5.2. Protegendo o Portmap

O serviço portmap é um daemon de porta dinâmica para serviços RPS, como o NIS e o NFS. Tem mecanismos de autenticação fracos e tem habilidade para delegar uma enorme gama de portas para os serviços que controla. Por estas razões, é difcícil de proteger.

Se você está rodando serviços RPC, siga estas regras básicas.

5.2.1. Proteja o portmap com TCP Wrappers

É importante usar o TCP wrappers para limitar quais redes ou máquinas têm acesso ao serviço portmap já que este não possue uma forma de autenticação própria (built-in).

Futuramente, use somente endereços IP ao limitar acesso para o serviço. Evite usar estes nomes de máquinas (hostnames), já que eles podem ser forjados através do 'poisoning' do DNS e outros métodos.

5.2.2. Proteja o portmap Com IPTables

Para restringir acesso ao serviço portmap futuramente, é uma boa idéia adicionar regras do IPTables ao servidor, restringindo o acesso a redes específicas.

Abaixo há dois exemplos de comandos do IPTables que permitem conexões TCP ao serviço portmap (escutando na porta 111) a partir da rede 192.168.0/24 e da máquina local (que é necessária para o serviço sgi_fam usado pelo Nautilus). Todos os outros pacotes são derrubados.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Para limitar o tráfego UDP similarmente, use o seguinte comando.

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

DicaDica
 

Consulte o Capítulo 7 para mais informações sobre a implementação de firewalls com comandos do IPTables.