LINUX.ORG.RU

Защита сервера


0

0

Админю сервер . Выдача nmap меня не очень обрадовала.
Как обезопасить его(там часть через xinetd ходит)?Что делать с mysql?

Starting Nmap 4.76 ( http://nmap.org ) at 2008-11-03 19:43 MSK
Interesting ports on test:
Not shown: 984 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.1
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
25/tcp open smtp qmail smtpd
| SMTPcommands: EHLO xyz.com, AUTH=LOGIN CRAM-MD5 PLAIN, AUTH LOGIN CRAM-MD5 PLAIN, STARTTLS, PIPELINING, 250 8BITMIME
|_ HELP qmail home page: http://pobox.com/~djb/qmail.html
53/tcp open domain ISC BIND 9.3.4-P1
80/tcp open http Apache httpd 2.2.3 ((CentOS))
|_ HTML title: sd
106/tcp open pop3pw poppassd
110/tcp open pop3 Courier pop3d
|_ POP3 Capabilites: USER STLS IMPLEMENTATION(Courier Mail Server) UIDL PIPELINING APOP TOP LOGIN-DELAY(10)
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100024 1 716/udp status
| 100000 2 111/tcp rpcbind
|_ 100024 1 719/tcp status
143/tcp open imap Courier Imapd (released 2004)
443/tcp open ssl OpenSSL
|_ SSLv2: server still supports SSLv2
465/tcp open ssl OpenSSL
993/tcp open ssl OpenSSL
|_ SSLv2: server still supports SSLv2
995/tcp open ssl OpenSSL
|_ SSLv2: server still supports SSLv2
1720/tcp filtered H.323/Q.931
3306/tcp open mysql MySQL (unauthorized)
8443/tcp open http Apache httpd
|_ HTML title: xcsd 302 Found
Device type: general purpose|specialized|broadband router|WAP|switch|PDA
Running (JUST GUESSING) : Linux 2.6.X|2.4.X (96%), Infoblox NIOS 4.X (94%), Linksys embedded (90%), Siemens embedded (90%), QLogic embedded (90%), Sharp Linux 2.4.X (90%)
Aggressive OS guesses: Linux 2.6.9 - 2.6.20 (96%), Infoblox NIOS 4.1r5 (94%), Linux 2.6.17 - 2.6.22 (94%), Linux 2.6.17 - 2.6.25 (93%), Linux 2.6.22 - 2.6.23 (93%), Linux 2.6.24 (93%), Linux 2.6.23 (93%), Linux 2.6.22 (93%), Linux 2.6.20-1 (Fedora Core 5) (92%), Linux 2.6.5 - 2.6.9 (92%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 11 hops
Service Info: Host: localhost.localdomain; OS: Unix


OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 50.50 seconds


★★★★★

Re: Защита сервера

Ну, тут надо отдельно по каждой службе возможности или невозможности доступа, и/или условия получения оного рассматривать. (Доступ посредством xinetd тоже ограничевается).

MiracleMan ★★★★★ ()
Ответ на: Re: Защита сервера от MiracleMan

Re: Защита сервера

>Ну, тут надо отдельно по каждой службе возможности или невозможности доступа, и/или условия получения оного рассматривать. (Доступ посредством xinetd тоже ограничевается).

Мне интересно как ограничить доступ в mysql извне?а то все в нете ищу и немогу найти.

pinachet ★★★★★ ()
Ответ на: Re: Защита сервера от pinachet

Re: Защита сервера

iptables

зафильтровать порт, либо сейчас по умолчанию mysql слушает только 127.0.0.1 и или сокет.

в случае же с iptables - можно задавать исключения.


ну и естественно в самой mysql прописывать хосты user@localhost

user@192.168.1.2 а не user@%


Sylvia ★★★★★ ()
Ответ на: Re: Защита сервера от Sylvia

Re: Защита сервера

Как сделать это в my.cnf ?

просто iptables надо поострожней а то другие админа если что будут мне в рот смотреть если что случится.Надо попроще :)

pinachet ★★★★★ ()
Ответ на: Re: Защита сервера от pinachet

Re: Защита сервера

bind-address = 0.0.0.0


связывает все интерфейсы,

если поставить

bind-address = 127.0.0.1

то mysql будет недоступна извне (на самом сервере можно поставить и phpmyadmin для удобства)


через iptables

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 1.1.1.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP



первая строка разрешает доступ с локалхоста
вторая - разрешает один айпи 1.1.1.1
третья разрешает маску адресов 192.168.1.*

четвертая (последняя, обязательная) - запрет всего того что неразрешено


Sylvia ★★★★★ ()
Ответ на: Re: Защита сервера от Sylvia

Re: Защита сервера

> bind-address = 127.0.0.1

Вообще есть опция запуска --skip-networking.

Deleted ()

Re: Защита сервера

все решил.Закрыл еще пару портов

pinachet ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.