5.2. ポートマップの保護

portmapサービスは NIS や NFS などRPCサービス向けの ダイナミックなポート指定デーモンです。 脆弱な認証メカニズムのうえ、管理下のサービスに様々なポートを指定する機能を 持ち合わせているため、保護するのは困難です。

RPSサービスを実行している時は、次の基本ルールを守って下さい。

5.2.1. portmap をTCPラッパーで保護する

portmapサービスには内蔵の認証形式がないため、TCPラッパーを使用し、 portmapサービスへアクセス可能なネットワークやホストを制限することが 重要になります。

更に、サービスのアクセスを制限する時はonly IP アドレスを使用して下さい。 DNS poisoning などによって偽造される場合がありますので、ホストネームは使用しないで下さい。

5.2.2. portmap をIPTablesで保護する

portmap サービスへのアクセスを更に規制するには、 IPTables ルールをサーバーに追加し、特定ネットワークへのアクセスを 規制するとよいでしょう。

92.168.0/24 ネットワークやローカルホスト(Nautilusが使用するsgi_fam サービスに必要)からportmap (ポート111でリッスン)へのTCP接続を許可するIPTables コマンドの2例が下記に説明されています。

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

同様にUDPトラフィックを制限するには、下記コマンドを使用して下さい。

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

ティップヒント
 

IPTablesコマンドでファイヤボールを導入する場合の詳細は第7章 をご参照下さい。