Was macht der vom System aufgelöste Dienst und muss er alle Schnittstellen abhören? [geschlossen]

11

Ich arbeite an einem Projekt mit einem IOT-Gerät (dem mittlerweile veralteten Intel Galileo). Ich möchte diese Geräte härten und habe festgestellt, dass der systemd-resolvedDienst alle Schnittstellen abhört ( 0.0.0.0).

root@hostname:~# netstat -altnp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      240/systemd-resolve

Nachdem Sie die Beschreibung des Dienstes auf freedesktop.org hier gelesen haben , heißt es:

systemd-Resolution ist ein Systemdienst, der lokalen Anwendungen die Auflösung von Netzwerknamen bietet.

Ich habe einen Test durchgeführt, bei dem ich dorthin gelaufen bin ping, google.comwo der ausgeführt systemd-resolvedwurde. Ich habe dann den Dienst deaktiviert und eine pingan gesendet yahoo.com. Für beide Anforderungen gab es keinen Paketverlust.

Meine Frage (n) lauten wie folgt:

  1. Was macht dieser Service?

  2. Wenn es lokale Anwendungen mit Namensauflösung versorgt, warum lauscht es dann auf der 0.0.0.0Schnittstelle?

  3. Ist das ein Sicherheitsrisiko?

  4. Welche möglichen Auswirkungen hat die Deaktivierung dieses Dienstes?

Vielen Dank im Voraus für alle Informationen / Hilfe. Entschuldigung, wenn ich das Fragenformat nicht eingehalten habe, erstmaliger Beitrag. Bitte nach Bedarf bearbeiten.

linux systemd jeeves
quelle
Derzeit gibt es ein Sicherheitsproblem mit systemd-resolver. Daher würde ich mich über Patches für diesen Dienst auf dem Laufenden halten und es in der Zwischenzeit deaktivieren. Die beste Option wäre, einen Prüfstand zu erstellen und zu testen, ob alles wie erwartet funktioniert. Systemd-Resolver wurde für die Kommunikation zwischen Systemen und Prozessen entwickelt, aber viele der Legacy-Anwendungen wurden nicht für systemd geschrieben und verweisen daher nicht auf systemd-resolver.
Raman Sailopal
1
Danke für die Antwort @Raman. Wir testen gerade die Deaktivierung. Mir war ein Exploit bekannt, der unter Ubuntu für systemd-gelöst veröffentlicht wurde.
Nochmals vielen

Antworten:

11

systemd-resolvedwird von systemd benötigt. Sofern Sie keinen alternativen DNS-Resolver installieren, sollten Sie diesen behalten.

Es ist wichtig zu beachten, dass tatsächlich auf UDP-Pakete gewartet wird, 127.0.0.53:53um die DNS-Auflösung für Sie durchzuführen:

# netstat -npa | grep systemd-resolve
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      205/systemd-resolve
tcp6       0      0 :::5355                 :::*                    LISTEN      205/systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           205/systemd-resolve
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           205/systemd-resolve
udp6       0      0 :::5355                 :::*                                205/systemd-resolve

Die Port- 5355Sockets sollen die Link-Local Multicast Name Resolution (LLMNR) implementieren, eine Funktion, die nur in LANs nützlich ist.

Um es zu deaktivieren, bearbeiten /etc/systemd/resolved.confund ändern Sie die Zeile

#LLMNR=yes

zu

LLMNR=no

Starten Sie dann den Dienst mit service systemd-resolved restartund überprüfen Sie erneut:

# netstat -npa | grep systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           404/systemd-resolve
Lex R.
quelle