保护 Portmap 的安全性-me09-ChinaUnix博客

温厚谦和

首页　| 　博文目录　| 　关于我

me09

博客访问： 1461330
博文数量： 408
博客积分： 10036
博客等级：上将
技术积分： 4440
用户组：普通用户
注册时间： 2006-04-06 13:57

文章分类

全部博文（408）

VPS（0）
LDAP（6）
PHP（2）
UNIX系统编程（4）
系统安全（54）
服务器架设（11）
技术资料文摘（27）
mail（7）
数据库（52）
翰海风云（22）
考证测试试题（1）
windows2003资料（25）

技术动态（2）
软件测试技术文档（2）
CGI编程（5）
VPN（1）
bind（9）
perl（9）
Squid代理（1）
shell（2）
freeBSD（2）
python（11）
iptables（22）
程序人生（7）
编程基础（31）
文件系统（6）
系统基础（39）
负载均衡（13）
存储备份（14）
路由网络（5）
debian（15）
未分配的博文（3）

文章存档

2011年（1）

2010年（2）

2009年（1）

2008年（3）

2007年（7）

2006年（394）

我的朋友

相关博文

保护 Portmap 的安全性

分类： LINUX

2006-07-24 19:01:09

保护 Portmap 的安全性

5.2. 保护 Portmap 的安全性

portmap 服务是用于 RPC 服务（如 NIS 和 NFS）的动态端口分配守护进程。它的验证机制比较薄弱，而且具备为它所控制的服务分配大范围端口的能力。由于这些原因，要保护它的安全比较困难。

如果运行 RPC 服务，请遵守以下基本规则。

5.2.1. 使用 TCP 会绕程序来保护 portmap。

使用 TCP 会绕程序来限制可以使用 portmap 服务的网络或主机这一点很重要，因为 portmap 没有内建的验证方式。

更进一步，在限制对服务的使用时，只使用 IP 地址。避免使用主机名，因为主机名可以通过 DNS 污染或其它方法被伪造。

5.2.2. 使用 IPTables 来保护 portmap

要进一步限制对 portmap 服务的使用，在服务器上添加 IPTables 规则来限制到指定网络的进出是一个好办法。

以下是两个 IPTables 命令的例子，允许网络 192.168.0/24TCP 和 localhost（Nautilus 程序使用的 sgi_fam 服务所必需的）到 portmap 服务（监听端口111）的连接。所有其它分组都被放弃。

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT要以相似的方法限制 UDP 交通，使用以下命令。

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

阅读(1530) | 评论(0) | 转发(0) |

上一篇：Linux 的安全工具

下一篇：禁止根权限

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6