Я подумывал о замене Ubuntu на OpenBSD для повышения безопасности на моем локальном сервере. Мне нужен ssh-доступ к нему, а также он нужен для обслуживания статического веб-контента, поэтому единственные порты, которые мне нужны, - это 22 и 80.
Однако, когда я сканирую свой сервер на наличие открытых портов после установки OpenBSD 4.8 и включения ssh и http на /etc/rc.conf
httpd_flags=""
sshd_flags=""
Я обнаружил, что у него есть несколько других открытых портов:
Port Scan has started…
Port Scanning host: 192.168.56.102
Open TCP Port: 13 daytime
Open TCP Port: 22 ssh
Open TCP Port: 37 time
Open TCP Port: 80 http
Open TCP Port: 113 ident
ssh (22) и http (80) должны быть открыты, так как я включил httpd и sshd, но почему открыты другие порты, и должен ли я беспокоиться о том, что они создают дополнительные уязвимости безопасности? Должны ли они быть открыты при установке по умолчанию?
Дневное время и Время и то, что я считаю «устаревшими» протоколами. Я предполагаю, что они включены в конфигурацию по умолчанию для традиционной полноты в стиле UNIX. Они запускаются inetd, и если вам не нужны эти службы (вы, вероятно, не знаете, если вам нужно спросить), вы можете отключить их, закомментировав соответствующие строки в вашем /etc/inetd.conf (видеть страница руководства).
#ident stream tcp nowait _identd /usr/libexec/identd identd -el
#ident stream tcp6 nowait _identd /usr/libexec/identd identd -el
#daytime stream tcp nowait root internal
#daytime stream tcp6 nowait root internal
#time stream tcp nowait root internal
#time stream tcp6 nowait root internal
kill -HUP `cat /var/run/inetd.pid`
Учитывая, что pf включен по умолчанию, вы можете заставить свой pf.conf использовать по умолчанию отказать метод. Предположим, ваш интерфейс fxp0, это хороший стартовый набор правил.
set skip on lo0
block in fxp0
block out fxp0
pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state
pass in on fxp0 proto tcp from any to (fxp0) {22 80}
Этому вопросу уже три года, но я считаю, что на него нужно ответить: они не открыты при установке по умолчанию; по крайней мере, больше нет.
Сканирование портов на базовой установке OpenBSD 5.5 показывает только ssh:
Port Scan has started…
Port Scanning host: 192.168.1.29
Open TCP Port: 22 ssh
Port Scan has completed…
Включение httpd и отключение pf с помощью pfctl -d показывает только ssh и http:
Port Scan has started…
Port Scanning host: 192.168.1.29
Open TCP Port: 22 ssh
Open TCP Port: 80 http
Port Scan has completed…
Это не значит, что они никогда не были открытыми, они были в предыдущих выпусках. Являются ли они уязвимостью, зависит от пользователя. На самом деле это очень простые демоны, которые, как мне кажется, будет сложно использовать. Больше ответов Вот.