Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - Portmap sichern

5.2. Portmap sichern

Der portmap-Dienst ist ein dynamischer Port-Zuweisungs-Daemon f�r RPC-Dienste wie NIS und NFS. Es besitzt schwache Authentifizierungsmechanismen und hat die F�higkeit, eine gro�e Bandbreite an Ports f�r die von ihm kontrollierten Dienste zuzuweisen. Aus diesen Gr�nden ist portmap schwer zu sichern.

AnmerkungHinweis
 

Das Sichern von portmap betrifft lediglich NFSv2 und NFSv3 Implementationen, da dies f�r NFSv4 nicht mehr l�nger erforderlich ist. Wenn Sie vorhaben, einen NFSv2 oder NFSv3 Server zu implemenieren, dann ist portmap erforderlich und der folgende Abschnitt findet Anwendung.

Wenn Sie RPC-Dienste ausf�hren, sollten Sie diese Grundregeln beachten.

5.2.1. Sch�tzen von portmap mit TCP Wrappern

Es ist wichtig, TCP Wrapper zur Einschr�nkung des Zugriffs von Netzwerken und Hosts auf den portmap-Dienst einzusetzen, da letzterer keine integrierte Authentifizierungsm�glichkeit bietet.

Desweiteren sollten Sie nur IP-Adressen verwenden, wenn Sie den Zugriff auf den Dienst einschr�nken wollen. Vermeiden Sie Hostnamen, da sie durch DNS-Poisoning und andere Methoden gef�lscht werden k�nnen.

5.2.2. Sch�tzen von portmap mit IPTables

Um den Zugriff auf den portmap-Dienst weiter einzuschr�nken, ist es sinnvoll, IPTables-Regeln zum Server hinzuzuf�gen, die den Zugriff auf bestimmte Netzwerke einschr�nken.

Unten finden Sie zwei Beispiele f�r IPTables-Befehle, die TCP-Verbindungen zum portmap-Dienst (auf Port 111) vom 192.168.0/24 Netzwerk und vom Localhost (der f�r den sgi_fam-Dienst f�r Nautilus ben�tigt wird) erm�glichen. Alle anderen Pakete werden abgelehnt.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Um auf gleiche Weise UDP-Traffic einzuschr�nken, verwenden Sie den folgenden Befehl.

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

TippTipp
 

Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl.

 
 
  Published under the terms of the GNU General Public License Design by Interspire