5.2. Защита Portmap
Служба portmap — это демон автоматического назначения портов для служб RPC, например, NIS и NFS. В нём встроены слабые механизмы проверки подлинности, и он может выбирать порты для управляемых служб из широкого диапазона. Поэтому защитить его сложно.
Если вы используете службы RPC, придерживайтесь этих основных правил.
5.2.1. Защитите portmap с помощью оболочек TCP
Обязательно используйте оболочки TCP для определения сетей или узлов, имеющих доступ к службе portmap, так как в ней отсутствует встроенная проверка подлинности.
Кроме этого, ограничивая доступ к службе, используйте только IP-адреса. Избегайте использования имён узлов, так как их можно подделать, в частности, обманув DNS.
5.2.2. Защитите portmap с помощью IPTables
Чтобы ещё сильнее ограничить доступ к службе portmap, добавьте на сервере правила IPTables, разрешающие доступ только определённым сетям.
Ниже приведены два примера команд IPTables, допускающих TCP-подключения к службе portmap (прослушивающей порт 111) из сети 192.168.0/24 и с локального компьютера (это обязательно для службы sgi_fam, используемой в Nautilus). Все остальные пакеты отбрасываются.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Чтобы также ограничить трафик UDP, выполните следующую команду:
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
 | Подсказка |
|---|---|
Узнать больше о реализации брандмауэра с помощью IPTables, вы сможете главе 7 Брандмауэры. |