詳細描述
可以對目標主機進行"showmount -e"操作,此操作將泄露目標主機大量敏感信息,比如目錄結構。更糟糕的是,如果訪問控制不嚴的話,攻擊者有可能直接訪問到目標主機上的數據。
允許指定主機通過mount到nfs服務器上,阻止其他主機通過showmount -e方式,泄露NFS共享目錄結構信息。
測試方式:showmount -e <IP>
綠盟漏洞解決辦法
建議您采取以下措施以降低威脅:
* 限制可以獲取NFS輸出列表的IP和用戶。
* 除非絕對必要,請關閉NFS服務、MOUNTD。
具體實施方式
方式1:修改配置文件
對共享服務器的hosts.allow和hosts.deny兩個文件進行配置修改。具體修改如下:
Centos6的NFS服務叫做rpcbind,Centos5的NFS服務叫portmap。
/etc/hosts.allow mountd:192.168.131.1 #cent7.0設置方式 Portmap:192.168.131.1:allow #cent5.0設置方式 rpcbind: 192.168.56.4:allow #cent6.0設置方式
/etc/hosts.deny
mountd:all #cent7.0設置方式
Portmap:ALL:deny #cent6.0設置方式
rpcbind: ALL : deny #cent5.0設置方式
注意:無需重啟rpc.bind和nfs。
方式2:采用iptables防火牆限制
1)修改nfs配置文件,分配未使用的端口。
[root@xxxxx /]# vi /etc/sysconfig/nfs #在文件最下面添加如下信息 RQUOTAD_PORT=30001 LOCKD_TCPPORT=30002 LOCKD_UDPPORT=30002 MOUNTD_PORT=30003 STATD_PORT=30004
2)重啟nfs服務
/etc/init.d/rpcbind restart
/etc/init.d/nfs restart
3)允許客戶端掛載主機的ip地址
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 111 -j ACCEPT iptables -A INPUT -p udp -s 192.168.85.15 --dport 111 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.85.15 --dport 2049 -j ACCEPT iptables -A INPUT -p udp -s 192.168.85.15 --dport 2049 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT iptables -A INPUT -p udp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT
或是
vi /etc/sysconfig/iptables #下面是要添加的規則 #允許nfs客戶端10.194.212.132訪問本機nfs服務端10.194.212.131的相關nfs端口 -A INPUT -p tcp -s 10.194.212.132 --dport 111 -j ACCEPT -A INPUT -p udp -s 10.194.212.132 --dport 111 -j ACCEPT -A INPUT -p tcp -s 10.194.212.132 --dport 2049 -j ACCEPT -A INPUT -p udp -s 10.194.212.132 --dport 2049 -j ACCEPT -A INPUT -p tcp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT -A INPUT -p udp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT
4)其他客戶端全部拒絕訪問nfs服務
iptables -A INPUT -p tcp --dport 111 -j DROP iptables -A INPUT -p udp --dport 111 -j DROP iptables -A INPUT -p tcp --dport 2049 -j DROP iptables -A INPUT -p udp --dport 2049 -j DROP iptables -A INPUT -p tcp --dport 30001:30004 -j DROP iptables -A INPUT -p udp --dport 30001:30004 -j DROP
5)開機啟動服務加載
vim /etc/profile.d/iptables-nfs.sh #!/bin/bash #允許客戶端掛載主機的ip地址 iptables -A INPUT -p tcp -s 192.168.85.15 --dport 111 -j ACCEPT iptables -A INPUT -p udp -s 192.168.85.15 --dport 111 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.85.15 --dport 2049 -j ACCEPT iptables -A INPUT -p udp -s 192.168.85.15 --dport 2049 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT iptables -A INPUT -p udp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT
#其他客戶端全部拒絕訪問nfs服務
iptables -A INPUT -p tcp --dport 111 -j DROP iptables -A INPUT -p udp --dport 111 -j DROP iptables -A INPUT -p tcp --dport 2049 -j DROP iptables -A INPUT -p udp --dport 2049 -j DROP iptables -A INPUT -p tcp --dport 30001:30004 -j DROP iptables -A INPUT -p udp --dport 30001:30004 -j DROP
參考文章:
https://www.cnblogs.com/slyy/p/12133098.html
https://blog.csdn.net/qq_26614295/article/details/103119982