Новая дырка

[asy]

Процесс который сидит на 631 порту имеет пид 1 - аштоппил

А действительно. https://bugzilla.altlinux.org/51610

Тут проблема, видимо, в /lib/systemd/system/cups.socket. То есть сервис cupsd, при наличии systemd, запускается через него, при этом сетевая конфигурация в cupsd.conf уже не учитывается.

[Nicom]

Все порты закрыты

Ошибаетесь.
Внимательно прочтите строчки

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.22 seconds

Там говорится о том, что nmap не смог пингануть адрес и предложил попробовать ещё раз, но без пинга, с ключом -Pn.
Я надеюсь, что вы не пытались сканировать внешний адрес роутера из внутренней подсети.

Конспиратор, блин. На вопросы вы осознанно не отвечаете?

[rits]

Посмотрим свою систему (SimplyLinux p10):
# ss -apn|grep :631

Код: [Выделить]

udp   UNCONN    0      0      0.0.0.0:631       0.0.0.0:*       users:(("cups-browsed",pid=2986,fd=7))                                                                                                                                                                                                                                                                                                                                                                                                                   
tcp   LISTEN    0      4096              *:631     *:*       users:(("cupsd",pid=2864,fd=4),("systemd",pid=1,fd=60))
# systemctl status cups ..[2tab]

Код: [Выделить]

cups-browsed.service        cups-lpd.socket   
cups.path    cups-pdf-firsttime.service  cups.service                cups.socket
# systemctl status cups-browsed.service

Код: [Выделить]

● cups-browsed.service - Make remote CUPS printers available locally
     Loaded: loaded (/lib/systemd/system/cups-browsed.service; enabled; vendor preset: disabled)
     Active: active (running) since Mon 2024-09-30 08:15:54 MSK; 2 days ago
   Main PID: 2986 (cups-browsed)
      Tasks: 3 (limit: 38164)
     Memory: 4.8M
        CPU: 466ms
     CGroup: /system.slice/cups-browsed.service
             └─ 2986 /usr/sbin/cups-browsed
# rpm -qf /usr/sbin/cups-browsed

Код: [Выделить]

cups-filters-1.28.11-alt2.x86_64# rpm -ql  cups-filters-1.28.11-alt2.x86_64

/etc/cups/cups-browsed.conf
/etc/rc.d/init.d/cups-browsed
/lib/systemd/system/cups-browsed.service
/usr/bin/driverless
/usr/bin/driverless-fax
/usr/bin/foomatic-rip
...
/usr/sbin/cups-browsed
...

# nmap -sU -p 631 192.168.8.75

Код: [Выделить]

Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-02 09:11 MSK
Nmap scan report for arm1 (192.168.8.75)
Host is up (0.00023s latency).

PORT    STATE         SERVICE
631/udp open|filtered ipp
MAC Address: 00:33:CC:99:BB:AA (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds

# systemctl stop cups-browsed.service

# nmap -sU -p 631 192.168.8.75

Код: [Выделить]

...
PORT    STATE  SERVICE
631/udp closed ipp
...
Не думаю, что за NAT-ом данная проблема смертельный случай, но все, что до 'но' это ослиная моча )
Если базальтовцы продают дистры по 130 тыс. лицензий почте Россия и прочим, то данную проблему не стоит игнорировать и обращать внимание на эти уязвимости. По крайней мере безопасные дефолты применять. Если кто заходил на "вебморды" мфу HP или роутеров-медиацентров, видели, что это полноценные ОС Linux, причем без всяких DNS могут обращаться во внешний мир и иметь не декларированные возможности в прошивках. А это в свою очередь прямой доступ в корпоративные локалки особенно в нынешних условиях, да еще уязвимость "по приглашению" ) В моем случае я уже не помню, сам включал или было по дефолту, а на p9 на одном из системников cups-browsed отсутствовал, только cupsd запущен.

[Nicom]

Если базальтовцы продают дистры по 130 тыс. лицензий

Опять поднимаю вопрос об установленном дистрибутиве. Судя по вашему

Посмотрим свою систему (SimplyLinux p10):

и похожему поведению системы у АлексеМиК делаю вывод, что виноват Симпли, потому что на стартеркитах р10 cups-broused по умолчанию выключен. На официальных дистрибутивах не проверял.

systemctl status cups*

Код: [Выделить]

● cups.service - CUPS Scheduler
     Loaded: loaded (/lib/systemd/system/cups.service; enabled; vendor preset: enabled)
TriggeredBy: ● cups.path
             ● cups.socket
...

● cups.socket - CUPS Scheduler
     Loaded: loaded (/lib/systemd/system/cups.socket; enabled; vendor preset: enabled)
   Triggers: ● cups.service
     Listen: /run/cups/cups.sock (Stream)
             [::]:631 (Stream)
...

● cups.path - CUPS Scheduler
     Loaded: loaded (/lib/systemd/system/cups.path; enabled; vendor preset: enabled)
   Triggers: ● cups.service
systemctl status cups-browsed.service

Код: [Выделить]

○ cups-browsed.service - Make remote CUPS printers available locally
     Loaded: loaded (/lib/systemd/system/cups-browsed.service; disabled; vendor preset: disabled)
     Active: inactive (dead)

ss -apn|grep :631

Код: [Выделить]

tcp   LISTEN     0      4096      *:631      *:*       users:(("cupsd",pid=2691,fd=4),("systemd",pid=1,fd=73))Но я вручную менял параметры в /etc/cups/cupsd.conf

Код: [Выделить]

#Port 631
Listen 0.0.0.0:631
Listen /var/run/cups/cups.sock

[АлексеМиК]

Конспиратор, блин. На вопросы вы осознанно не отвечаете?

Дело не в конспирации которой на самом деле нет. Я просто не всегда на связи - в сети  -соответственно медленно реагирую.

и похожему поведению системы у АлексеМиК делаю вывод, что виноват Симпли, потому что на стартеркитах р10 cups-broused по умолчанию выключен. На официальных дистрибутивах не проверял.

У меня НЕ симпли - обычная Рабочая станция р10(не К).

[АлексеМиК]

Вот что имею сейчас
netstat -lnptux
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
udp        0      0 0.0.0.0:48834               0.0.0.0:*                               2875/avahi-daemon: 
udp        0      0 127.0.0.1:323               0.0.0.0:*                               2923/chronyd       
udp        0      0 224.0.0.251:5353            0.0.0.0:*                               3685/yandex_browser
udp        0      0 224.0.0.251:5353            0.0.0.0:*                               3598/yandex_browser
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               2875/avahi-daemon: 
udp        0      0 ::1:323                     :::*                                    2923/chronyd       
udp        0      0 fe80::42cf:f0b2:598:546     :::*                                    2980/NetworkManager
udp        0      0 :::33477                    :::*                                    2875/avahi-daemon: 
udp        0      0 :::5353                     :::*                                    2875/avahi-daemon: 
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     20854  3228/mate-session   @/tmp/.ICE-unix/3228
unix  2      [ ACC ]     STREAM     LISTENING     19166  3098/crond          cron/.sock
unix  2      [ ACC ]     STREAM     LISTENING     19827  3108/X              /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     20810  3339/dbus-daemon    /tmp/dbus-atVpF5Oc6w
unix  2      [ ACC ]     STREAM     LISTENING     20855  3228/mate-session   /tmp/.ICE-unix/3228
unix  2      [ ACC ]     STREAM     LISTENING     19826  3108/X              @/tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     22115  3409/apt-indicator  /tmp/.private/user/qtsingleapp-aptind-bf76-1f4
unix  2      [ ACC ]     STREAM     LISTENING     20245  3208/systemd        /run/user/500/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     22442  3598/yandex_browser /tmp/.private/user/.ru.yandex.desktop.browser.aVxABf/SingletonSocket
unix  2      [ ACC ]     STREAM     LISTENING     20250  3208/systemd        /run/user/500/bus
unix  2      [ ACC ]     STREAM     LISTENING     20252  3208/systemd        /run/user/500/gnupg/S.dirmngr
unix  2      [ ACC ]     STREAM     LISTENING     20254  3208/systemd        /run/user/500/gnupg/S.gpg-agent.browser
unix  2      [ ACC ]     STREAM     LISTENING     20256  3208/systemd        /run/user/500/gnupg/S.gpg-agent.extra
unix  2      [ ACC ]     STREAM     LISTENING     20258  3208/systemd        /run/user/500/gnupg/S.gpg-agent.ssh
unix  2      [ ACC ]     STREAM     LISTENING     20260  3208/systemd        /run/user/500/gnupg/S.gpg-agent
unix  2      [ ACC ]     STREAM     LISTENING     20369  3276/ssh-agent      /home/user/.ssh/agent
unix  2      [ ACC ]     STREAM     LISTENING     20262  3208/systemd        /run/user/500/pulse/native
unix  2      [ ACC ]     STREAM     LISTENING     20324  3223/gnome-keyring- /run/user/500/keyring/control
unix  2      [ ACC ]     STREAM     LISTENING     20860  3223/gnome-keyring- /run/user/500/keyring/ssh
unix  2      [ ACC ]     STREAM     LISTENING     21597  3223/gnome-keyring- /run/user/500/keyring/pkcs11
unix  2      [ ACC ]     STREAM     LISTENING     17093  1/init              /run/alteratord/.socket
unix  2      [ ACC ]     STREAM     LISTENING     17096  1/init              /run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     17098  1/init              /run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     17100  1/init              /run/pcscd/pcscd.comm
unix  2      [ ACC ]     STREAM     LISTENING     23810  3748/xdg-dbus-proxy /run/user/500/.dbus-proxy/session-bus-proxy-7XGAV2
unix  2      [ ACC ]     STREAM     LISTENING     23811  3748/xdg-dbus-proxy /run/user/500/.dbus-proxy/a11y-bus-proxy-XXFAV2
unix  2      [ ACC ]     STREAM     LISTENING     14218  1/init              /run/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     14220  1/init              /run/systemd/userdb/io.systemd.DynamicUser
unix  2      [ ACC ]     STREAM     LISTENING     14221  1/init              /run/systemd/io.system.ManagedOOM
unix  2      [ ACC ]     STREAM     LISTENING     14232  1/init              /run/lvm/lvmpolld.socket
unix  2      [ ACC ]     STREAM     LISTENING     14241  1/init              /run/systemd/journal/stdout
unix  2      [ ACC ]     SEQPACKET  LISTENING     14243  1/init              /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     14421  2604/systemd-journa /run/systemd/journal/io.systemd.journal
unix  2      [ ACC ]     STREAM     LISTENING     86507  7429/pluma          /tmp/.private/user/pluma.user.3448375355

[ASte]

Вообще говоря, первое что нужно сделать после установки системы - это включить firewall и запретить "наружу" все, кроме ssh и того что лично Вы используете и осознанно настраиваете. На ssh запретить вход рутом и вход по паролю (оставить только по ключу).

[АлексеМиК]

Вообще говоря, первое что нужно сделать после установки системы - это включить firewall и запретить "наружу" все, кроме ssh и того что лично Вы используете и осознанно настраиваете. На ssh запретить вход рутом и вход по паролю (оставить только по ключу).

А можно ссылку КАК это делается ??Мануал какой-то

[Skull]

http://altlinux.org/alterator-net-iptables

[stranger573]

запретить "наружу" все, кроме ssh
...
На ssh запретить вход рутом и вход по паролю (оставить только по ключу).

А это ещё зачем?
Заморачиваться с теоретической уязвимостью в cups и одновременно организовать возможность входа в систему посторонним из сети — это вообще нечто, недружное с головой. Если нет особых причин — никакие входящие соединения вообще не нужны.

[ASte]

А у посторонних есть ключ?
Отвечу на вопрос зачем - иногда доступ по ssh бывает полезен при диагностике/починке системы. В "интернет" его пробрасывать на роутере  без нужды не нужно, а в локалке от него обычно пользы больше чем вреда.

[stranger573]

А у посторонних есть ключ?

Если открывать и разрешать что ни попадя, и что с вероятностью 146% никогда не понадобится — будет и ключ у посторонних.

Отвечу на вопрос

Не надо! Вопрос был не об этом. У него личный ноутбук, нет и не планируется принтер, скорее всего нет и личной локальной сети (из которой он будет заходить в этот ноутбук). Зачем ему ssh, avahi, cups? И какая может быть польза если их открыть? Да и надобность разрешать входящие к NM и яндех браузеру тоже сомнительна. Дыры были, есть и будут не только в cups, но и во всех остальных программах. Так же дыры присутствуют и в роутерах. Не факт, что не пробросит кто-нибудь извне. Польза будет, если неиспользуемое удалить (если выносит нужное — хотя бы заглушить). Не будут жрать впустую ресурсы, а заодно ослаблять безопасность.

[ASte]

Это если знать, что нужно, что не нужно, что можно удалить и что нужно отключить.
А если не знать - то самое простое и быстрое это запретить все "внешние" соединения на firewall. Тогда даже если при обновлении/установке какой-нибудь сервис включится из за изменений в дефолтных настройках, наружу он все равно торчать не будет.
А вот про ssh мой опыт говорит, что лучше оставить. Если не нужен то можно сервис загасить.  Но это мой опыт. Я по ssh иногда с планшета на ноут захожу, и если между двумя ноутами нужно что-то "перекинуть" по быстрому, тоже делаю обычно через ssh/scp.

[АлексеМиК]

Еще в тему
https://xakep.ru/2024/10/07/cups-for-ddos/

[stranger573]

Еще в тему

Ничего нового. Проблемы с безопасностью только cups — https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=cups
Другие программы в этом плане не сильно отличаются. Нечего держать в системе неиспользуемое и тем более разрешать для этих приложений доступ из сети и в сеть. Чем больше программ в системе — не лучше, а хуже. Должно быть только то, что требуется, не больше. То, что авось когда пригодится, держать нет надобности. Когда понадобится, тогда и установить всегда можно.