Wie zu vermeiden, NFS Hacks Linux-Systeme

Das Network File System (NFS) in Linux verwendet Remote-Dateisystemen (ähnlich Aktien in Windows) von der lokalen Maschine zu montieren. Hacker lieben diese Remote-Systeme! die RAS-Natur von NFS gegeben, es hat sicherlich seinen fairen Anteil an Hacks.

NFS-Hacks

Wenn NFS eingerichtet wurde unsachgemäß oder seine Konfiguration ist manipuliert wurde - nämlich die / Etc / exports Datei eine Einstellung enthält, die die Welt das gesamte Dateisystem lesen kann - Remote-Hacker leicht Remote-Zugriff erhalten können und tun alles, was sie auf dem System wollen. Unter der Annahme, keine Zugriffssteuerungsliste (ACL) ist vorhanden, alles was man braucht ist eine Linie, wie die folgenden, in der / Etc / exports Datei:

/ rw

Diese Zeile sagt, dass jeder der Ferne die Root-Partition in einem Schreib-Lese-Mode montiert werden kann. Natürlich müssen die folgenden Bedingungen auch erfüllt sein:

  • Der NFS-Daemon (nfsd) geladen werden muss, zusammen mit dem portmap-Daemon, der NFS-RPC-Karte würde.

  • Die Firewall muss den NFS-Datenverkehr durchlassen.

  • Die Remote-Systeme, die in den Server erlaubt den NFS-Daemon ausgeführt wird, muss in die platziert werden /etc/hosts.allow Datei.

Diese Fernmontage geeignet ist einfach zu falsch konfigurieren. Es wird oft zu einem falschen Verständnis des Linux-Administrator im Zusammenhang mit von dem, was es braucht, um die NFS-Volumes zu teilen und möglich auf die einfachste Art und Weise zurückgreifen, um es zu arbeiten. Nach Hackern den Fernzugriff erlangen, ist das System ihnen.

Gegenmaßnahmen gegen Angriffe NFS

Die beste Verteidigung gegen NFS Hacking hängt davon ab, ob Sie den Dienst läuft tatsächlich benötigen.

  • Wenn Sie nicht über NFS benötigen, deaktivieren Sie es.

  • Wenn Sie NFS müssen, führen Sie folgende Gegenmaßnahmen:

  • Filter NFS Verkehr an der Firewall - in der Regel, den TCP-Port 111 (der Portmapper-Port), wenn Sie alle RPC-Datenverkehr filtern möchten.

  • In Netzwerk-ACLs den Zugriff auf bestimmte Hosts zu begrenzen.

  • Stellen Sie sicher, dass Ihre / Etc / exports und /etc/hosts.allow Dateien ordnungsgemäß konfiguriert sind, die Welt außerhalb des Netzwerks zu halten.

Ähnliche

Menü