Które usługi uniksowe należy wyłączyć?

Powinieneś wyłączyć wszystkie niepotrzebne usługi, ale niektóre są szczególnie niebezpieczne i niemal na pewno niepotrzebne w firewallu. NFS i usługi pokrewne Zacznij od NFS i związanych z nim usług sieciowych. Nie będziesz ich potrzebował. Żadna maszyna wewnętrzna nie powinna ufać hostowi bastionowemu na tyle, aby pozwolić mu na montowanie swoich dysków za pomocą NFS, a w hoście bastionowym raczej nie będzie niczego, co byś chciał eksportować przez NFS. NFS to protokół bardzo wygodny, ale niemal zupełnie niezabezpieczony.

Usługi NFS świadczy cały zbiór serwerów liczba i nazwy serwerów w tym zbiorze różnią się w zależności od wersji Uniksa. Poszukaj poniższych nazw (lub podobnych):

rexd (usługa zdalnego wykonywania poleceń, uruchamiana przez inetd) zmlld (demon obsługujący rozsyłanie komunikatów do wszystkich załogowanych użytkowników, uruchamiany przez inetd).

Wszystkie usługi RPC korzystają z jednej, o nazwie portmcip (w niektórych komputerach nazywanej też rpcbind). Jeśli wyłączyłeś wszystkie usługi RPC, możesz (i powinieneś) wyłączyć także usługę portmap. Jak sprawdzisz, czy wyłączyłeś wszystkie usługi RPC? Zanim wyłączysz portmap, ale po wyłączeniu wszystkich jak ci się zdaje

pozostałych usług RPC, ponownie uruchom komputer i wydaj polecenie rpcinfo p. Jeśli w wynikach tego polecenia pojawią się tylko wpisy dla programu portmap, oznacza to, że nie działają żadne inne usługi RPC. Jeśli jednak wyniki wskazują, że inne usługi RPC wciąż działają, musisz dokładniej zbadać sprawę i dowiedzieć się, dlaczego. Jeśli zdecydujesz się udostępnić usługi oparte na RPC, musisz także włączyć usługę portmap. W takim przypadku radzimy użycie zastępczego programu portmap, autorstwa Wietsego Venemy, ponieważ jest bezpieczniejszy od wersji dostarczanych z większością systemów uniksowych (w dodatku B dowiesz się, gdzie go znaleźć).

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>