Comment éviter nfs hacks à des systèmes linux

Le système de fichiers réseau (NFS) Linux est utilisé pour monter des systèmes de fichiers distants (similaires aux actions dans Windows) à partir de la machine locale. Les pirates aiment ces systèmes distants! Compte tenu de la nature de l'accès à distance de NFS, il a certainement sa juste part des hacks.

Sommaire

Hacks NFS

Si NFS a été mis en place correctement ou sa configuration a été falsifié - à savoir la / etc / exports fichier contenant un paramètre qui permet au monde de lire le système de fichiers - pirates distants peuvent facilement obtenir l'accès à distance et de faire ce qu'ils veulent sur le système. En supposant aucune liste de contrôle d'accès (ACL) est en place, il suffit d'une ligne, tel que le suivant, dans le / etc / exports fichier:

/ Rw

Cette ligne dit que tout le monde peut à distance monter la partition racine dans un mode lecture-écriture. Bien sûr, les conditions suivantes doivent également être remplies:




  • Le démon NFS (nfsd) doit être chargé, avec le démon portmap qui cartographier NFS RPC.

  • Le pare-feu doit permettre le trafic NFS à travers.

  • Les systèmes distants qui sont autorisés à entrer dans le serveur exécutant le démon NFS doivent être placés dans le /etc/hosts.allow fichier.

Cette capacité de montage à distance est facile de mal configurer. Il est souvent liée à l'incompréhension d'un administrateur Linux de ce qu'il faut pour partager les montages NFS et le recours à la meilleure façon possible de le faire fonctionner. Après les pirates d'accéder à distance, le système est le leur.

Les contre-mesures contre les attaques NFS

La meilleure défense contre le piratage NFS dépend si vous avez réellement besoin du service en cours d'exécution.

  • Si vous ne devez NFS, désactivez-le.

  • Si vous avez besoin NFS, mettre en œuvre les contre-mesures suivantes:

  • Filtrer le trafic NFS au pare-feu - généralement, le port TCP 111 (le port de portmapper) si vous voulez filtrer tout le trafic RPC.

  • Ajouter ACL de réseau pour limiter l'accès à des hôtes spécifiques.

  • Assurez-vous que votre / etc / exports et /etc/hosts.allow les fichiers sont correctement configurés pour maintenir le monde en dehors de votre réseau.


» » » » Comment éviter nfs hacks à des systèmes linux