portmap 服務是一個用於 RPC 服務(如 NIS 與 NFS)動態的連接埠指派系統程式。 它的認證機制很弱,而且它可以指派一個廣大範圍的連接埠給它所控制的服務。 由於這些因素,要保全它 是很困難的。
當您執行 RPC 服務時,請遵照這些基本的規則。
使用 TCP 包裹程式來限制那些網路或主機可以存取 portmap 服務是很重要的,因為它並 沒有任何嵌入的認證形式。
還有,當您限制服務的存取時,請只使用 IP 位址,避免使用主機名稱,因為它們可能 被使用 DNS 快取污染與其他方法來偽裝。
如要進一步地限制對 portmap 服務的存取,您可以增加 IPTables 的規則到伺服器中以 限制特定網路的存取。
以下為兩個 IPTables 指令的範例,它們允許來自 192.168.0/24 網路與 localhost 的 TCP 連線到 portmap 服務(聽取連接埠號 111)(這對於由 Nautilus 所使用的 sgi_fam 服務是必要的),所有其他的封包都會被丟棄。
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
同樣地,如要限制 UDP 的網路流量,請使用下列指令
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
![]() | 建議 |
---|---|
請參考 第7章 以取得關於使用 IPTables 指令實作防火牆的更多資訊。 |