5.2. Sécurisation de portmap

Le service portmap correspond à un démon assignant les ports de manière dynamique pour les services RPC tels que NIS et NFS. Il a de faibles mécanismes d'authentification et a la capacité d'attribuer une vaste gamme de ports aux services qu'il contrôle. Pour cette raison, il est très difficile de le sécuriser.

Si vous exécutez des services RPC, vous devriez suivre ces règles élémentaires.

5.2.1. Protection de portmap avec des enveloppeurs TCP

Il est important d'utiliser des enveloppeurs TCP afin de limiter le nombre de réseaux et d'hôtes ayant accès au service portmap puisqu'il n'est doté d'aucune forme d'authentification interne.

De plus, utilisez seulement des adresses IP lors de la restriction de l'accès au service. Évitez d'utiliser les noms d'hôtes car ils peuvent être falsifiés via l'empoisonnement DNS ou d'autres méthodes.

5.2.2. Protection de portmap avec IPTables

Pour restreindre encore plus l'accès au service portmap, il est bon d'ajouter des règles IPTables au serveur limitant l'accès à des réseaux spécifiques.

Ci-dessous figurent deux exemples de commandes IPTables autorisant les connexions TCP au service portmap (en attente de requêtes sur le port 111) à partir du réseau 192.168.0/24 et de l'hôte local (qui est nécessaire pour le service sgi_fam utilisé par Nautilus). Tous les autres paquets sont ignorés.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Afin de limiter le trafic UDP de la même manière, utilisez la commande suivante :

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

TuyauAstuce
 

Reportez-vous au Chapitre 7 pour obtenir de plus amples informations sur l'implémentation de pare-feu à l'aide des commandes IPTables.