Benzer bir sorunu bir suredir ben de dusunuyordum. Daha oncesinde de asagidakileri uygulamistim. Ama benim /etc/inetd.conf dosyasinda tum servisler yok(?) Bazi servisleri de (onune # koyup) kapatmama ragmen hala acik gorunuyorlar. Ornegin sunrpc, printer, smtp, ipp, discard (bu son ikisinin ne yaptigini da bilmiyorum), ssh vb...
29-09-2003 Pazartesi günü saat 13:21 sularında, Volkan YAZICI dedi ki: > On Sun, 28 Sep 2003 21:04:24 +0200 > "Sanal" <[EMAIL PROTECTED]> wrote: > > > uzman linux kullanicilari mesela Murat demirten > > mesela recai bey mesela volkan yazici veya Nilgun belma > > buradan benim ismimi cikarin da digerlerine ayip etmis > olmayalim (biz daha ogrenmeyi ogreniyoruz ,) > > ben soyle yaptim ornegin: > > -- HEAD: gereksiz servisleri kapatmak icin > > root$ nmap -T5 localhost > 25/tcp open smtp > ^^^ > benim sahsi gorusum <-| > bir ev kullanicisi > icin smtp gereksiz > 80/tcp open http > 5432/tcp open postgress > > root$ grep "^smtp" /etc/inetd.conf > smtp stream tcp ... > > root$ cp /etc/inetd.conf /etc/inetd.conf.old > ^^^ > |-> ne olur ne olmaz diye dosyanin bir yedegi > de bulunsun elimizde > > root$ nano /etc/inetd.conf > ^^^ > |-> istediginiz bir editor ile bu dosyayi > aciyorsunuz ve yukarida buldugumuz satirin > basina # isareti koyuyorsunuz > > root$ killall -HUP inetd > ^^^ > |-> inetd'yi bastan baslatiyoruz > > -- TOE: gereksiz servisleri kapatmak icin > > > -- HEAD: elimden gelen bir ki sey daha var sanirim > > root$ cp /etc/hosts.allow /etc/hosts.allow.old > root$ cp /etc/hosts.deny /etc/hosts.deny.old > ^^^ > |-> bu back-up'lar geri donusumuz icin > gerekli sayilir > > root$ echo "ALL: ALL" > /etc/hosts.deny > ^^^ > |-> ornegin benim gibi paranoya bir ev > kullaniciysaniz tum servisleri (tabi bu tum > programlar icin gecerli degil, bunum cok daha > dogru olanini ve daha garantilisi > iptables/ipchains ile cok daha iy bir sekilde > gerceklestirebilirsiniz) gelen isteklere karsi > kapiyor (dedigim gibi bu cok genel bir cozum, > ornegin bir server kosturacaksaniz direk bunu > gecip iptables'a basvurun) > > root$ grep -v "^#" /etc/hosts.allow > ^^^ > |-> basi "comment out" edilmemis satirlari > dokuyoruz > > sshd: LOCAL > cupsd: LOCAL > ^^^ > |-> demekki sadece sshd ve cupsd servislerini erisim izni > tanimisim ve bunlara da sadece localhost'dan > baglanilabilir. > siz buraya kendi servislerinizi koyabilirsiniz ama > dedigim gibi her program icin bu calisacak diye bir sart > yok (cunku bazilarina erisemiyor (konu hakkinda > ayrintili bilgiyi diger ark'lar ve google verebilir)) > > -- TOE: elimden gelen bir ki sey daha var sanirim > > > iste ben boyle yapiyorum xx-amator bir kullanici olarak. > ama eger s1k1 bir iptables bilgisine sahipseniz sisteminizi > cok stabil bir hala sokabilirsiniz. > > iyi calismalar >