5.2. Portmap sichern
Der portmap-Dienst ist ein dynamischer Port-Zuweisungs-Daemon für RPC-Dienste wie NIS und NFS. Es besitzt schwache Authentifizierungsmechanismen und hat die Fähigkeit, eine große Bandbreite an Ports für die von ihm kontrollierten Dienste zuzuweisen. Aus diesen Gründen ist portmap schwer zu sichern.
 | Hinweis |
|---|---|
Das Sichern von portmap betrifft lediglich NFSv2 und NFSv3 Implementationen, da dies für NFSv4 nicht mehr länger erforderlich ist. Wenn Sie vorhaben, einen NFSv2 oder NFSv3 Server zu implemenieren, dann ist portmap erforderlich und der folgende Abschnitt findet Anwendung. |
Wenn Sie RPC-Dienste ausführen, sollten Sie diese Grundregeln beachten.
5.2.1. Schützen von portmap mit TCP Wrappern
Es ist wichtig, TCP Wrapper zur Einschränkung des Zugriffs von Netzwerken und Hosts auf den portmap-Dienst einzusetzen, da letzterer keine integrierte Authentifizierungsmöglichkeit bietet.
Desweiteren sollten Sie nur IP-Adressen verwenden, wenn Sie den Zugriff auf den Dienst einschränken wollen. Vermeiden Sie Hostnamen, da sie durch DNS-Poisoning und andere Methoden gefälscht werden können.
5.2.2. Schützen von portmap mit IPTables
Um den Zugriff auf den portmap-Dienst weiter einzuschränken, ist es sinnvoll, IPTables-Regeln zum Server hinzuzufügen, die den Zugriff auf bestimmte Netzwerke einschränken.
Unten finden Sie zwei Beispiele für IPTables-Befehle, die TCP-Verbindungen zum portmap-Dienst (auf Port 111) vom 192.168.0/24 Netzwerk und vom Localhost (der für den sgi_fam-Dienst für Nautilus benötigt wird) ermöglichen. Alle anderen Pakete werden abgelehnt.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Um auf gleiche Weise UDP-Traffic einzuschränken, verwenden Sie den folgenden Befehl.
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
 | Tipp |
|---|---|
Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl. |