5.2. Portmap sichern
Der portmap-Dienst ist ein dynamischer Port-Zuweisungs-Daemon f�r RPC-Dienste wie NIS und NFS. Es besitzt schwache Authentifizierungsmechanismen und hat die F�higkeit, eine gro�e Bandbreite an Ports f�r die von ihm kontrollierten Dienste zuzuweisen. Aus diesen Gr�nden ist portmap schwer zu sichern.
 | Hinweis |
|---|
| | Das Sichern von portmap betrifft lediglich NFSv2 und NFSv3 Implementationen, da dies f�r NFSv4 nicht mehr l�nger erforderlich ist. Wenn Sie vorhaben, einen NFSv2 oder NFSv3 Server zu implemenieren, dann ist portmap erforderlich und der folgende Abschnitt findet Anwendung. |
Wenn Sie RPC-Dienste ausf�hren, sollten Sie diese Grundregeln beachten.
5.2.1. Sch�tzen von portmap mit TCP Wrappern
Es ist wichtig, TCP Wrapper zur Einschr�nkung des Zugriffs von Netzwerken und Hosts auf den portmap-Dienst einzusetzen, da letzterer keine integrierte Authentifizierungsm�glichkeit bietet.
Desweiteren sollten Sie nur IP-Adressen verwenden, wenn Sie den Zugriff auf den Dienst einschr�nken wollen. Vermeiden Sie Hostnamen, da sie durch DNS-Poisoning und andere Methoden gef�lscht werden k�nnen.
5.2.2. Sch�tzen von portmap mit IPTables
Um den Zugriff auf den portmap-Dienst weiter einzuschr�nken, ist es sinnvoll, IPTables-Regeln zum Server hinzuzuf�gen, die den Zugriff auf bestimmte Netzwerke einschr�nken.
Unten finden Sie zwei Beispiele f�r IPTables-Befehle, die TCP-Verbindungen zum portmap-Dienst (auf Port 111) vom 192.168.0/24 Netzwerk und vom Localhost (der f�r den sgi_fam-Dienst f�r Nautilus ben�tigt wird) erm�glichen. Alle anderen Pakete werden abgelehnt.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Um auf gleiche Weise UDP-Traffic einzuschr�nken, verwenden Sie den folgenden Befehl.
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
 | Tipp |
|---|
| | Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl. |
