ロックダウンポートをLinuxで

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

TCP / IPのネットワークの各サービスには、 HTTP 、簡易メール転送プロトコル( SMTP )など、郵便局プロトコルバージョン3 ( POP3の)ポートを割り当てます。このポートは、番号を指定されているポート番号と呼ばれる、受信データをリンクするために使用正しいサービスをしてください。 たとえば、クライアントのブラウザを要求されると、ポート80を要求するように指示されるserver.The Webサービス上のサーバーのWebページを表示するには、要求を受信すると、クライアントにWebページを送信します。 各サービス、およびポート番号が割り当てられている各ポート番号を持っているTCPおよびUDPポート。 例えば、ポート53は、ドメインネームシステム( DNS )のために使用され、 TCPポートとUDPポートしています。 TCPポート53のDNSサーバー間のゾーン転送に使用されます。 UDPポート53共通のDNSクエリに使用されてドメイン名をIPアドレスに解決します。

健康と既知の登録に使用するポートのTCPポートが2つの範囲/ IPネットワーク:よく知られているポートおよび登録ports.Theよく知られているポートが、特定のポート番号が割り当てられている、ネットワークサービス( /によって等定義/サービス) 。 たとえば、のSMTP 、ポート25が割り当てられているHTTPの80ポートが割り当てられている。 サーバーは、よく知られているポートで、ネットワーク上の要求に耳を傾ける。 登録ポートを一時的なポートは、通常、クライアントで使用されており、サービスを利用されるたびに変化します。 これだけの簡単なtime.Theポートの最後の登録ポートも短命ポートと呼ばれていますし、放置され、他のサービスで使用することができます。

ポート番号の範囲は、表2.1に示すように、リクエストにコメント(のRFC ) 1700.ToアクセスはRFC 1700に行くftp://ftp.isi.edu/ in-notes/rfc1700.txtによって分類されています。

さまざまな種類のポート番号の範囲:

うーん- 1023登録1024 to 65535から 1 知られている

接続ポート番号を1023にして、下のルートレベルの権限で実行するように想定される。 これは、信頼されていないサービスを、 1024未満のポート番号で構成されてはならないことを意味します。 あなたがどのようによく知られている登録ポート近くでポート作業が表示されます。

一般によく使用される既知のTCP / UDPポート番号

のFTP (デフォルトデータ) : 20
のFTP (接続]ダイアログで、制御) : 21
のtelnet : 23
のSMTP : 25
のDNS : 53
DHCPをBOOTPサーバ: 67
DHCPのBOOTPクライアント: 68
のTFTP : 69
ゴーファー: 70
のHTTP : 80
のPOP3 : 110
のNNTP : 119
NetBIOSセッションサービス: 139
インターネットメッセージアクセスプロトコル( IMAP )の、バージョン2 : 143

登録ポートできるかどうかはよく知られているポートの動作を説明するために、 Webブラウザからの典型的なWebサイトに接続では、 Webクライアントに確認しておこうserver.Theポート1025.Theなどの登録リクエストをTCPポートからのHTTPリクエストを送信する、ネットワーク経由でも、 WebサーバーのTCPポート80知られているにルーティングされます。 1回のセッションが確立され、サーバーのポート80を使用するように、続けて、クライアントのTCPポート1025と1026などは、 HTTPデータを転送する様々な登録ポート、使用しています。 図2.5は、パケットを捕捉することがクライアントとサーバー間のTCPセッションの確立を表示し、それらの間のHTTPデータの伝送されています。 パケットをキャプチャのフレーム2では、ソースアドレス( 24.130.10.35 )は、クライアントコンピュータは、 Web page.The先アドレス( 192.0.34.65 )を要求しているが( ICANNは、インターネット株式会社庫の名前と番号をホストするWebサーバーです。 )のWebサイト。 情報分野では、 1025年> 80は、ソースTCPポート1025.The 80であることを示しては、先のTCPポート80であることを示します。 最初の3つのフレームは、クライアントとサーバー間のTCP接続を確立は、 TCPハンドシェイクは、表示されます。 以下のフレームでは、クライアントの要求はserver.TheからのデータのHTTPリクエストは、 HTTPのバージョンは、クライアントとサーバーのuse.Theされると判断し、クライアントは、 Webページのリクエスト、ダウンロードの内容。

ポートをブロックするように決定

ときにサーバー上のどのポートをブロックするように決定は、まず必要がサービスを決定する必要があります。 これを簡単に必要なサービス、特にサービスが一時ポートを使用してから、以前の説明をブロックすることができますほとんどの場合、一筋縄では、排他的にこれらのservices.Thisが必要とされていないすべてのポートをブロックします。

お使いのサーバーが電子メールサーバーのSMTPおよびIMAPを実行している排他的な場合、ポート25と143は、それぞれ以外のすべてのTCPポートをブロックすることができます。 お使いのサーバーは、排他的なHTTPサーバーは、 TCPポート80以外のすべてのポートをブロックすることができます。 どちらの場合では、すべてのUDPポートからのSMTPおよびIMAPのすべてのTCPサービスを使用して排他的にブロックすることができます。 しかし、場合には、 HTTPクライアントとして(つまり、お客様のサーバーを使用するように、アクセスするオペレーティングシステムのアップデート用)を、または電子メールクライアントは、リモートメールサーバーに、システムに限定されます。 クライアントのDNSのためだけでなく、 Webサーバーとの接続を確立するための登録TCPポートUDPポートを登録する必要があります。 するだけの場合は、対応するUDPポート25 、 80 、 143 、 DNS要求を開くためのDNSクエリをUDPポート53 、およびDNSの回答を使用してブロックされている(例えば、登録の応答を述べては、 UDPポートを使用してwww.syngress.com = 205.181 。 158.215 ) 。 www.syngress.comされることがあります場合でも、ポート53 、別の登録ポートを開く

の回答をするたびに割り当てられている。 登録は、ランダムに割り当てられたポートへのアクセスを許可しようとtime.Theほぼ同じ問題の無駄は、はかないことは不可能ですTCP接続をポートを必要と適用されます。 そのため、いずれかのすべてのTCP / UDPの(ので、クライアントとして)お客様のサーバーを使用して、ポートを登録または(あなたを必要とするサービス)とリソースにアクセスすると、このようなシステムのアップデートを、別の方法として営業を除くブロックを開く必要があります。 は、 Red Hat LinuxのアップデートCDを、再注文多くの管理者ごとに8週間をマスター、現在は、すべての更新プログラムが含まれ( www.redhat.com/products/software/のLinux / updatecd / ) 。また、単に別のからアップデートファイルをダウンロードすることができますコンピュータ。

ブロッキングポート

ブロックのTCP / UDPのサービスをLinux上で、あなたは、次のセクションで、特定のport.Theを使用してサービスを無効にする必要がありますポートを使用して無効化について説明し、 xinetdのスタンドとポートに割り当てられただけでサービスを無効にします。

xinetdのサービス

多くのサービスは、それぞれのファイルでは、 / etc / xinetd.dディレクトリには、ポートを使用してサービスをコメントで無効になっている。 たとえば、ポート79を無効にする(これは、悪意のあるハッカーがユーザーのデータを使用することができますを指サービス)は、指でのサービスのエントリをコメントアウトして使用を/ etc / xinetd.d /指のファイルを作成します。 表2.2を参照してください他のポートをブロックすることができますが表示されます。 この共通のポートをファイアウォールによってブロックが表示されます。 しかし、これらのポートは、サーバー自体でブロックすることができます。 ポート79を無効にする手順に従ってください:

1 。 ポート79を無効にするには、編集する必要がありますは、 / etc / xinetd.d /指のファイルを作成します。 指ファイルとは、サービスの行を探します指を開きます。

2 。 指のサービスの行をコメントアウトして、書いて、そのファイルを終了します。

3 。 次に、入力してxinetdを再起動する必要があります:

は/ etc / rc.d / init.d /に再起動xinetdの

4 。 お使いのシステムの場合は指をプログラムしたり、指のゲートウェイにアクセスするにインストールされて、お客様の要求に失敗する指system.Youにする必要があります。 は、他の多くのポートを無効にxinetdを使用することができます注意してください。

スタンドアロンサービス

その対応するサービスは、 / etc / xinetd.dディレクトリに含まれていないポートを無効にするには、サービスのプロセスを殺す必要がありますし、サービスが自動的にスタンドアロンのサービスと呼ばれていますreboot.Theseサービスを再起動していないことを確認します。 たとえば、ポート111はスタンドアロンPortmapperがサービスのほとんどが技術的には、 Sunリモートプロシージャコール( RPC )サービスは、電子メールの一部ですservers.The Portmapperが、必須ではありませんが割り当てられているサーバーマシン上で動作し、ポート番号が割り当てられますNISとNFSのパケットなどのRPCパケットを、 。 これらのほとんどのRPCサービスの電子メールサービスは、ポート111が使用されていない必要はありません。 111ポートを無効にするには、以下のようにPortmapperがサービスを無効にする必要があります:

1 。 、をPortmapperサービスを無効にするにはportmapのは、プロセスID ( PID )を入力して識別する:

のps auxを| grepがportmapに

2 。 2番目の列は、 PID number.The最後の列のリストにそのプロセスをPID.To 、 Portmapperがサービスを停止は、 PID番号を識別しを使用してリストを入力してください:

殺す-9 [ pidを番号 ]

3 。 サービスの再起動時に、入力して再起動していません: Ntsysvていることを確認するには

4 。 下にスクロールして、 portmapサービスをオフにする]チェックボックスは、サービスの横にしてください。 [ OK ]をクリックします。はもはやportmapサービスの起動時に再起動します。

ポート80がインストールされていない限り、サービスなどの一部のポートは、活性化されていません。 例えば、もし、 80ポートのApacheサーバをインストールしていない使用されません。 ポートをブロックする必要はありませんので、すでに無効になっている。

記事グレッグPregoviaが提出
免責事項:弊社のウェブサイト上の情報を、この資料に含まに関して責任を負いません。ない方法でこの資料には、ビュー、意見、思想や信条の記事ディレクトリのスタッフの反映している。
翻訳通知:この記事は" Linuxの下でポートをロックダウン"の自動翻訳サービスを使用して翻訳された。 私たちは心から変換エラーが発生している可能性があることをお詫び申し上げます。 お客様のご理解をいただき、ありがとうございます。


Online: 1190 users browsing the articles directory