Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 5. Server-Sicherheit | Nach vorne |
Der portmap-Service ist ein dynamischer Port-Zuweisungs-Daemon für RPC-Services wie NIS und NFS. Es besitzt schwache Authentifizierungsmechanismen und hat die Fähigkeit, eine große Bandbreite an Ports für die von ihm kontrollierten Service zuzuweisen. Aus diesen Gründen ist portmap schwer zu sichern.
Wenn Sie RPC-Services ausführen, sollten Sie diese Grundregeln beachten.
Es ist wichtig, TCP Wrappers zur Einschränkung des Zugriffs von Netzwerken und Hosts auf den portmap-Service einzusetzen, da letzterer keine integrierte Authentifizierungsmöglichkeit bietet.
Desweiteren sollten Sie nur IP-Adressen verwenden, wenn Sie den Zugriff auf den Service einschränken wollen. Vermeiden Sie Hostnamen, da sie durch DNS-Poisoning und andere Methoden gefälscht werden können.
Um den Zugriff auf den portmap-Service weiter einzuschränken, ist es sinnvoll, IPTables-Regeln zum Server hinzuzufügen, die den Zugriff auf bestimmte Netzwerke einschränken.
Unten finden Sie zwei Beispiele für IPTables-Befehle, die TCP-Verbindungen zum portmap-Service (auf Port 111) vom 192.168.0/24 Netzwerk und vom localhost (der für den sgi_fam-Service für Nautilus benötigt wird) ermöglichen. Alle anderen Pakete werden abgelehnt.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Um auf gleiche Weise UDP-Traffic einzuschränken, verwenden Sie den folgenden Befehl.
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
![]() | Tipp |
---|---|
Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl. |
Zurück | Zum Anfang | Nach vorne |
Server-Sicherheit | Nach oben | Sichern von NIS |