LINUX.ORG.RU
ФорумAdmin

Нет поддирикторий или как зафиксировать порт!


0

0

Вообщем есть FreeBSD стоящая в VMware и Linux в котором стоит варя. Так вот,во фре я примонтировал папку /home/ftp, а в этой папке есть примонтированные каталоги mount --bind /dir /dir, сами каталоги видно, но вот то что внутри нет :( а в каталогах непосредственно созданных в /home/ftp всё видно. По поводу порта, после каждого перезапуска порт меняется, мне тут сказали что nfs пашет через portmаp если я правильно понял это он выдаёт разные порты, конфига portmap я не нашёл. И один вопрос как это пофиксить?

★★★★★

http://www.citforum.ru/operating_systems/linux/HOWTO/NFS-HOWTO-6.shtml

6.4 NFS и firewall

Очень хорошая идея защитить порты nfs и portmap с помощью firewall на вашем маршрутизаторе. Nfsd работает на порту 2049, используя оба протокола -- udp и tcp. Portmapper работает на порту 111, tcp и udp, а mountd работает на портах 745 и 747, tcp и udp. По умолчанию. Вы должны проверить номера используемых портов, используя команду rpcinfo -p.

Если вы хотите использовать NFS сквозь firewall, то есть опции для новых версий NFSd и mountd, для того, чтобы заставить их использовать нестандартные порты, которые могут быть открыты в firewall.

6.5 Резюме

Если вы используете hosts.allow/deny, root_squash, nosuid и привилегированные порты в программном обеспечении portmapper/nfs, то вы можете избежать известных ошибок в nfs и можете чувствовать себя почти в безопасности. Но все равно: когда взломщик имеет доступ к вашей сети, то он/она может добавить странные команды в ваш файл .forward или почтовый ящик, когда /home или /var/spool/mail смонтирован через NFS. По той же причине, вы никогда не должны осуществлять доступ к вашим личным ключам PGP через nfs. Или по крайней мере вы должны знать какой риск существует. И знать о нем хотя бы немного.

sdio ★★★★★
()
Ответ на: комментарий от cyclon 

root@cyclon / # rpcinfo -p | grep tcp
    100000    2   tcp    111  portmapper
    100024    1   tcp  34284  status
    100003    2   tcp   2049  nfs
    100021    1   tcp  34285  nlockmgr
    100021    3   tcp  34285  nlockmgr
    100005    1   tcp    701  mountd
    100005    2   tcp    701  mountd
    100005    3   tcp    701  mountd
root@cyclon / # rpcinfo -p | grep udp
    100000    2   udp    111  portmapper
    100024    1   udp  32906  status
    100003    2   udp   2049  nfs
    100021    1   udp  32907  nlockmgr
    100021    3   udp  32907  nlockmgr
    100005    1   udp    698  mountd
    100005    2   udp    698  mountd
    100005    3   udp    698  mountd
root@cyclon / # iptables -L INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 5/min burst 5
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             localhost
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:rsync
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:5190 dpt:5190
ACCEPT     tcp  --  anywhere             anywhere            multiport ports netbios-ns,netbios-dgm,netbios-ssn,epmap,profile,microsoft-ds,https
ACCEPT     udp  --  anywhere             anywhere            multiport ports microsoft-ds,netbios-ns,netbios-dgm,https
ACCEPT     tcp  --  anywhere             anywhere            multiport ports 742,976,1007,sunrpc,nfs
ACCEPT     udp  --  192.168.0.0/16       anywhere            multiport ports nfs,sunrpc,698,32906,32907
ACCEPT     tcp  --  192.168.0.0/16       anywhere            multiport ports nfs,sunrpc,701,34284,34285

ТАК???

cyclon ★★★★★
() автор топика
Ответ на: комментарий от cyclon

>А можно это как то обойти что ли??

Расшарить эти (--bind) директории отдельно, а на клиенте смонтировать их в нужные места.

sdio ★★★★★
()
Ответ на: комментарий от cyclon

http://www.citi.umich.edu/projects/nfsv4/

From rfc3530:

The Network File System (NFS) version 4 is a distributed filesystem protocol which owes heritage to NFS protocol version 2, RFC 1094, and version 3, RFC 1813. Unlike earlier versions, the NFS version 4 protocol supports traditional file access while integrating support for file locking and the mount protocol. In addition, support for strong security (and its negotiation), compound operations, client caching, and internationalization have been added. Of course, attention has been applied to making NFS version 4 operate well in an Internet environment.

We are developing implementations of NFSv4 for Linux and FreeBSD.

sdio ★★★★★
()
Ответ на: комментарий от sdio

Чё то всё равно порты прыгают, вроде открыл те порты что написаны, а он всё равно меняет :(

Вот образец лога.

Apr 11 22:48:25 cyclon kernel: Dropped from INPUT: IN=vmnet8 OUT= MAC=00:50:56:c0:00:08:00:0c:29:4c:50:92:08:00 SRC=192.168.147.2 DST=192.168.147.1 LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=77 PROTO=UDP SPT=825 DPT=619 LEN=112

Отку да 825 порт???

cyclon ★★★★★
() автор топика
Ответ на: комментарий от cyclon 

root@cyclon / # rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  32765  status
    100024    1   tcp  32765  status
    100003    2   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100021    1   udp  33379  nlockmgr
    100021    3   udp  33379  nlockmgr
    100021    1   tcp  41693  nlockmgr
    100021    3   tcp  41693  nlockmgr
    100005    1   udp  32767  mountd
    100005    1   tcp  32767  mountd
    100005    2   udp  32767  mountd
    100005    2   tcp  32767  mountd
    100005    3   udp  32767  mountd
    100005    3   tcp  32767  mountd
root@cyclon / # /etc/init.d/nfs restart
 * Stopping NFS mountd ...                                                                          [ ok ]
 * Stopping NFS daemon ...                                                                          [ ok ]
 * Stopping NFS statd ...                                                                           [ ok ]
 * Stopping idmapd ...                                                                              [ ok ]
 * Starting idmapd ...
rpc.idmapd: Skipping configuration file "/etc/idmapd.conf": No such file or directory               [ ok ]
 * Starting NFS statd ...                                                                           [ ok ]
 * Exporting NFS directories ...                                                                    [ ok ]
 * Starting NFS daemon ...                                                                          [ ok ]
 * Starting NFS mountd ...                                                                          [ ok ]
root@cyclon / # rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  32765  status
    100024    1   tcp  32765  status
    100003    2   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100021    1   udp  33380  nlockmgr
    100021    3   udp  33380  nlockmgr
    100021    1   tcp  41704  nlockmgr
    100021    3   tcp  41704  nlockmgr
    100005    1   udp  32767  mountd
    100005    1   tcp  32767  mountd
    100005    2   udp  32767  mountd
    100005    2   tcp  32767  mountd
    100005    3   udp  32767  mountd
    100005    3   tcp  32767  mountd

Вот, nlockmgr поменял порт.

cyclon ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin