ubuntuusers.de

rleofield schrieb:

Port 443 für gesicherte HTTPS-Verbindungen oder der Port 25 für den Nachrichtenversand per SMTP.

Unsinn.

Wirklich?

Offene Ports (Abschnitt „Die-Protokolle-TCP-und-UDP“)

Dort steht

"Um ein Durcheinander zu verhindern, wurde die Zuordnung von Diensten (Webserver, Mailserver, etc.) zu Portnummern standardisiert. Eine Liste dieser Zuordnungen befindet sich in der Datei /etc/services.

smtp 25/tcp mail ... http 80/tcp www # WorldWideWeb HTTP ... https 443/tcp # http protocol over TLS/SSL

Aha, steht das da. Da steht auch

"offen für alles"

Oh, dann ist also alles offen? Und dann steht da noch

"geschlossen"

Oh, dann ist also alles zu??

Es ist doch nur Eine Liste dieser Zuordnungen. Nicht die Liste dessen, was alles per Default offen ist. Steht irgends. Mach mal

1

netstat -tulpen | grep 443

und du siehst das du nichs siehst (ausser syserr) im Default.

0nan schrieb:

Benno-007 schrieb:

Zumindest Ubuntu (mit seiner keine-offene-Ports-Politik) ist im Wesentlichen optimal voreingestellt.

Port 80 ist aber doch offen. Port 443 für gesicherte HTTPS-Verbindungen oder der Port 25 für den Nachrichtenversand per SMTP.

Alle 65535 Ports sind 'offen'... ausnahmslos. Du kannst das auf einfachste Weise mit netcat testen, der auf wirklich jeden Port mit "echo" eine Nachricht senden kann. Voraussetzung ist nur, dass auf dem Zielgerät ein Dienst genau auf diesem Port auf die Nachricht wartet. Lediglich ein Paketfilter im Kernel könnte das verhinden, der aber default nicht installiert ist - was imho aber auch unnötig ist. Nur ist "offen" hier an der Stelle generell ein falscher Terminus. Denn wirklich offen wird ein Port auf einem Rechner erst dadurch, wenn ein Dienst auf diesem Port auf eingehende Pakete lauscht. Und solange das nicht ist, ist ein Port auch nicht auf/offen.

"Port 80 ist auf" bedeutet in Deiner Sichtweise also nur, Port 80 erlaubt ebenso wie die 65534 anderen Ports ausgehende TCP-Pakete... insofern ist diese Feststellung "offen" bedeutungslos. Auf einer anderen Maschine muss aber genau auf diesem Port 80 ein Dienst auf ein solches Paket warten... und nur auf dieser anderen Maschine kann man wegen dieses Dienstes dann von einem offenen Port 80 sprechen.

Ausgehend sind also immer alle Ports offen (solange ein Paketfilter das nicht unterbindet), eingehend sind nur die Ports offen, auf dem ein Dienst lauscht. Und wenn lokale Prozesse den Port 80 für "unerlaubt nach hause telefonieren" missbrauchen, so hat das nichts mit "offen" zu tun, sondern weil es sich um lokale Prozesse handelt ist das zweckgebundenes oder bestimmungsgemäßes Verhalten. Wenn Du das nicht willst, solltest Du nicht solche Software installieren und Dich dann darüber beklagen, dass sie "nach hause telefoniert".

Was wirklich offen ist, zeigt netstat.

Das hier klingt ja auch nicht gerade berauschend: https://www.golem.de/news/imho-unnoetige-sicherheitsrisiken-mit-linux-1810-136892.html

robert-engel schrieb:

Das hier klingt ja auch nicht gerade berauschend: https://www.golem.de/news/imho-unnoetige-sicherheitsrisiken-mit-linux-1810-136892.html

Hmm, und die Parser unter Win parsen keine z.B. PDF? Oder sind sicher programmiert? Wer's glaubt...

Interessante Einblicke allerdings, wie dass AppArmor bei Evince doch nur Schreibzugriffe abwehrt.