- ベストアンサー
Fedora35
sudo firewall-cmd --permanent --remove-port=445/tcp --zone=public このようにしてポートを塞ぎたいのですが、Warning: NOT_ENABLED: 445:tcpというエラーが出てしまって、結局のところ塞げていません。 ご教示お願いします。
- 電圧 MAX(@voltage999)
- お礼率71% (462/647)
- セキュリティ対策
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
>最近は、virtualbox事体に脆弱性があるのでどうにか防ぎたいのですが。 あ~そっちだと、さすがに、その中で動いてるゲストのFWを どうにかしても、キッツいですね。 いわゆる 外→物理Linux→仮想PC内Linux ↑ここを物理Firewall兼ルーター化する感じの方が いいかもしれませんね。 こちらでは、80/443だけを外につないでます。 SSHは21からポート変更+認証キーでの認証をした状態で 家に侵入。そこから中にあるVMへのアクセスという 感じで運用してますね。 (さすがに、生でVMは外に出したくはないですからね) お力になれずすいません!
その他の回答 (3)
- AsarKingChang
- ベストアンサー率46% (3467/7474)
今回確信がやや「ない」投稿になります。 >sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, 192.168.56.1, 16) => Operation not permitted ここの、192.168.56.1がやけにひっかりまして。 これって、publicじゃなくて、ローカルなんじゃ?ってな^^ それと、445って。。SMBのことですよね? もしかしたら、ポート番号じゃなくて「サービス名」 の方で、処理されてるかもしれませんね。これ。 Windowsでも、ポート単位やアプリ単位ってのがあるのと 同じで、この場合アプリ=サービスかも! なので、SMBなどを抜くことで、閉じられる気がしますが。 その前に、外→中でフィルタしてもいいかもですね。 中→中は、開いてても閉まってても、んま~どうでもいいでしょうから。 (入っている時点ですでに侵入されてるわけなので、それ以上こだわっても~的なニュアンスで) VirtualBOXでサーバー作る場合、親ルーターから 元々ピンポイントでNATして、 80/443(場合により21か、ポートを移動したsshdとか) を外だしするでしょうから、 中だし(なんかエロい会話に聞こえるが^^)側は ま~いいんじゃないかな~(そんないい加減な^^) 添付画像は、WorkStationエディションなので、 WEBサービス系デーモンは入れてないのですが、 ServerEditionでも、この辺は、割とそのままで、20年近く 使ってますよ。本「壁」の方を強化したほうが いいかな~的な。。使い方していたので。 今回のは、的外れの可能性が高いので(すいません) 参考程度ってことで、頼みます。
お礼
回答ありがとうございまsう。 一応sambaに関するパッケージは全て削除したのですが、 それでもポートが開いたままになりますね。 因みにサービスではあったのですが、同じような結果になりますね。 セキュリティ的には問題ないのかもしれませんが気になります。
補足
すみません、大事なこと言い忘れていたのですが、 スキャン自体はvirtualboxのIPアドレスに対してスキャンしました。 最近は、virtualbox事体に脆弱性があるのでどうにか防ぎたいのですが。 とりあえずスキャン結果はこちらです。 PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP) 5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-server-header: Microsoft-HTTPAPI/2.0 |_http-title: Service Unavailable Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: bridge|general purpose Running (JUST GUESSING): Oracle Virtualbox (98%), QEMU (92%) OS CPE: cpe:/o:oracle:virtualbox cpe:/a:qemu:qemu Aggressive OS guesses: Oracle Virtualbox (98%), QEMU user mode network gateway (92%) No exact OS matches for host (test conditions non-ideal). Network Distance: 2 hops Service Info: Host: VAIO; OS: Windows; CPE: cpe:/o:microsoft:windows Host script results: | smb-security-mode: | account_used: guest | authentication_level: user | challenge_response: supported |_ message_signing: disabled (dangerous, but default) | smb2-time: | date: 2022-04-09T04:48:50 |_ start_date: N/A | smb2-security-mode: | 3.1.1: |_ Message signing enabled but not required
- AsarKingChang
- ベストアンサー率46% (3467/7474)
>というエラーが出てしまって、 ちなみ、エラーは出てませんよ。ワーニングだけです。 わざと逆に、add-portで、追加して listを出すと、portsに9999が出現 それを、質問のように、remove-portすると、「ワーニングは出ていない」 その状態で再度listを出すとportsからは9999は消える。 この状態で再度remove-portで、同じワーニングがでる。 つまり、最初から開いていない状態に対して 削除を発行したというのが、確認できると思います。
お礼
回答ありがとうございます。 しかしながらfirewalldは使いずらいのでとりあえずiptablesを使ってポートを塞いだのですが、sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, 192.168.56.1, 16) => Operation not permitted このような文字が出てくるのですが、nmap -A -sC -svでスキャンしたら出てきます。 ちなみに閉じたポートは、135,139,445です。 ご教示よろしくお願い致します。
補足
因みにvirtualboxの脆弱性を防ぐためにテストしています。
- AsarKingChang
- ベストアンサー率46% (3467/7474)
それ、元々が閉じてるから、削除できなかっただけでは? 試しに、全然関係のないポートでやっても同じメッセージになると思われます。 ということで、全く同じ環境を用意して、 無関係なポートに対して同じ命令を発行したログを 添付しておきますが。 開いてないポートは、削除できないよ~ ってことですね。
お礼
回答ありがとうございます。 なるほど、そうでしたか・・。
お礼
回答ありがとうございます。 何やらsambaも有効になっていてそれを無効にしたり windowsでポートをブロックしたり レジストリをいじったり windowsの方の設定で色々試行錯誤して見たら 改善はされました。 おかげで大分セキュリティが変わった気がします。 ありがとうございました。