Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Portmap sichern

5.2. Portmap sichern

Der portmap-Dienst ist ein dynamischer Port-Zuweisungs-Daemon f�r RPC-Dienste wie NIS und NFS. Es besitzt schwache Authentifizierungsmechanismen und hat die F�higkeit, eine gro�e Bandbreite an Ports f�r die von ihm kontrollierten Dienste zuzuweisen. Aus diesen Gr�nden ist portmap schwer zu sichern.

AnmerkungHinweis
 

Das Sichern von portmap betrifft lediglich NFSv2 und NFSv3 Implementationen, da dies f�r NFSv4 nicht mehr l�nger erforderlich ist. Wenn Sie vorhaben, einen NFSv2 oder NFSv3 Server zu implemenieren, dann ist portmap erforderlich und der folgende Abschnitt findet Anwendung.

Wenn Sie RPC-Dienste ausf�hren, sollten Sie diese Grundregeln beachten.

5.2.1. Sch�tzen von portmap mit TCP Wrappern

Es ist wichtig, TCP Wrapper zur Einschr�nkung des Zugriffs von Netzwerken und Hosts auf den portmap-Dienst einzusetzen, da letzterer keine integrierte Authentifizierungsm�glichkeit bietet.

Desweiteren sollten Sie nur IP-Adressen verwenden, wenn Sie den Zugriff auf den Dienst einschr�nken wollen. Vermeiden Sie Hostnamen, da sie durch DNS-Poisoning und andere Methoden gef�lscht werden k�nnen.

5.2.2. Sch�tzen von portmap mit IPTables

Um den Zugriff auf den portmap-Dienst weiter einzuschr�nken, ist es sinnvoll, IPTables-Regeln zum Server hinzuzuf�gen, die den Zugriff auf bestimmte Netzwerke einschr�nken.

Unten finden Sie zwei Beispiele f�r IPTables-Befehle, die TCP-Verbindungen zum portmap-Dienst (auf Port 111) vom 192.168.0/24 Netzwerk und vom Localhost (der f�r den sgi_fam-Dienst f�r Nautilus ben�tigt wird) erm�glichen. Alle anderen Pakete werden abgelehnt.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Um auf gleiche Weise UDP-Traffic einzuschr�nken, verwenden Sie den folgenden Befehl.

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

TippTipp
 

Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl.

 
 
  Published under the terms of the GNU General Public License Design by Interspire