作者 主題: [ 安全 ] Linux 主機要開放哪些 port ?  (閱讀 10505 次)

0 會員 與 1 訪客 正在閱讀本文。

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
純粹提供建議罷了!參考參考:
如果有問題的話,歡迎大家提出來討論討論!唉!網路太不安全了!
大家多注意注意安全吧!!

通常 VBird 在規劃網路服務之初,就會先想到我要開放的服務,
一部主機可以開放的服務雖然幾乎全部的服務都可以開放,
但是我都僅開放自己想要開放的而已,其他的不知道的 port 就全部關了![list=1]
  • 開放遠端登入:

這部分通常我都僅開放 ssh 這個 port 22 而已, port 23 的 telnet
已經被我捨棄了!然後配合 /etc/hosts.allow 與 /etc/hosts.deny 來
規範我的主機允釭熊n入 IP 。在你的例子中,您說只會讓區域內的 PC 登入,
假如您的 IP 是在 192.168.1.0/24 這個網段,
那麼就可以在 /etc/hosts.allow 當中寫入:
sshd: 192.168.1.0/255.255.255.0 : Allow
在 /etc/hosts.deny 當中寫入不可登入的句子:
sshd: ALL : deny
這樣一來,就只有你的區域網路內的 PC 可以使用 ssh 登入你的主機囉!
比較安全!

  • 開放 WWW

由於 WWW 可能連同 MySQL 一起開放,所以所開放的 port 大概會有
80 (http)
3306 (mysql)
443 (https)
這些 port 大概就得開放囉!

  • 開放 ftp

這個部分比較需要注意!通常我是不太願意對外開放 ftp 的,
因為實在是有點給他危險。我的作法是:[list=a]
  • 將 /etc/passwd 裡面的關於系統的使用者都加入到 /etc/ftpusers

這個檔案中,不過需要注意的是,你的一般身份使用者的群組不能加入
/etc/ftpusers 當中,否則會無法登入!
  • 將 /etc/ftpaccess 這個檔案中,取消 guest 與 anonymous 的登入項目,

只允?real users 登入我們的 Linux 主機。
  • 同樣的,將 in.ftpd 這個服務的連線範圍限制在 /etc/hosts.allow 與

/etc/hosts.deny 當中![/list:o]
  • 開放 sendmail

要組成郵件伺服器的話,需要 smtp 與 pop3 這兩個 port 就可以了!
25 (smtp)
110 (pop3)
只要有這兩個 port 你的 sendmail 就可以正確無誤的工作了!
不過,由於 25 port 開放之後,可能會有廣告信這種垃圾信件造成
你的網路頻寬被耗用,所以再加上具 SMTP 身份認證的郵件主機系統,
嗯!對你的系統會比較穩定!! smtp 認證郵件主機的設定可以參考:

  • 開放 samba 網路芳鄰

網路上的芳鄰相當的容易被 Nimda 病毒入侵!所以也需要注意防I
如果要開放的話,有三個 port 會開放:
137 (netbios-ns)
138 (netbios-dgm)
139 (netbios-ssn)
這個部分的 /etc/hosts.allow 我不會設定,希望會的朋友教一下!
針對這部分的建議是這樣的:[list=a]
  • 首先,請將登入者的身份在 /etc/samba/smb.conf 當中設定為

security = user
encrypt passwords = yes
如此一來,以 samba 登入你的 Linux 主機的時候,就需要密碼才可以!
  • 再來,一般來說,網路上的芳鄰只會開放給我們區域內網路,

所以同樣的在 smb.conf 有個關於允陬n入主機 IP 的設定項目:
hosts allow = 192.168.1.1 192.168.1.2 192.168.1.3
將允釭?IP 以空格隔開寫入!這樣可以約略擋住!![/list:o]
  • 開放 DNS

這部分同樣的不建議開放啦!除非你要設定一個開放式的 DNS 系統!
53 (domain)

  • 開放 proxy

proxy 對於一個比較大型的區域網路內來說,還是有其存在的空間的!
通常 proxy 使用的是 port 3128 (squid 預設使用的 port)
3128 (squid)
當然囉!在 squid.conf 這個檔案中,可以藉由 http_access 與 acl 來
限制可以使用的 IP 網段!![/list:o]

我能想到的大概就是這幾個服務吧!除非您有有其他了服務要開放,例如
Webmain 的 port 6000 ,還有其他的 Web 型態的 mail 可能要開放!
若是有使用 X-Window 可能還會有 X11 的 port 開放出來,不管怎麼說,
大致上就是這些了!其他的 shell 啦 login 啦!都是給 R 工具使用的,
一般來說應該是用不到才對!因為我們都是以 ssh 登入嘛!不需要用到
R utility 啦! finger, talk, 還有其他的東西,全部都關掉!使用
ntsysv 進入選項裡選擇,不過,需要注意的是,atd, crond, syslogd,
還有  xinetd, keytable, network, random 是一定要選擇的!其他的就視
您的系統而定了!

範例:
在我的宿舍的主機系統中,他只進行 sendmail, NAT, ssh, proxy
所以我的 port 很簡單,只有:
22 (ssh)
25 (smtp)
110 (pop3)
3128 (squid)
其他的 port 全部都關掉!!

Anonymous

  • 訪客
[ 安全 ] Linux 主機要開放哪些 port ?
« 回覆 #1 於: 2002-04-11 13:07 »
大大好,在你的文件中有提到一點,『smtp 認證郵件主機的設定可以參考...』之後就沒了,不知是否可請大大告知,可參考那篇文章呢?謝謝。

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org

kenny

  • 訪客
[ 安全 ] Linux 主機要開放哪些 port ?
« 回覆 #3 於: 2002-04-11 14:13 »
這篇討論應該是從 linuxfab 那邊引過來的﹐
我剛纔在那裡作了寫補充﹐不妨參考看看﹕

http://www.linuxfab.cx/indexForumData.php?FID=31&PAGE=1&DETAILTHREAD=5404

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
[ 安全 ] Linux 主機要開放哪些 port ?
« 回覆 #4 於: 2002-04-12 01:33 »
我是有個小建議...建議啦!
主機最好不好直接就露在外面,
能夠最好弄個firewall或是
有轉port弁鄋漱嬤刉鼠O護一下,
然後再加強你要開放的那些服務的安全性!
真的是比較少出問題...