Frage zur offen Ports [erledigt]

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Blubber27
Beiträge: 3
Registriert: 11.05.2017 22:27:30

Frage zur offen Ports [erledigt]

Beitrag von Blubber27 » 11.05.2017 22:53:10

Hallo zusammen,

bin neu hier und alles andere als ein debian crack. Ich wollte mich aber mal wieder etwas mehr mit debian beschäftigen.

Deshalb habe ich mir vor kurzem einen kleinen virtuellen Server anmietet mit dem Ziel darauf owncloud zu installieren.

Hierzu habe ich mich entsprechend informiert und mal grundlegend den Server eingerichtet (mit debian 8.7). Funktioniert alles soweit wunderbar und bin sehr zufrieden damit.

Nun habe ich jedoch mal einen Portscann gestartet und ich habe etwas mit erschrecken festgestellt auf welche Ports mein kleiner owncloud-server so alles hört. Das hat mich sehr verwundert, da ich dachte ich hätte nur das nötigste installiert und konfiguriert.

Wünschen würde ich mir eigentlich, dass der Server nur per SSH sowie HTTP als auch HTTPS erreichbar ist. (Also 22, 80, 443).

Die Ergebnisse des Portscanners sehen jedoch wie folgt aus:

Port 22 offen SSH;Secure Shell
Port 25 offen SMTP
Port 80 offen HTTP;Webserver
Port 110 offen POP3;E-Mail-Abholung
Port 111 offen
Port 119 offen NNTP;Usenet
Port 143 offen IMAP
Port 443 offen HTTPS;Webserver with SSL
Port 465 offen SSMTP;Cisco URL Rendezvous Directory for SSM; Simple Mail Transfer Protocol with SSL
Port 563 offen
Port 587 offen TLS;E-Mail message submission nach RFC 2476
Port 993 offen IMAPS;IMAP over TLS/SSL
Port 995 offen POP3S;POP3 over TLS/SSL
Port 42560 offen

Ich frage mich sehr was ich da falsch gemacht habe... z.B. einen Mailserver habe ich nie konfiguriert warum sind dann die SMTP / IMAP / IMAPS und POP3 / POP3S Ports offen?

Also wie gesagt für eine Grundlegende Nutzung von owncloud war ich eigentlich der Meinung, dass ich nicht sehr viele Ports brauche.

Nun die Frage: Wie gehe ich nun vor um die ganzen Ports entsprechend zu schließen. Ich weiß, dass man hier irgendwie über netstat vorgeht und die entsprechenden Dienste sucht bin jedoch trotzdem etwas ratlos.

Gebe ich z.B. auf dem Server

Code: Alles auswählen

netstat -tulpen
ein, finde ich die IMAP und POP3 Ports gar nicht...

Und selbst wenn ich nun etwas finde wie z.B. SMTP --> 25--> exim4 bin ich mir nicht sicher für was exim4 überhaupt benötigt wird bzw. warum dies nach der standardinstallation aktiv ist und Port 25 nach außen präsentiert... ist das "normal" oder sollte dies z.B. geschlossen werden?

Vielleicht kann mir als Anfänger ja jemand etwas unter die Arme greifen...

Viele Grüße und vorab vielen Dank!
Zuletzt geändert von Blubber27 am 20.05.2017 12:39:44, insgesamt 2-mal geändert.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Frage zur offen Ports

Beitrag von wanne » 11.05.2017 23:39:09

Blubber27 hat geschrieben:Ich frage mich sehr was ich da falsch gemacht habe... z.B. einen Mailserver habe ich nie konfiguriert warum sind dann die SMTP / IMAP / IMAPS und POP3 / POP3S Ports offen?
Entweder du oder ein anderer.
Blubber27 hat geschrieben:Nun die Frage: Wie gehe ich nun vor um die ganzen Ports entsprechend zu schließen.
Du solltest dir zuerstmal überlegen, wer da noch an deinem Server rumhantiert.

Wie hast du denn den Portscan gemacht?
Blubber27 hat geschrieben:ich mir nicht sicher für was exim4 überhaupt benötigt wird
Debian eigeneheit: Der liefert Fehler per Mail aus. Deswegen brauchst du den recht schnell.
Blubber27 hat geschrieben:warum dies nach der standardinstallation aktiv ist und Port 25 nach außen präsentiert...
Das macht er garantiert nicht in der Standardinstallation. Da ist der nur von localhost aus erreichbar.
Blubber27 hat geschrieben:ist das "normal" oder sollte dies z.B. geschlossen werden?
Solltest du nicht zu einem Ergebnis kommen warum der da läuft sollte da nicht der Port sondern eher der Server geschlossen werden.
Blubber27 hat geschrieben: ein, finde ich die IMAP und POP3 Ports gar nicht...
mach mal

Code: Alles auswählen

lsof -i -n -P -stcp:LISTEN
ggf. ein

Code: Alles auswählen

iptables -t nat -S
und ein

Code: Alles auswählen

cat /etc/inetd.conf
Das sind so die legitimen Varianten, wie man Dienste startet.
Prinzipiell kann root das aber ganz das man das irgend wo finden kann.

Eventuell mit voller Ausgabe. Sonst ist das immer nur raterei, was da wirklich steht.

Vielleicht guckst du dich ja auch mal da um, was da so konfiguriert ist.

Achso ownCloud ist auch so ein schöner PHP dienst. Hast du da sauber regelmäßig updates für eingespielt?
rot: Moderator wanne spricht, default: User wanne spricht.

Paddie

Re: Frage zur offen Ports

Beitrag von Paddie » 12.05.2017 06:16:44

Du hast den portscan aber nich auf der SSH-Console gemacht? also ein nmap localhost? ..sondern von einem anderen Rechner aus?

Die oben erwähnten Dienste sollten standardmäßig nur für localhost erreichbar sein (IIRC).

Wieso hast du eigentlich einen NNTP-Server installiert? Willst du wirklich usenet-Gruppen lesen? Oder hast du einfach alles ausgewählt was da war?

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: Frage zur offen Ports

Beitrag von uname » 12.05.2017 07:53:06

Du bist es von der Grundidee richtig angegangen. Du hast dich überhaupt mit der Sicherheit auseinandergesetzt. Und es war genau richtig die offenen Ports zu betrachten. Zuhause wird dein Zugang über einen DSL-Router abgesichert. Die Angriffe kommen dort meist von innen durch gedownloadete Malware vor allem Windows ist hier sehr anfällig. Aber das nur am Rande.

Wenn du von innen (direkt auf dem Server) dein System scannst, findest du die genannten Ports. Das kann nützlich sein, um Anwendungen zu deinstallieren, die man nicht braucht. Richtiger wäre es aber einen Server in einer Minimalinstallation aufzubauen. Provider bieten meist unterschiedliche Pakete. Nimm immer das Minimalpaket und kümmere dich selbst um den Rest.

Wenn du "netstat -tulpen" auf dem Server aufrufst, siehst du links an "0.0.0.0", dass es allgemein zugänglich ist. "127.0.0.1" zeigt auf localhost. Hier sollte unter anderem auch SMTP (Port 25) korrekt angeführt sein.

Scanne auch von außen. Hierfür empfehle ich dir einen Desktop (gerne 10 Jahre alt) auf Basis von Debian GNU/Linux zu installieren. Such dir einen schönen Desktop aus (KDE, Gnome, Cinnamon, Mate, Xfce, Lxde, ...) oder Window Manager (Openbox, Awesome, i3, ...) und lerne schon auf dem Desktop viel über Debian GNU/Linux. Vorteil ist, dass sich die Befehle dann zwischen Desktop und Server nicht unterscheiden und du problemlos den nmap-Befehl dann identisch von zuhause korrekt absetzen kannst. Auch brauchst du dann das grottige putty.exe nicht mehr und sagst einfach "ssh user@server" im Terminal des Clients.

Weiter viel Spaß mit Debian GNU/Linux.

Blubber27
Beiträge: 3
Registriert: 11.05.2017 22:27:30

Re: Frage zur offen Ports

Beitrag von Blubber27 » 12.05.2017 08:55:01

Guten Morgen zusammen,

vielen Dank für eure Rückmeldungen!

Zu eurer Fragen:

Den Portscann habe ich mit LaMA-Creation von meinem Heim-Windows-Rechner gemacht. Deshalb war ich ja auch so geschockt die ganzen Ports zu sehen... Mir war schon bewusst, dass diese in diesem Fall "von außen" offen sind. Deshlab wollte ich mich auch an euch wenden.

Meiner Meinung nach habe ich sogar die kleine "netinstall" Variante gewählt und extra nichts außer SSH ausgewählt für die Installation.

Hier die gewünschten ausgaben für "wanne":

Code: Alles auswählen

lsof -i -n -P -stcp:LISTEN
COMMAND  PID        USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd     376        root    3u  IPv4  10330      0t0  TCP *:22 (LISTEN)
sshd     376        root    4u  IPv6  10339      0t0  TCP *:22 (LISTEN)
apache2  460        root    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2  460        root    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
mysqld   789       mysql   10u  IPv4  10896      0t0  TCP 127.0.0.1:3306 (LISTEN)
exim4   1143 Debian-exim    4u  IPv4  11286      0t0  TCP 127.0.0.1:25 (LISTEN)
exim4   1143 Debian-exim    5u  IPv6  11287      0t0  TCP [::1]:25 (LISTEN)
apache2 3899    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 3899    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
apache2 3901    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 3901    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
apache2 3902    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 3902    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
apache2 3903    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 3903    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
apache2 3904    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 3904    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
apache2 4249    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 4249    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)
apache2 4250    www-data    4u  IPv6  10541      0t0  TCP *:80 (LISTEN)
apache2 4250    www-data    6u  IPv6  10545      0t0  TCP *:443 (LISTEN)

Code: Alles auswählen

iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
cat /etc/inetd.conf
scheint nicht vorhanden zu sein "Datei oder Verzeichnis nicht gefunden"


Weil die Frage nach Patchstatus war: Der Server läuft vielleicht einen Monat. Und bevor ich losgelegt habe habe ich natürlich ein apt-get update und apt-get upgrade gemacht.

@Paddie: ich weiß weder warum ich nen NNTP-Server installiert habe noch warum ich die usenet-Gruppen lesen wollen sollte :-)
@uname: Danke für die weiteren Hinweise!

Ich habe eben mal geschaut wie ich denn owncloud installiert habe. Ich hab mich bei der Installation an vorhandenen Tutorials orientiert. Vielleicht war auch das der Fehler dass ich zu viel davon übernommen habe...

Die Installation habe ich wie von Owncloud empfohlen über einen repository Eintrag gemacht.

Code: Alles auswählen

wget -nv https://download.owncloud.org/download/repositories/stable/Debian_8.0/Release.key -O /tmp/Release.key
apt-key add - < /tmp/Release.key
sh -c "echo 'deb http://download.owncloud.org/download/repositories/stable/Debian_8.0/ /' > /etc/apt/sources.list.d/owncloud.list"

apt-get update
apt-get upgrade
apt-get install owncloud
vielleicht kam auch einfach zu viel über die Variante apt-get install owncloud mit...

zusätzlich habe ich noch certbot installiert um über letz-encrypt ein kostenfreies Zertifikat zu bekommen...



Hier noch zum Abschluss die Ausgabe von "netstat -tulpen":

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          10330       376/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          11286       1143/exim4
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      108        10896       789/mysqld
tcp6       0      0 :::22                   :::*                    LISTEN      0          10339       376/sshd
tcp6       0      0 ::1:25                  :::*                    LISTEN      0          11287       1143/exim4
tcp6       0      0 :::443                  :::*                    LISTEN      0          10545       460/apache2
tcp6       0      0 :::80                   :::*                    LISTEN      0          10541       460/apache2
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          9796        364/dhclient
udp        0      0 0.0.0.0:16116           0.0.0.0:*                           0          9767        364/dhclient
udp6       0      0 :::32775                :::*                                0          9768        364/dhclient

EDIT:
So jetzt mal noch ne andere Theorie: Wenn ich das mit netstat richtig verstehe und mir die werte nochmal anschaue sieht das ja gar nicht mehr so schlimm aus wie gedacht... Port 111 habe ich nun noch mit
"update-rc.d nfs-common disable
update-rc.d rpcbind disable"
abgedreht.

Hier finde ich auch nichts von wegen POP3 oder IMAP. Kann es auch sein, dass das in irgendeiner Form mit meinem Hoster zu tun hat der hier irgendetwas ohne mein wissen "beantwortet" und ich deshalb über die Ports beim Scan gestolpert bin?? Bin ein wenig verwirrt momentan...

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: Frage zur offen Ports

Beitrag von uname » 15.05.2017 13:25:27

Erst mal könntest du noch IPv6 deaktivieren falls du es nicht benötigst. Dient auch der Sicherheit und mindestens der Übersichtlichkeit / Minimierung und damit wieder der Sicherheit.

Der Portscan deines ersten Posts hat nicht viel mit den neuen Werte zu tun. Die neuen Werte sehen alle gut aus. Vielleicht hast du einen falschen Rechner gescannt. Scanne evtl. noch mal. Du solltest von außen nur die Ports sehen, die auch tatsächlich global (*:Port, 0.0.0.0:Port, ::::Port) erreichbar sind.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Frage zur offen Ports

Beitrag von wanne » 15.05.2017 13:52:03

uname hat geschrieben:Erst mal könntest du noch IPv6 deaktivieren falls du es nicht benötigst. Dient auch der Sicherheit und mindestens der Übersichtlichkeit / Minimierung und damit wieder der Sicherheit.
Kann jemand im Debianforum mal IPv4 deaktivieren? Dient der Sicherheit und erhöht vor allem die Übersichtlichkeit an Kommentaren.
Ernsthaft: Am Ende kommt sowas raus: viewtopic.php?f=30&t=164944
Sorry, nicht IPv6 macht Probleme, sondern die ganzen Leute, die das ums verrecken abschalten wollen. Und IPv4 hatte vor allem wegen der um Längen größeren Komplexität um ein zig faches mehr Sicherheitslücken. Wenn also IPv4 abschalten.

@Blubber27: Der unterschied ist, dass lsof und netstat nur Verbindungen, die das Betriebssystem aufgebaut hat anzeigt. Prinzipiell kann root auch einen eigenen Netzwerkstack implentieren und von Hand kommunizieren. Entsprechend ist ein Scan von außen immer die sicherere Variante. Auf der anderen Seite ist es schon seehr strange sowas zu machen.
Blubber27 hat geschrieben: Kann es auch sein, dass das in irgendeiner Form mit meinem Hoster zu tun hat der hier irgendetwas ohne mein wissen "beantwortet" und ich deshalb über die Ports beim Scan gestolpert bin??
Fände ich sehr Strange. Anbieter von DoS protection machen sowas zum teil. Aber für einen "normalen" hoster gehört sich sowas IMHO nicht. Auf der andern Seite sehe ich jetzt nicht so viele andere Möglichkeiten. Vielleicht mal nachfragen?
Würde dem schon nachgehen.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Frage zur offen Ports

Beitrag von wanne » 15.05.2017 13:59:38

achso:
den Portscann habe ich mit LaMA-Creation von meinem Heim-Windows-Rechner gemacht.
kann es sein, dass da vielleicht irgend welche komischen Firewalls/Proxys laufen, die sowas beantworten.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Frage zur offen Ports

Beitrag von TRex » 15.05.2017 17:55:43

Code: Alles auswählen

telnet hostname 25
Würde dir übrigens auch Sicherheit geben, dass da nichts läuft bzw. erreichbar ist (von außen natürlich).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Blubber27
Beiträge: 3
Registriert: 11.05.2017 22:27:30

Re: Frage zur offen Ports

Beitrag von Blubber27 » 20.05.2017 12:13:27

Hallo Leute,

sorry dass ich mich so lange nicht gemeldet habe, hatte leider viel zu tun.

Ich habe die Lösung zu meinem Problem gefunden.... peinlich peinlich... :oops:

Der PC von dem ich aus den Portscanner habe laufen lassen hatte AVAST Antivirus installiert. Dieser beantwortete die Anfragen auf die ganzen Typischen Mailports...

D.H. für den Scan einmal den Virenscanner deaktiviert und schon stimmt der Scan mit den Port von netstat überein...

Oh man. Da hab ich mir in diesem Fall selber ein Ei gelegt und mich selbst unnötig verrückt gemacht.

Trotzdem hat dieser Fall mich wieder etwas lernen lassen und ich danke euch für eure Unterstützung :-)

Wollte nur unbedingt noch schreiben, damit das Thema nich so halb offen bleibt...

Grüße und euch ein schönes Wochenende!

Blubber27

Antworten