En stor del av att säkra ett Linux-system låser ner oanvända portar för att hindra dem från att komma åt och i sista hand kapas av attacker.

Linux-system är byggda för att vara servrar, så angripare skulle försöka använda ett kompromissystem på det sättet, även om det systemet var inställt på att vara ett skrivbord.

Genom att använda verktyg som NMAP kan du räkna ut vilka portar som är öppna på ditt Linux-system, stoppa oönskade och oanvända tjänster, och eventuellt stänga dessa portar helt och hållet med iptables.

Installera NMAP

Först måste du installera NMAP. Det är ett välkänt och respekterat säkerhetsverktyg, så det är tillgängligt i nästan varje distributions officiella arkiv. För att installera det på Ubuntu, kör följande.

 sudo apt installa nmap

Utför en skanning

Trots att det är ett så enkelt kommandoradsverktyg, har NMAP många alternativ att utföra en mängd olika skanningar under olika omständigheter. Du behöver inte alla dem för detta, men de kan vara värda att experimentera med på ditt eget nätverk för lärandesyfte.

Allt du behöver göra här är en enkel sökning av din egen dator. NMAP söker igenom de vanligaste portarna på din dator och ser vilka som är öppna och används.

För att skanna din dator behöver du dess IP-adress. Om du inte vet det, kör ifconfig i en terminal för att hitta den.

När du har datorns IP kan du använda den för att skanna med NMAP.

 sudo nmap-sS-O 192.168.1.100

Ersätt datorns IP i kommandot. NMAP tar några sekunder medan det skannar datorn, det visar vilka tjänster som körs på vilka portar och huruvida de är öppna eller inte. (De kommer alla att vara öppna.) Det kommer också att försöka berätta vilken tjänst som använder den porten. Det är en mycket viktig information. Notera det om NMAP kan upptäcka tjänsten.

Om du vill ha mer information om din dator från NMAP, försök använda -A flaggan för att aggressivt skanna den.

 sudo nmap-A 192.168.1.100

Du får se mer information, de flesta som du verkligen inte behöver, om du inte ser någonting som är potentiellt misstänksam.

Slutligen, om du vill vara superparanoid kan du skanna varje port på din dator. Det tar lång tid. Det finns tusentals av dem.

 sudo nmap-sS-O-p-192.168.1.100

Hamnar

Ta en titt på de öppna portarna som NMAP upptäckte. Vet du vad de är alla? Användar du dem alla regelbundet? Om du svarade "Nej" till endera frågan är det värt att undersöka.

För det första hanterar Ubuntu och andra Debianbaserade distributioner tjänster på ett konstigt sätt. De startar varje program som körs automatiskt som en tjänst så snart den är installerad. Medan det kan tyckas bekvämt, är det inte meningsfullt. Du kommer aldrig att vilja köra en okonfigurerad tjänst på en server, så du måste ta ner tjänsten omedelbart för att konfigurera den för regelbunden användning ändå.

Det skapar också ett problem med "fantom" -tjänster som körs utan ägarens kunskaper. Paketförvaltare drar in massor av beroenden när de installerar ett program. För det mesta läser du inte igenom dem alla, speciellt om du är i rush. Det innebär att du kan få tjänster att köra i bakgrunden på datorn utan din kunskap eller samtycke. Det kan vara orsaken till några okända öppna portar som du upptäckte.

Här är några av de vanligaste portarna som används på Linux-system:

  • 21 - FTP
  • 22 - SSH
  • 25 - SMTP (skicka e-post)
  • 53 - DNS (domännamnstjänst)
  • 80 - HTTP (webbserver)
  • 110 - POP3 (e-postbrevlåda)
  • 123 - NTP (Network Time Protocol)
  • 143 - IMAP (e-post inkorg)
  • 443 - HTTPS (säker webbserver)
  • 465 - SMTPS (skicka säkert e-post)
  • 631 - CUPS (skrivarserver)
  • 993 - IMAPS (säker e-post inkorg)
  • 995 - POP3 (säker e-post inkorg)

Det finns ju fler, och om du hittar en helt otrolig, titta upp den online. Om du hittar någon av dessa som körs när du inte avsiktligt kör den tjänsten, stäng av den.

Avstängning av tjänster

Så du har upptäckt ett par oönskade tjänster som körs på din dator. Det är inte en stor sak. Du kan använda Systemd för att stänga av dem och inaktivera dem så att de inte startar nästa gång du startar upp datorn.

 sudo systemctl stop apache2

Kommandot ovan stannar apache2 webbservern. Sedan, om du vill inaktivera den vid start, kör nästa kommando.

 sudo systemctl inaktivera apache2

Gör det för varje tjänst som du förhindrar från att köra. Om du har svårt att ta reda på det exakta namnet på tjänsten kan du lista vad som finns i servicekatalogen.

 sudo ls -lah /etc/init.d

Blockera hamnar med Iptables

Om du vill ta saker ytterligare ett steg och låsa ner de portar som du inte använder kan du ställa in regler i iptables-brandväggen för att bara tillåta de portar du använder och blockera all annan trafik.

Det är en helt separat process, som om du inte är bekant, tar lite tid. Om du vill veta mer om att säkra ditt Linux-skrivbord med iptables, kolla in vår artikel om ämnet.

Om något verkar fel

Du kanske har snubblat på någonting som verkligen är misstänksamt. Det händer. Ibland är det inget att vara oroad över, andra gånger kan det vara. För att försäkra dig om att det inte är något som skadar datorn eller gör något om det, måste du skanna datorn för virus och rootkits.

Innan du tvivlar på möjligheten kan Linux-maskiner infekteras med skadlig kod. För att lära dig hur du skannar din maskin, gå till vår Linux-programvaruhandbok.

Går framåt

Oavsett vad resultaten av dina skanningar var, bör du kolla datorn regelbundet med NMAP för att se om det finns något misstänkt eller helt enkelt oönskat. Kom ihåg att oönskade tjänster också är en potentiell angreppsytan för vore inkräktare. En mager maskin är en säkrare maskin.