Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - S�curisation de portmap

5.2. S�curisation de portmap

Le service portmap correspond � un d�mon assignant les ports de mani�re dynamique pour les services RPC tels que NIS et NFS. Il a de faibles m�canismes d'authentification et a la capacit� d'attribuer une vaste gamme de ports aux services qu'il contr�le. Pour cette raison, il est tr�s difficile de le s�curiser.

NoteNote
 

La s�curisation de portmap affecte uniquement les impl�mentations NFSv2 et NFSv3, vu que NFSv4 n'en a plus besoin. Si vous planifiez d'impl�menter un serveur NFSv2 ou NFSv3, portmap est alors requis et la section suivante s'applique.

Si vous ex�cutez des services RPC, vous devriez suivre ces r�gles �l�mentaires.

5.2.1. Protection de portmap avec des enveloppeurs TCP

Il est important d'utiliser des enveloppeurs TCP afin de limiter le nombre de r�seaux et d'h�tes ayant acc�s au service portmap puisqu'il n'est dot� d'aucune forme d'authentification interne.

De plus, utilisez seulement des adresses IP lors de la restriction de l'acc�s au service. �vitez d'utiliser les noms d'h�tes car ils peuvent �tre falsifi�s par empoisonnement DNS ou autres m�thodes.

5.2.2. Protection de portmap avec IPTables

Pour restreindre encore plus l'acc�s au service portmap, il est bon d'ajouter des r�gles IPTables au serveur et de limiter l'acc�s � des r�seaux sp�cifiques.

Ci-dessous figurent deux exemples de commandes IPTables autorisant les connexions TCP au service portmap (en attente de requ�tes sur le port 111) � partir du r�seau 192.168.0/24 et de l'h�te local (qui est n�cessaire pour le service sgi_fam utilis� par Nautilus). Tous les autres paquets sont ignor�s.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Afin de limiter le trafic UDP de la m�me mani�re, utilisez la commande suivante�:

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

TuyauAstuce
 

Reportez-vous au Chapitre 7 pour obtenir de plus amples informations sur l'impl�mentation de pare-feu � l'aide des commandes IPTables.

 
 
  Published under the terms of the GNU General Public License Design by Interspire