OpenBSD 在默认安装中开放端口

OpenBSD 在默认安装中开放端口

我一直在考虑用 OpenBSD 替换 Ubuntu,以提高本地服务器的安全性。我需要对它进行 ssh 访问,也需要它提供静态 Web 内容 - 因此我需要打开的唯一端口是 22 和 80。

但是,当我安装 OpenBSD 4.8 并启用 ssh 和 http 后,扫描服务器的开放端口时,/etc/rc.conf

httpd_flags=""
sshd_flags=""

我发现它还有其他几个开放的端口:

Port Scan has started…

Port Scanning host: 192.168.56.102

     Open TCP Port:     13          daytime
     Open TCP Port:     22          ssh
     Open TCP Port:     37          time
     Open TCP Port:     80          http
     Open TCP Port:     113         ident

由于我启用了 httpd 和 sshd,所以 ssh (22) 和 http (80) 应该打开,但为什么其他端口也打开了?我应该担心它们会造成额外的安全漏洞吗?在默认安装中它们应该打开吗?

答案1

白天时间以及我认为的“遗留”协议。我猜它们包含在默认配置中,以实现传统 UNIX 风格的完整性。它们由 inetd 启动,除非您需要这些服务(如果您不得不询问,您可能不需要),否则您可以通过注释掉您配置文件中的相关行来禁用它们/etc/inetd.conf(看手册页)。

#ident           stream  tcp     nowait  _identd /usr/libexec/identd     identd -el
#ident           stream  tcp6    nowait  _identd /usr/libexec/identd     identd -el
#daytime        stream  tcp     nowait  root    internal
#daytime        stream  tcp6    nowait  root    internal
#time           stream  tcp     nowait  root    internal
#time           stream  tcp6    nowait  root    internal

kill -HUP `cat /var/run/inetd.pid`

答案2

鉴于 pf 默认启用,您可以让 pf.conf 使用默认拒绝方法。假设你的接口是fxp0,这是一个很好的起始规则集。

set skip on lo0

block in  fxp0
block out fxp0

pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state

pass in on fxp0 proto tcp from any to (fxp0) {22 80}

答案3

这个问题已经三年了,但我觉得应该回答:它们在默认安装中没有打开;至少,现在不再打开了。

OpenBSD 5.5 基础安装上的端口扫描仅显示 ssh:

Port Scan has started…

Port Scanning host: 192.168.1.29

     Open TCP Port:     22          ssh
Port Scan has completed…

启用 httpd 并禁用 pfpfctl -d仅显示 ssh 和 http:

Port Scan has started…

Port Scanning host: 192.168.1.29

     Open TCP Port:     22          ssh
     Open TCP Port:     80          http
Port Scan has completed…

这并不是说他们从未开放过,他们是在以前的版本中。它们是否是漏洞取决于用户。事实上,它们是非常简单的守护进程,我认为很难被利用。更多答案这里

相关内容