Servertjänster

På en Linuxdator finns det normalt ett gäng servertjänster som kan installeras och köras igång. Många av dessa vill man normalt att omvärlden inte ska få komma åt. Dessa bör spärras för omvärlden. Som en grundregel bör du titta i /etc/inetd.conf och sätta ett # före varje tjänst som du absolut inte måste ha. Är du osäker prova att kommentera bort tjänsten med ett #-tecken i början på raden. Ingenting går sönder bara för att du tar bort en tjänst ur inetd.conf. Är det någonting viktigt som slutade fungera vet du vilken tjänst det var.

Alla tjänster som skickar kommandon, lösenord och data i klartext ska alltid undvikas. Till dessa hör telnet, ftp, pop (pop2, pop3), imap m.fl. Det är allt för enkelt att avlyssna trafiken och uppsnappa lösenord och data.

Finger kan användas av crackers för att ta reda på vilka användare som finns på datorn och kan underlätta för dem för att bryta sig in i din dator. Stäng därför helst av finger.

Här är ett exempel på några tjänster som kanske kan få vara kvar.

# Exempel på en inetd.conf
#
discard stream  tcp     nowait  root    internal
discard dgram   udp     wait    root    internal
#
# Mail
smtp  stream  tcp     nowait  root    /usr/sbin/tcpd    sendmail -bs
#
#
#slut på inetd.conf

I exemplet ovan körs sendmail och ident via en tcpwrapper. I /etc/hosts.allow och /etc/hosts.deny begränsas vilka datorer och eller domäner som ska få komma åt de respektive tjänsterna. En /etc/hosts.allow kan typiskt se ut enligt följande där endast datorerna och domänerna i listan kommer åt sendmailservern på datorn. En lista kan vara en fullständig domänadress till en dator eller en domän där alla datorer inom den domänen får använda tjänsten. Domänen .und.ida.liu.se innebär att alla alla studentdatorer på IDA vid Linköpings universitet får komma åt en tjänst.

#
# Ett exempel på en /etc/hosts.allow
# servertjänst: lista på datorer
# servertjänst är namnet på programmet
#
sendmail: winona.rydnet.lysator.liu.se, mailhost.lysator.liu.se, mail.student.liu.se, samantha.lysator.liu.se
in.identd: .lysator.liu.se, .und.ida.liu.se, .ctrl-c.liu.se
#
#

Mailservrar, som sendmail, bör tillgängligheten begränsas för så att ingen kan utnyttja några eventuella säkerhetshål i serverprogrammet eller använda det för att reläa spam-mail. Reläning är som standard avslagen i nyare Sendmail (från och med Sendmail 8.9).

Gör nu slutligen netstat -a | more och titta på utdata från netstat. Det är avsnittet Active Internet connections (including servers) som är intressant att titta på. I detta avsnitt är det rader med LISTEN som är de man ska titta nogrannt på. Visar den till exempel en rad:

tcp        0      0 *:www                   *:*                     LISTEN

innebär det att en servertjänst ligger och väntar (LISTEN) på uppkopplingar på www-porten. Då vet vi att en servertjänst är igång och väntar på uppkopplingar.

Rader med ESTABLISHED visar etablerade (pågående) förbindelser. Här har vi en uppkopplad ssh-förbindelse mellan annan-burk och minburk.

tcp        0      0 minburk.liu.se:22 annan-burk.liu.se:1022 ESTABLISHED

Se även sidan som behandlar olika servertjänster.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".