}
この質問は3年前のものですが、答える必要があると思います。デフォルトのインストールでは開かれていません。少なくとも、もうありません。
OpenBSD 5.5のベースインストールでのポートスキャンでは、sshのみが表示されます。
Port Scan has started…
Port Scanning Host: 192.168.1.29
Open TCP Port: 22 ssh
Port Scan has completed…
Httpdを有効にし、pfctl -d
でpfを無効にすると、sshとhttpのみが表示されます。
Port Scan has started…
Port Scanning Host: 192.168.1.29
Open TCP Port: 22 ssh
Open TCP Port: 80 http
Port Scan has completed…
それは彼らが一度も開かれたことがないということではありません、 彼らはいた 以前のリリースでは。それらが脆弱性であるかどうかはユーザー次第です。現実には、それらは非常に単純なデーモンであり、悪用するのは難しいと思います。その他の回答 ここ 。