Blokada usuwanie otwartych portów netbios-ssn microsoft-ds


(rpm) #1

Witam jak w najnowszym Linux Mint usunąć bezpiecznie pakiety aby przyblokować te porty netbios-ssn microsoft-ds które pokazuje nmap? Tak żeby nie zepsuć sobie systemu przez jakieś zależności usuwania samby czy cups-common, cups-deamon.

PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
631/tcp open  ipp

Ponieważ łączą mi się jakieś adresy ipv6 na świeżo co zainstalowanym systemie na portach 631, 48497. Zablokowane i wyłączone mam ipv6  w przeglądarce i wifi. Wydaje mi się że to jakieś systemowe śmieci od Canonical. Z góry dziękuje.


(marcin82) #2

Najpierw ustal jaka domyślnie siedzi tam zapora sieciowa - prekonfigurowana - jak jest ustawiona?

 

Podaj wynik komendy z terminala:

 

sudo iptables -nvL

dpkg -l | grep ufw

(rpm) #3

Zapora to ufw, ale raczej blokada w niej nie sprawi aby te porty nie pojawiały się w nmap. Ja chciałbym aby przy skanowaniu w ogóle nie widniały tak jak to jest w Arch linux gdy tych pakietów nie ma. Blokowałem tak kiedyś przez firewall, iptables i nada przy skanowaniu widniały dopóki nie usunąłem pakietu odpowiedzialnego za ten port który widać przy skanowaniu.

dpkg -l | grep ufw
ii  ufw                                         0.34~rc-0ubuntu2                                    all          program for managing a Netfilter firewall

(pocolog) #4

Jeśli nie korzystasz z samby (komunikacja z siecią lokalną Windows) ani cups (drukarka) to po prostu wywal ich demony z init i przestaną nasłuchiwać na tych portach.


(rpm) #5

Zainstalowałem program rcconf i tam pokazuje że te demony samby i cups są odznaczone.


(pocolog) #6

Po wpisaniu jako root “systemctl” powinno pokazać uruchomione usługi.  Nie występuje tam już ani cups ani samba?


(rpm) #7

Nie działa mi to polecnie dlatego że nie mam systemd w systemie i nie chce go używać.

sudo systemctl
sudo: systemctl: command not found
 
apt-cache policy systemd
systemd:
  Zainstalowana: (brak)
  Kandydująca:   (brak)
  Tabela wersji:

(marcin82) #8

Podaj wynik polecenia:

 

cat /proc/1/comm

No to nie do końca tak. NMap inaczej “ocenia” komputer gdy jest skanowany z tego samego komputera, a inaczej z sieci.

Tutaj jest tylko przykład:

https://sparewotw.wordpress.com/2011/02/12/blocking-port-113-in-shorewall-pclinuxos-default-firewall/ .

Shorewall to też nakładka na iptables.

Tutaj maszy przykład prostego firewalla:

http://www.debian.pl/entries/162-Prosty-firewall-dla-desktopa-stacji-roboczej .


(rpm) #9
cat /proc/1/comm
init

Tylko nie wiem czy takie mieszanie w iptables osobno i nakładkach ufw, pf(to chyba unixowa, bsd nakładka na  iptables) jest dobrym pomysłem.

Musze być ostrożny, aby nie po blokować innych składników systemu od tych aktualizacji, mint, cinnamon, canonical.


(marcin82) #10

Wyłącz jak nie chcesz odinstalowywać wszystko poza iptables i zrób zaporę, która zajmie kilka linijek i spokój.

 

Możesz dodać taki skrypt do /etc/rc.local (o ile jeszcze jest) albo utworzyć usługę zgodną z SysVInit.