Bloquear a porta 111 no centos 7

Navegue suas respostas
1

Estou usando um servidor com centos 7 rodando kvm / virtualization, acesso usando servidor VNC.

Hoje recebi um aviso sobre meu servidor sendo usado para atacar outro servidor usando a porta 111, estou completamente perdido. Minha senha para o servidor é muito muito difícil, duvido que alguém possa forçá-lo em anos ... o problema é, eu preciso proteger, é possível desabilitar essa porta? Eu preciso disso? Eu usei 

netstat -l

enquanto estava na máquina e não vi nenhuma ocorrência 111, então, se eu bloquear, ainda posso fazer login na máquina e continuar trabalhando? Se sim, como posso fazer isso? Eu tentei isso   iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT

mas não funcionou, resultado: 

Bad argument '192.168.0.0/24'

Existe uma maneira de bloqueá-lo, ou torná-lo apenas utilizável para minha rede local / localhost (se o bloco bloqueará o acesso ao servidor)?

O aviso que recebi:

A public-facing device on your network, running on IP address (IP ADDRESS), operates a RPC port mapping service responding on UDP port 111 and participated in a large-scale attack against a customer of ours, generating responses to spoofed requests that claimed to be from the attack target.

Please consider reconfiguring this server in one or more of these ways:

  1. Adding a firewall rule to block all access to this host's UDP port 111 at your network edge (it would continue to be available on TCP port 111 in this case).
  2. Adding firewall rules to allow connections to this service (on UDP port 111) from authorized endpoints but block connections from all other hosts.
  3. Disabling the port mapping service entirely (if it is not needed).

Eu não estou usando nenhum firewall.

    
por Mirage 03.06.2016 / 06:27

2 respostas

3

Você está um pouco errado com o comando iptables. Tente isto: 

iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j DROP

Isto permitirá conexões à porta 111 do host local (127.0.0.1) e da rede 192.168.0.0. Todas as outras conexões serão descartadas.
Observe que seu aviso recomenda bloquear o UDP, não o TCP. Eu substitui o protocolo no exemplo.

    
por 03.06.2016 / 07:25
1

Se você não precisa do rpcbind então: 

systemctl stop rpcbind.socket
systemctl disable rpcbind.socket

Veja link

Se você não usar algo, é completamente estúpido e menos seguro deixá-lo ligado e, em seguida, filtrá-lo com um firewall. A recomendação número 3 na descrição deve ser o número 1.

    
por 02.01.2018 / 22:08

Tags

Excluir espaço entre números Procurando conectar um cabo ethernet CAT6 em DOIS conectores trapezoidais