Kontrola otvorených portov je medzi prvými krokmi na zabezpečenie vášho zariadenia. Počúvacie služby môžu byť vstupom pre útočníkov, ktorí môžu zneužiť chyby zabezpečenia služieb na získanie prístupu alebo narušenie systému. Počúvacia služba alebo počúvací port je otvorený port s aplikáciou čakajúcou na pripojenie klienta (napr.g server FTP čakajúci na klienta FTP) Nemá zmysel udržiavať webový server v prevádzke, ak neslúžite na webových stránkach, ani udržiavať port 22 otvorený, ak nepoužívate ssh. Tento tutoriál ukazuje, ako skontrolovať otvorené porty na diaľku aj lokálne a ako ich zatvoriť.

• Ako vzdialene skontrolovať otvorené porty v systéme Linux pomocou Nmap
• Ako lokálne skontrolovať otvorené porty v systéme Linux
• Odstraňovanie služieb na Debiane 10 Buster
• Ako uzavrieť otvorené porty v systéme Linux pomocou UFW
• Ako uzavrieť otvorené porty v systéme Linux pomocou iptables
• Súvisiace články

Ako lokálne skontrolovať otvorené porty v systéme Linux

Príkaz netstat je prítomný vo všetkých OS (operačných systémoch) počítača na sledovanie sieťových pripojení. Nasledujúci príkaz používa netstat na zobrazenie všetkých načúvacích portov pomocou protokolu TCP:

netstat -lt

Kde:
netstat: volá program.
-l: zoznamy posluchových portov.
-t: určuje protokol TCP.

Výstup je priateľský k človeku, dobre usporiadaný v stĺpcoch zobrazujúcich protokol, prijaté a odoslané pakety, miestne a vzdialené adresy IP a stav portu.

Ak zmeníte protokol TCP pre UDP, výsledok aspoň v systéme Linux zobrazí iba otvorené porty bez uvedenia stavu, pretože na rozdiel od protokolu TCP je protokol UDP bezstavový.

netstat -lu

Môžete sa vyhnúť zadávaniu protokolov a na získanie informácií o všetkých portoch počúvajúcich nezávisle od protokolu môžete použiť iba voľbu -l alebo -listen:

netstat - počúvať

Vo vyššie uvedenej možnosti sa zobrazia informácie pre protokoly soketov TCP, UDP a Unix.

Všetky vyššie uvedené príklady ukazujú, ako tlačiť informácie na počúvacích portoch bez vytvoreného pripojenia. Nasledujúci príkaz ukazuje, ako zobraziť porty na počúvanie a nadviazané pripojenia:

netstat -vatn

Kde:
netstat: volá program
-v: výrečnosť
-a: zobrazuje aktívne spojenia.
-t: ukazuje pripojenia tcp
-n: zobrazuje porty v číselnej hodnote

Povedzme, že ste vo svojom systéme identifikovali podozrivý proces a chcete skontrolovať príslušné porty k nemu. Môžete použiť príkaz lsof slúži na výpis otvorených súborov spojených s procesmi.

lsof -i 4 -a -p

V nasledujúcom príklade skontrolujem proces 19327:

lsof -i 4 -a -p 19327

Kde:
lsof: zavolá program
-i: vypíše zoznam súborov interagujúcich s internetom, možnosť 4 dá pokyn na tlač iba možnosti IPv4 6 je k dispozícii pre IPv6.
-a: dáva príkaz výstupu na AND.
-p: určuje PID číslo procesu, ktorý chcete skontrolovať.

Ako vidíte, proces je spojený s načúvajúcim portom smtp.

Ako vzdialene skontrolovať otvorené porty v systéme Linux

Ak chcete zistiť porty na vzdialenom systéme, najpoužívanejším nástrojom je Nmap (Network Mapper). Nasledujúci príklad ukazuje prehľadanie jedného portu proti nápovede Linux.com:

nmap linuxhint.com

Výstup je zoradený v 3 stĺpcoch, ktoré zobrazujú port, stav portu a službu načúvajúcu za portom.

Nezobrazené: 988 uzavretých portov
SLUŽBA PRÍSTAVNÉHO ŠTÁTU
22 / tcp otvorené ssh
25 / tcp otvorené SMTP
80 / tcp otvorený http
161 / tcp filtrovaný snmp
443 / tcp otvorený https
1666 / tcp filtrovaný netview-aix-6
1723 / tcp filtrovaný pptp
6666 / tcp filtrované irc
6667 / tcp filtrované irc
6668 / tcp filtrované irc
6669 / tcp filtrovaný irc
Jetdirect filtrovaný pomocou 9100 / tcp

Podľa predvoleného nastavenia nmap skenuje iba najbežnejších 1 000 portov. Ak chcete, aby nmap skenoval všetky spustené porty:

nmap -p- linuxhint.com

Na Súvisiace články V časti tohto výukového programu nájdete ďalšie výukové programy o technológii Nmap na skenovanie portov a cieľov s mnohými ďalšími možnosťami.

Odstraňovanie služieb na zbernici Debian 10

Okrem pravidiel brány firewall sa odporúča, aby ste zabránili blokovaniu svojich portov, odstránením nepotrebných služieb. V Debiane 10 Buster to možno dosiahnuť pomocou apt.
Nasledujúci príklad ukazuje, ako odstrániť službu Apache 2 pomocou apt:

apt odstrániť apache2

Na požiadanie stlačte Y ukončiť sťahovanie.

Ako uzavrieť otvorené porty v systéme Linux pomocou UFW

Ak nájdete otvorené porty, ktoré nemusíte otvárať, najjednoduchším riešením je zatvoriť ich pomocou UFW (nekomplikovaný firewall)
Existujú dva spôsoby, ako zablokovať port, pomocou tejto možnosti poprieť a s opciou odmietnuť, rozdiel je v pokyne odmietnutia, ktorý informuje druhú stranu, že pripojenie bolo odmietnuté.

Blokovať port 22 pomocou pravidla poprieť proste bež:

ufw popierať 22

Blokovať port 22 pomocou pravidla odmietnuť proste bež:

ufw odmietnuť 22

Na Súvisiace články v časti na konci tohto tutoriálu nájdete dobrý tutoriál o nekomplikovanej bráne firewall.

Ako uzavrieť otvorené porty v systéme Linux pomocou iptables

Aj keď je UFW najjednoduchší spôsob správy portov, je to rozhranie pre Iptables.
Nasledujúci príklad ukazuje, ako odmietnuť pripojenie k portu 22 pomocou iptables:

iptables -I VSTUP -p tcp --dport 22 -j ZAMIETNUTIE

Pravidlo vyššie dáva pokyn na odmietnutie všetkých prichádzajúcich pripojení tcp (INPUT) k cieľovému portu (dport) 22. Ak bude zdroj odmietnutý, bude informovaný, že pripojenie bolo odmietnuté.

Nasledujúce pravidlo iba zruší všetky pakety bez informovania zdroja, že pripojenie bolo odmietnuté:

iptables -A VSTUP -p tcp --dport 22 -j DROP

Dúfam, že vám bol tento krátky návod užitočný. Stále sledujte LinuxHint, kde nájdete ďalšie aktualizácie a tipy týkajúce sa Linuxu a sietí.

Súvisiace články:

• Práca s UFW (nekomplikovaný firewall)
• Výukový program pre základy NMAP
• Ako uviesť zoznam otvorených portov vo Firewallde
• Sieťové skenovanie Nmap
• Inštalácia a používanie Zenmap (GUI Nmap) na Ubuntu a Debian
• Nmap: skenuje rozsahy adries IP
• Používanie skriptov nmap: Uchopenie bannera Nmap
• Príklady 30 Nmap