O serviço portmap é um daemon de porta dinâmica para serviços RPS, como o NIS e o NFS. Tem mecanismos de autenticação fracos e tem habilidade para delegar uma enorme gama de portas para os serviços que controla. Por estas razões, é difcícil de proteger.
Se você está rodando serviços RPC, siga estas regras básicas.
É importante usar o TCP wrappers para limitar quais redes ou máquinas têm acesso ao serviço portmap já que este não possue uma forma de autenticação própria (built-in).
Futuramente, use somente endereços IP ao limitar acesso para o serviço. Evite usar estes nomes de máquinas (hostnames), já que eles podem ser forjados através do 'poisoning' do DNS e outros métodos.
Para restringir acesso ao serviço portmap futuramente, é uma boa idéia adicionar regras do IPTables ao servidor, restringindo o acesso a redes específicas.
Abaixo há dois exemplos de comandos do IPTables que permitem conexões TCP ao serviço portmap (escutando na porta 111) a partir da rede 192.168.0/24 e da máquina local (que é necessária para o serviço sgi_fam usado pelo Nautilus). Todos os outros pacotes são derrubados.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Para limitar o tráfego UDP similarmente, use o seguinte comando.
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
![]() | Dica |
---|---|
Consulte o Capítulo 7 para mais informações sobre a implementação de firewalls com comandos do IPTables. |