En stor del av å sikre et Linux-system er å låse ned ubrukte porter for å hindre dem i å bli tilgang til og i siste instans kapret av angripere.

Linux-systemer er bygget for å være servere, så angripere ville forsøke å bruke et kompromittert system på den måten, selv om systemet ble satt opp til å være et skrivebord.

Gjennom bruk av verktøy som NMAP, kan du finne ut hvilke porter som er åpne på Linux-systemet, stoppe uønskede og ubrukte tjenester, og muligens lukke disse porter med iptables.

Installer NMAP

Først må du installere NMAP. Det er et velkjent og respektert sikkerhetsverktøy, så det er tilgjengelig i omtrent alle distribusjonens offisielle arkiver. For å installere den på Ubuntu, kjør følgende.

 sudo apt installer nmap

Utfør en skanning

Til tross for å være et så enkelt kommandolinjeverktøy, har NMAP tonnevis av muligheter for å utføre en rekke forskjellige skanninger under varierende omstendigheter. Du kommer ikke til å trenge dem alle for dette, men de kan være verdt å eksperimentere med på ditt eget nettverk for læringsformål.

Alt du trenger å gjøre her er å utføre en enkel skanning av din egen datamaskin. NMAP vil søke gjennom de vanligste porter på datamaskinen din og se hvilke som er åpne og i bruk.

For å skanne datamaskinen trenger du sin IP-adresse. Hvis du ikke vet det, kjør ifconfig i en terminal for å finne den.

Når du har datamaskinens IP, kan du bruke den til å skanne med NMAP.

 sudo nmap-sS-O 192.168.1.100

Erstatt datamaskinens IP i kommandoen. NMAP tar noen sekunder mens den skanner datamaskinen din, den viser hvilke tjenester som kjører på hvilke porter og hvorvidt de er åpne. (De vil alle være åpne.) Det vil også prøve å fortelle deg hvilken tjeneste som bruker den porten. Det er en veldig viktig del av informasjonen. Legg merke til det hvis NMAP kan oppdage tjenesten.

Hvis du vil ha mer informasjon om datamaskinen din fra NMAP, kan du prøve å bruke -A flagg for å aggressivt skanne den.

 sudo nmap -A 192.168.1.100

Du får se mer informasjon, hvorav det meste du ikke trenger, med mindre du ser noe potensielt mistenksom.

Til slutt, hvis du vil være super paranoid, kan du skanne hver port på datamaskinen. Det vil ta lang tid. Det er tusenvis av dem.

 sudo nmap-sS-O-p-192.168.1.100

porter

Ta en titt på de åpne porter som NMAP oppdaget. Vet du hva de alle er? Bruker du alle dem regelmessig? Hvis du svarte "Nei" til enten spørsmål, er det verdt å undersøke.

For det første håndterer Ubuntu og andre Debian-baserte distribusjoner tjenester på en merkelig måte. De starter hvert program som kjører som en tjeneste automatisk så snart den er installert. Selv om det kan virke praktisk, er det ikke fornuftig. Du kommer aldri til å kjøre en ukonfigurert tjeneste på en server, så du må ta tjenesten ned umiddelbart for å konfigurere den til vanlig bruk uansett.

Det skaper også et problem med "phantom" -tjenester som kjører uten eierens kunnskap. Pakkeforvaltere trekker inn mengder avhengigheter når de installerer et program. Mesteparten av tiden leser du ikke dem alle, spesielt hvis du er i rush. Det betyr at du kan få tjenester som kjører i bakgrunnen på datamaskinen uten din kunnskap eller samtykke. Det kan være årsaken til ukjente åpne porter som du oppdaget.

Her er noen av de vanligste porter som brukes på Linux-systemer:

  • 21 - FTP
  • 22 - SSH
  • 25 - SMTP (sende e-post)
  • 53 - DNS (domenenavnstjeneste)
  • 80 - HTTP (webserver)
  • 110 - POP3 (e-post innboks)
  • 123 - NTP (Network Time Protocol)
  • 143 - IMAP (e-post innboks)
  • 443 - HTTPS (sikker webserver)
  • 465 - SMTPS (send sikker e-post)
  • 631 - CUPS (utskriftsserver)
  • 993 - IMAPS (sikker e-post innboks)
  • 995 - POP3 (sikker e-post innboks)

Det er mer selvsagt, og hvis du finner en helt utenom det vanlige, ser du det på nettet. Hvis du finner noen av disse som kjører når du ikke forsettlig kjører den tjenesten, må du slå den ned.

Stenging av tjenester

Så du har avdekket et par uønskede tjenester som kjører på datamaskinen din. Det er ikke en stor sak. Du kan bruke Systemd til å slå dem ned og deaktivere dem slik at de ikke kjører ved oppstart neste gang du starter opp datamaskinen.

 sudo systemctl stopp apache2

Kommandoen ovenfor stopper apache2 webserveren. Deretter, hvis du vil deaktivere den ved oppstart, kjør neste kommando.

 sudo systemctl deaktiver apache2

Gjør det for hver tjeneste du forhindrer i å kjøre. Hvis du har det vanskelig å finne ut det eksakte navnet på tjenesten, kan du oppgi hva som er i tjenestekatalogen.

 sudo ls -lah /etc/init.d

Block Ports With Iptables

Hvis du vil ta ting et skritt videre og låse ned portene du ikke bruker, kan du sette opp regler i iptables-brannmuren for å tillate bare de portene du bruker og blokkere all annen trafikk.

Det er en helt egen prosess, som hvis du ikke er kjent, vil ta litt tid. Hvis du vil vite mer om å sikre ditt Linux-skrivebord med iptables, sjekk ut artikkelen vår om emnet.

Hvis noe ser feil ut

Du har kanskje snublet på noe virkelig mistenkelig. Det skjer. Noen ganger er det ingenting å være bekymret for, andre ganger kan det være. For å være sikker på at det ikke er noe som vil skade datamaskinen din eller gjøre noe om det, må du skanne datamaskinen for virus og rootkits.

Før du tviler på muligheten, kan Linux-maskiner bli smittet med skadelig programvare. Hvis du vil vite hvordan du skanner maskinen, kan du gå gjennom vår malwareguide for Linux.

Går fremover

Uansett hva resultatene av dine søk var, bør du sjekke datamaskinen regelmessig med NMAP for å se om det er noe mistenkelig eller bare uønsket kjøring. Husk at uønskede tjenester også er en potensiell angrepsoverflate for ville være inntrengere. En mager maskin er en sikrere maskin.