Re: ipfw und nfs

From: Oliver Fromme <olli(at)secnetix.de>
Date: Sat, 5 Apr 2003 23:51:03 +0200 (CEST)



haribeau(at)gmx.de wrote:


 > da unter RELENG-4 mount_null laut manpage buggy ist, verwende ich


 > nfs-loopback mounts um gemeinsame binaries in mehrere jails zu mounten.


 > Nach aussen habe ich die ports 2049(nfs) und 111(rpc) gesperrt, da man


 > portmap ja leider nicht ausschliesslich ans loopback-interface binden


 > kann.


 > mountd nutzt nun aber zusaetzlich scheinbar beliebige Ports (1022 1023).



Ja, der mountd benutzt halt beliebige freie Ports, die ihm


vom portmapper bzw. rpcbind zugeteilt werden.



 > Stellen diese mountd-ports ein potentielles Sicherheitsproblem dar, solange


 > 2049 und 111 von aussen nicht erreichbar sind?



111 ist der portmapper, 2049 ist der eigentliche NFS-Traf-


fic, und die dynamisch vergebenen Ports werden vom mountd


verwendet.  Wenn ein Angreider Zugriff auf letztere hat,


mag er wohl keine Dateizugriffe machen, kann aber zumindest


noch einen DoS-Angriff auf den NFS-Server machen.



Mal eine Gegenfrage:  Warum hast Du die Ports überhaupt


offen?  Ich würde erstmal grundsätzliche _alle_ Ports per


Default sperren.  Und dann nur die wenigen freigeben, wo


man genau weiß, wofür die gut sind und daß man sie braucht


(22, 80, 113, 443, was auch immer).  Dann stellt sich die


Frage nämlich gar nicht erst, die Du gestellt hast.  ;-)



Eine Alternative wäre, portmapper, mountd und nfsd selbst


in einem localhost-Jail laufen zu lassen, so daß sie nur


auf das loopback-Interface binden können.  Du mußt sie dazu


nur in /etc/rc.conf disablen und dann z.B. in /etc/rc.local


starten:



/usr/sbin/jail / localhost 127.0.0.1 /usr/sbin/portmap


/usr/sbin/jail / localhost 127.0.0.1 /sbin/mountd -r


/usr/sbin/jail / localhost 127.0.0.1 /sbin/nfsd -u -t -n 4



Achtung, ich habe das nicht ausprobiert.  Kann gut sein,


daß die Sache einen Haken hat und ein NFS-Server nicht aus


einem Jail heraus funktioniert.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"One death is a tragedy.  One million deaths is a statistic."
         -- Lenin
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sat 05 Apr 2003 - 23:51:15 CEST













search this site