5.2. 保全 portmap

portmap 服務是一個用於 RPC 服務(如 NIS 與 NFS)動態的連接埠指派系統程式。 它的認證機制很弱,而且它可以指派一個廣大範圍的連接埠給它所控制的服務。 由於這些因素,要保全它 是很困難的。

當您執行 RPC 服務時,請遵照這些基本的規則。

5.2.1. 使用 TCP 包裹程式保護 portmap

使用 TCP 包裹程式來限制那些網路或主機可以存取 portmap 服務是很重要的,因為它並 沒有任何嵌入的認證形式。

還有,當您限制服務的存取時,請使用 IP 位址,避免使用主機名稱,因為它們可能 被使用 DNS 快取污染與其他方法來偽裝。

5.2.2. 使用 IPTables 保護 portmap

如要進一步地限制對 portmap 服務的存取,您可以增加 IPTables 的規則到伺服器中以 限制特定網路的存取。

以下為兩個 IPTables 指令的範例,它們允許來自 192.168.0/24 網路與 localhost 的 TCP 連線到 portmap 服務(聽取連接埠號 111)(這對於由 Nautilus 所使用的 sgi_fam 服務是必要的),所有其他的封包都會被丟棄。

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

同樣地,如要限制 UDP 的網路流量,請使用下列指令

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

提示建議
 

請參考 第7章 以取得關於使用 IPTables 指令實作防火牆的更多資訊。