[PLUTO-help] nmap

[Beppe]

Parlando di "Re: [PLUTO-help] nmap" rent0n ha scritto:

> > > Ora, mi chiedo: perchè mai la porta 25 è aperta?
> >
> > Perchè c'è un MTA attivo sulla tua macchina ? ;-)
>
> In effetti e' cosi' =)

Bene.. ;)

<cut>

> > porta 6000 :  Xserver, per usare parole semplici, il motore che fa girare
> > la grafica.
> > Potresti avviarlo in modo che non sia possibile raggiungerlo via rete, il
> > che è anche consigliabile se non lo ti serve quall funzionalita.
>
> In effetti non mi serve via rete ma solo da locale. Mi pare di aver capito
> che questa porta non e' associata a nessun demone, e quindi non compare
> nell'elenco dei servizi del pannello di controllo di linuxconf. In che
> altro modo posso disattivarla e fare in modo che resti chiusa ad ogni
> avvio?

E' associata al demone che gestisce il sistema grafico: XFREE !
In effetti non  è un servizio che apri e/o chiudi nella maniera tradizionale,
a meno che non passi INIT 3, ma non penso sia cio' che vuoi :o)

Nella precedente e-mail ho appiccicato una porzione di script: rilleggila! 
Quelle righe si occupano di lanciare il server grafico in modalita no listen,
cioè non in ascolto.

Tuttavia fai riferimento al manuale in linea o dai una controllata al'interno 
della cartella /etc/X11. Da distro a distro puo' darsi (e sicuramente lo è)
che i PATH dei file siano diversi.

> > porta 10000: mmm qui non saprei dirti di preciso.
> > Alcune distro hanno webmin in ascolto su quella porta,
> > ma in questo caso non direi sia lui.
> > Fai cmq. riferimento a netstat  e vedrai che lo trovi in un attimo.
>
> Era Webmin. Disattivato.

Come non detto ;-)

> Ora, questa e' la parte interessante dell'output di netstat -apn
> Proto Recv-Q Send-Q Local Address           Foreign Address         State
> PID/Program name

<cut>

Fatte salve le porte, di cui parlavamo ieri, le restanti sono:

> tcp        0      0 0.0.0.0:7741            0.0.0.0:*               LISTEN

E' un LAN browser che non ho mai usato. Nome in codice LISA. Un po di tempo fa 
m'ero perso anch'io dietro a capire che servizio fosse quello che impegniava 
quella porta.
Forse sotto /etc/init.d trovi qualcosa. Prova a dare un'occhiata.

In caso trovi riscontro, un paio di colpi di "ntsysv" o "rcconf" o "chkconfig" 
e cassi tutto cio' che non ti serve :)

> udp        0      0 0.0.0.0:513             0.0.0.0:*           #boh

/etc/services, suggerisce login (AKA rlogin).
Sicuramente è avviato da inetd o xinetd.

Apri /etc/xinet.d/rlogin e disabilitalo con: disable = yes
e riavvia xinetd. Vedrai che non c'è piu' !

> udp        0      0 127.0.0.1:53            0.0.0.0:*       #boh

53 UDP: forse un nameserver (BIND) attivo ? Probabilmente in modalità 
caching-only, m è una supposizione.
Lasciandoci alle spalle questioni sul fatto che possa o meno servire io ti 
consiglio di chiuderlo. Diversamente filtralo !
 
> udp        0      0 0.0.0.0:7741            0.0.0.0:*       #boh

Vedi sopra...

> udp        0      0 0.0.0.0:68              0.0.0.0:*              #boh

bootpc... : chiudi senza problemi 

> udp        0      0 224.0.0.251:5353        0.0.0.0:*    #e questo chi e'?

Sinceramente non so, ma l'indirizzo è multicast.
Prova a fare una ricerca in rete...

> Come vedi, non ho informazione su nessun programma che tiene aperte le
> varie porte.

Strano... ti riporto parte del mio netstat attuale:

tcp        0      0 127.0.0.1:80            0.0.0.0:*               LISTEN     
1311/apache
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     
1859/master <---- (questo è POSTFIX)

ecc...

Come vedi dopo lo stato della porta (LISTEN) c'è chiara indicazione
su che servizio sia in ascolto sulla porta.

> Poi mi sono venute in mente una serie di cose.
> -Perche' nmap traccia solo le porte con protocollo tcp?

No: nmap traccia tutte le porte, anche quelle UDP, ma per quest'ultimo 
protocollo la rilevazione è un po diversa; Va un po a intuizione a seconda 
delle risposte che riceve in caso di scansione (scusa l'eccesiva 
semplificazione)

Quindi volendola proprio dire tutta, non è propriamente detto che si tratti di 
una scansione dai risultati veritieri. E' un po come usare "IPTABLES" assieme 
al target --REJECT piuttosto che --DROP... ma qui stiamo sconfinando.

Prima di concludere un TIP's: il buon caro (R)ex, ci suggerisce che l'ultima 
release di nmap è in grado di riconoscere a seguito di una scansione
anche il servizio che frulla dietro ad una porta: provare per credere.

Salutoni.
Ciao Beppe !

-- 
GnuPG Public KEY: 
--->[http://www.bpnets.org/beppe.asc]