我一直在尝试通过停止和禁用默认监听的大约 20 个不必要的服务来强化我的 Debian 系统。其中之一称为“minissdpd”。显然,这为即插即用设备提供了“发现”服务,无论这意味着什么。对我来说,似乎有点疯狂,旨在帮助本地外围设备的东西需要监听世界另一端的中国黑客的声音。发现服务到底意味着什么?
我查看了一些漏洞数据库,果然 minissdpd 列出了一大堆漏洞。他们如何在默认发行版中启用此功能?说真的,这就像安装 Debian 一样,被黑了。
不管怎样,我的主要问题是:既然我已经禁用了这项服务,是否会发生一些不好的事情(比如插入一些东西,它就无法工作)?
答案1
我想说禁用此服务没有问题,假设您不需要UPnP(通用即插即用)。这是一项允许设备在网络上“自动发现”彼此并宣传它们可以提供或正在寻找使用的服务的服务。
摘抄
我首先将 MiniSSDPd 编码为 MiniUPnPc(IGD 设备的 UPnP 控制点)使用的一个小守护进程,以加快设备发现速度。 MiniSSDPd 保留通过 SSDP NOTIFY 数据包在网络上宣布自己的所有 UPnP 设备的内存。
最近,一些 MiniUPnPd(UPnP IDG 的实现)用户抱怨无法运行 MiniUPnPd,并且媒体坟墓(UPnP 媒体服务器的实现)在同一台计算机上,因为这两个软件需要打开 UDP 端口 1900。然后,我向 MiniSSDPd 添加了处理计算机上通过多播组 239.255.255.250 接收的所有 SSDP 流量的功能: 1900年。您可能有兴趣阅读这个论坛主题关于这一切。
答案2
正如@slm 所解释的,可能不需要它,所以:
systemctl stop minissdpd
systemctl disable minissdpd
答案3
我的主要问题是:既然我已经禁用了这项服务,是否会发生一些不好的事情(比如插入一些东西,它就无法工作)?
你好,泰勒和大家:)综上所述,MiniSSDPd 是可选的。无论是停用它还是完全删除它,都不会破坏任何东西。
设备发现仍然可以正常工作。但他们可能会慢一些。如果您停用或删除 MiniSSDPd,您的 Debian 将具有更强的安全性。所以这取决于你的需求。
下面是与上面相同的答案。但如果您对这些感兴趣,请提供详细信息。
只为我自己说话。我不信任 MiniSSDPd。因为它的安全历史非常薄弱。事实上,安全历史是灾难性的薄弱。查找下面的示例和来源。我停用了 MiniSSDPd。因为对我来说安全比速度更重要。
好消息是从 Debian 10 Buster 开始。默认情况下,MiniSSDPd 处于禁用状态。
对于那些不熟悉 MiniSSDPd 的人来说,总而言之,它的作用是加快设备发现速度。例如,如果您在 Debian 上插入一个新设备,它将被更快地检测到。 MiniSSDPd 面临的挑战是,路由器、打印机和其他设备可能会被利用通用即插即用网络协议中的安全缺陷的新攻击远程控制。而MiniSSDPd 的安全性也由来已久。
MiniSSDPd 的安全缺陷示例:
• 2019 年 10 月https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/
• 2019 年 5 月https://www.debian.org/lts/security/2019/dla-1805.en.html
• 2016 年 5 月https://www.debian.org/lts/security/2016/dla-454.en.html
• 2013 年 1 月https://www.hdm.io/writing/SecurityFlawsUPnP.pdf
___•https://web.archive.org/web/20200927005146/https://www.hdm.io/writing/SecurityFlawsUPnP.pdf
答案4
这取决于。你在使用码头工人吗?现在我正在升级后配置 minissdpd。我将粘贴对话框:
MiniSSDP 守护进程将侦听一个接口上的请求,并丢弃所有非来自本地网络的查询。请输入其应侦听的 LAN 接口或这些接口的 IP 地址(以 CIDR 表示法),并以空格分隔。
接口名称是高度首选的名称,如果您计划启用 IPv6 端口转发,则需要使用接口名称。
监听 UPnP 查询的接口:
#your-interfaces-should-appear-hear