5.2. Sicurezza del Portmap
Il servizio portmap è un demone di assegnazione della porta dinamica per servizi RPC come ad esempio NIS e NFS. Possiede deboli meccanismi di autenticazione, e ha l'abilità di assegnare una vasta gamma di porte per i servizi da lui controllati. Per questa ragione è difficile renderlo sicuro.
 | Nota |
|---|---|
La sicurezza di portmap influenza solo le implementazioni NFSv2 e NFSv3, poichè NFSv4 ne è escluso. Se decidete di implementare un server NFSv2 o NFSv3, allora avrete bisogno di portmap, e le seguenti sezioni saranno valide. |
Se state eseguendo servizi RPC, vi consigliamo di seguire queste regole di base.
5.2.1. Proteggere portmap con wrapper TCP
È importante l'uso dei wrapper TCP per limitare l'accesso al servizio portmap da parte di reti oppure da parte di host, poichè tale servizio non possiede alcuna forma interna di autenticazione.
Usare solo gli indirizzi IP quando cercate di limitare l'accesso al servizio. Evitare l'uso di hostname, in quanto essi possono essere modificati tramite il DNS poisoning e altri metodi.
5.2.2. Proteggere portmap con IPTables
Per limitare maggiormente l'accesso al servizio portmap, è buona idea aggiungere le regole IPTables al server, limitando così l'accesso a reti specifiche.
Di seguito vengono riportati due esempi di comandi IPTables,che abilitano i collegamenti TCP per il servizio portmap (in ascolto sulla porta 111) dalla rete 192.168.0/24, e dal localhost (il quale è necessario per il servizio sgi_fam usato da Nautilus). Tutti gli altri pacchetti non vengono accettati.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Per limitare in modo analogo il traffico UDP, usare il seguente comando.
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
 | Suggerimento |
|---|---|
Per maggiori informazioni sull'implementazione dei firewall con i comandi IPTable, consultate Capitolo 7. |