Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - S�curisation de portmap

5.2. S�curisation de portmap

Le service portmap correspond � un d�mon assignant les ports de mani�re dynamique pour les services RPC tels que NIS et NFS. Il a de faibles m�canismes d'authentification et a la capacit� d'attribuer une vaste gamme de ports aux services qu'il contr�le. Pour cette raison, il est tr�s difficile de le s�curiser.

NoteNote
 

La s�curisation de portmap affecte uniquement les impl�mentations NFSv2 et NFSv3, vu que NFSv4 n'en a plus besoin. Si vous planifiez d'impl�menter un serveur NFSv2 ou NFSv3, portmap est alors requis et la section suivante s'applique.

Si vous ex�cutez des services RPC, vous devriez suivre ces r�gles �l�mentaires.

5.2.1. Protection de portmap avec des enveloppeurs TCP

Il est important d'utiliser des enveloppeurs TCP afin de limiter le nombre de r�seaux et d'h�tes ayant acc�s au service portmap puisqu'il n'est dot� d'aucune forme d'authentification interne.

De plus, utilisez seulement des adresses IP lors de la restriction de l'acc�s au service. �vitez d'utiliser les noms d'h�tes car ils peuvent �tre falsifi�s par empoisonnement DNS ou autres m�thodes.

5.2.2. Protection de portmap avec IPTables

Pour restreindre encore plus l'acc�s au service portmap, il est bon d'ajouter des r�gles IPTables au serveur et de limiter l'acc�s � des r�seaux sp�cifiques.

Ci-dessous figurent deux exemples de commandes IPTables autorisant les connexions TCP au service portmap (en attente de requ�tes sur le port 111) � partir du r�seau 192.168.0/24 et de l'h�te local (qui est n�cessaire pour le service sgi_fam utilis� par Nautilus). Tous les autres paquets sont ignor�s.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Afin de limiter le trafic UDP de la m�me mani�re, utilisez la commande suivante�:

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

TuyauAstuce
 

Reportez-vous au Chapitre 7 pour obtenir de plus amples informations sur l'impl�mentation de pare-feu � l'aide des commandes IPTables.

 
 
  Published under the terms of the GNU General Public License Design by Interspire