Product SiteDocumentation Site

5.13. Absichern von RPC-Diensten

Sie sollten RPC abschalten, wenn Sie es nicht bentigen.
Remote Procedure Call (RPC, etwa entfernter Funktionsaufruf) ist ein Protokoll, das von Programmen verwendet werden kann, um Dienste von anderen Programmen, die auf anderen Computern laufen, anzufordern. Der portmap-Dienst kontrolliert RPC-Dienste durch Abbilden von RPC-Programmnummern auf DARPA-Protokoll-Portnummern. Er muss laufen, um RPC-Aufrufe ausfhren zu knnen.
RPC-basierte Dienste hatten eine unrhmliche Geschichte, was Sicherheitslcken betrifft, obwohl dies fr den Portmapper an sich nicht gilt (dieser bietet aber nach wie vor entfernten Angreifern Informationen). Es ist zu beachten, dass einige DDoS-(distributed denial of service, verteilte Dienstverweigerungen)-Angriffe RPC-Lcher benutzen, um in das System einzudringen und als so genannter Agent/Handler zu fungieren.
Sie bentigen RPC nur dann, wenn Sie einen RPC-basierten Dienst verwenden. Die bekanntesten RPC-basierten Dienste sind NFS (Network File System) und NIS (Network Information System). Vergleichen Sie mit dem vorherigen Abschnitt fr weitere Information ber NIS. Der File Alteration Monitor (FAM), der vom Paket fam bereitgestellt wird, ist ebenso ein RPC-Dienst und hngt deshalb von portmap ab.
NFS-Dienste sind in einigen Netzwerken ziemlich wichtig. Wenn dies fr Sie der Fall ist, mssen Sie einen Ausgleich finden, zwischen Sicherheit und Nutzbarkeit fr Ihr Netzwerk. Sie knnen mehr ber NFS-Sicherheit im http://www.tldp.org/HOWTO/NFS-HOWTO.html (/usr/share/doc/HOWTO/en-txt/NFS-HOWTO.txt.gz) finden.

5.13.1. Vollstndiges Deaktivieren von RPC-Diensten

Das Abschalten von portmap ist relativ einfach. Es gibt verschiedene Methoden. Die einfachste in einem Debian 3.0 oder neueren System ist das Paket portmap zu deinstallieren. Wenn Sie eine ltere Version von Debian laufen haben, werden Sie den Dienst, wie in Abschnitt 3.5.1, „Daemons abschalten“ beschrieben, abschalten mssen, weil das Programm Teil des Pakets netbase (das nicht deinstalliert werden kann, ohne das System kaputt zu machen) ist.
Beachten Sie, dass einige Desktop-Umgebungen (hauptschlich GNOME) RPC-Dienste verwenden und den Portmapper fr einige der Dateimanager-Eigenschaften bentigen. Wenn dies bei Ihnen der Fall ist, knnen Sie den Zugang zu RPC-Diensten, wie weiter unter beschrieben, beschrnken.

5.13.2. Einschrnken des Zugriffs auf RPC-Dienste

Unglcklicherweise ist es in manchen Fllen nicht mglich, RPC-Dienste vom System zu entfernen. Einige lokale Desktop-Dienste (hauptschlich SGIs fam) sind RPC-basiert und bentigen deshalb einen lokalen Portmapper. Dies bedeutet, dass unter bestimmten Umstnden Benutzer, die eine Desktop-Umgebung (wie GNOME) installieren, den Portmapper auch installieren werden.
Es gibt einige Wege den Zugriff auf den Portmapper und RPC-Dienste zu beschrnken:
  • Blockieren des Zugangs zu den Ports, die von diesen Diensten verwendet werden, mit einer lokalen Firewall (vergleiche Abschnitt 5.14, „Hinzufgen von Firewall-Fhigkeiten“)
  • Blockieren des Zugangs zu diesen Diensten mittels TCP-Wrappers, da der Portmapper und einige RPC-Dienste mit libwrap (siehe Abschnitt 4.12, „Die Nutzung von Tcpwrappers STOPP“) kompiliert wurden. Dies bedeutet, dass Sie Zugang zu diesen durch die hosts.allow und hosts.deny TCP-Wrapper-Konfiguration blockieren knnen.
  • Seit Version 5-5 kann das Paket portmap so konfiguriert werden, dass es nur noch auf der Loopback-Schnittstelle lauscht. Um dies zu erreichen, kommentieren Sie die folgende Zeile in der Datei /etc/default/portmap aus: #OPTIONS="-i 127.0.0.1" und starten Sie den Portmapper neu. Dies ist ausreichend, um lokale RPC-Dienste laufen zu lassen, whrend zur selben Zeit entfernte Systeme am Zugang gehindert werden (lesen Sie dazu auch Abschnitt 4.18.5, „Lösung des Problems der Weak-End-Hosts “).