portmapサービスは NIS や NFS などRPCサービス向けの ダイナミックなポート指定デーモンです。 脆弱な認証メカニズムのうえ、管理下のサービスに様々なポートを指定する機能を 持ち合わせているため、保護するのは困難です。
RPSサービスを実行している時は、次の基本ルールを守って下さい。
portmapサービスには内蔵の認証形式がないため、TCPラッパーを使用し、 portmapサービスへアクセス可能なネットワークやホストを制限することが 重要になります。
更に、サービスのアクセスを制限する時はonly IP アドレスを使用して下さい。 DNS poisoning などによって偽造される場合がありますので、ホストネームは使用しないで下さい。
portmap サービスへのアクセスを更に規制するには、 IPTables ルールをサーバーに追加し、特定ネットワークへのアクセスを 規制するとよいでしょう。
92.168.0/24 ネットワークやローカルホスト(Nautilusが使用するsgi_fam サービスに必要)からportmap (ポート111でリッスン)へのTCP接続を許可するIPTables コマンドの2例が下記に説明されています。
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
同様にUDPトラフィックを制限するには、下記コマンドを使用して下さい。
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
![]() | ヒント |
---|---|
IPTablesコマンドでファイヤボールを導入する場合の詳細は第7章 をご参照下さい。 |