5.2. ポートマップの保護

portmapサービスは NIS や NFS などRPCサービス向けの ダイナミックなポート指定デーモンです。 脆弱な認証メカニズムのうえ、管理下のサービスに様々なポートを指定する機能を 持ち合わせているため、保護するのは困難です。

注記注記
 

portmapを保護することは、NFSv4 が要求しないので、単に NFSv2 と NFSv3 に影響するだけです。NFSv2 と NFSv3サーバーを実装する予定であれば、portmapが必要となり、次ぎのセクションが適用されます.

RPSサービスを実行している時は、次の基本ルールを守って下さい。

5.2.1. portmap をTCPラッパーで保護する

portmapサービスには内蔵の認証形式がないため、TCPラッパーを使用し、 portmapサービスへアクセス可能なネットワークやホストを制限することが 重要になります。

更に、サービスのアクセスを制限する時はonly IP アドレスを使用して下さい。 DNS poisoning などによって偽造される場合がありますので、ホストネームは使用しないで下さい。

5.2.2. portmap をIPTablesで保護する

portmap サービスへのアクセスを更に規制するには、IPTables ルールをサーバーに追加し、特定ネットワークへのアクセスを規制するとよいでしょう。

92.168.0/24 ネットワークとローカルホスト(Nautilusが使用するsgi_famサービスに必要)からportmap(ポート111でリッスン)への TCP接続を許可するIPTables コマンドの2例を下記に説明しています。

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

同様にUDPトラフィックを制限するには、下記コマンドを使用して下さい。

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

ヒントヒント
 

IPTablesコマンドでファイヤボールを導入する場合の詳細は章7章 をご参照下さい。