it-swarm.com.de

Sicherheitsrisiko beim Öffnen von Port 111 (rpcbind)?

Soweit ich verstanden habe, wird rpcbind verwendet, um aktive Dienste aufzulisten und dem anfordernden Client mitzuteilen, wohin die RPC-Anforderung gesendet werden soll. Wenn ein Host Port 111 abhört, kann man rpcinfo verwenden, um Programmnummern sowie Ports und Dienste zum Laufen zu bringen. Schauen Sie sich zum Beispiel unten an:

root @ bt: ~ # rpcinfo -p x.x.x.x.

programm vers Proto Port

100001    2   udp    111  portmapper
100000    3   udp    111  portmapper        
100005    3   udp   1048  mountd
100022    1   tcp   1047  nlockmgr    
100021    4   udp   1047  nlockmgr
100026    1   tcp   1039  status
100029    1   udp   1039  status
100003    2   tcp   2049  nfs
100003    3   tcp   2049  nfs

Was ist das Sicherheitsrisiko davon?

Wo müssen wir normalerweise Port 111 öffnen und wann können wir ihn schließen, ohne dass andere Dienste ausfallen?

23
Goli E

Wenn Sie diesen Dienst dem Internet zugänglich machen, kann jeder diese Informationen abfragen, ohne sich authentifizieren zu müssen. Für Angreifer kann es hilfreich sein, zu wissen, was Sie gerade ausführen.

Außerdem weist der RPC-Dienst eine Vorgeschichte von Sicherheitslücken auf. Setzen Sie es also nicht der Welt aus, es sei denn, Sie müssen.

19
Mark Koek

rpcbind kann abhängig von der Anzahl der ausgeführten RPC-Dienste einen Verstärkungsfaktor zwischen x5 und x20 haben.

Es sollte nicht öffentlich zugänglich gemacht werden oder zumindest nur IP-Adressen auf der Whitelist zulassen, da sonst der Server möglicherweise an DDoS-Angriffen beteiligt ist.

1
J.Money