Sto configurando un server dedicato (4 giorni di operatività, non ancora in produzione). Sono un programmatore, non un amministratore di sistema o un esperto di sicurezza, quindi abbi pazienza con me.
Ho appena provato a portscan con nmap -p- -T5 -Pn -sV -v per vedere come appare dall'esterno e questo è stato il risultato
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
4223/tcp filtered unknown
6010/tcp open x11?
7070/tcp open tcpwrapped
7190/tcp filtered unknown
8078/tcp filtered unknown
16946/tcp filtered unknown
17444/tcp filtered unknown
27238/tcp filtered unknown
29292/tcp filtered unknown
29683/tcp filtered unknown
32786/tcp filtered sometimes-rpc25
41551/tcp filtered unknown
43397/tcp filtered unknown
48553/tcp filtered unknown
53487/tcp filtered unknown
54580/tcp filtered unknown
55489/tcp filtered unknown
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Inutile dire che questo mi ha spaventato un po ', ho controllato il history di tutti gli utenti (root e io, non ci sono altri utenti di login) e non ho trovato nulla di strano.
Ho bruteforces continuo su ssh ma credo che sia normale, fail2ban sta facendo bene il suo lavoro.
Dopo un riavvio, l'arresto di apache e il tentativo di un'altra nmap ho ottenuto questo.
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
554/tcp open tcpwrapped
7070/tcp open tcpwrapped
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Perché ho così tante porte filtrate (e aperte)?
Su questo server ho installato solo lo stack LAMP, kvm e snort. Snort non ha ancora un log reader ma è tutto nel DB (potresti raccomandarne uno anche io? Richiedo PHP7)
UPDATE:
Le porte risultano filtrate mentre snort è non in esecuzione , se lo avvio, vengono visualizzate solo le porte aperte.
Inoltre, le porte filtrate cambiano ogni volta che eseguo nmap .
Perché il comportamento è così incoerente, potrebbe essere semplicemente la perdita di pacchetti su SYN / ACK?
Non capisco questo comportamento e mi piacerebbe.