5.2. ポートマップの保護
portmapサービスは NIS や NFS などRPCサービス向けの ダイナミックなポート指定デーモンです。 脆弱な認証メカニズムのうえ、管理下のサービスに様々なポートを指定する機能を 持ち合わせているため、保護するのは困難です。
 | 注記 |
|---|---|
portmapを保護することは、NFSv4 が要求しないので、単に NFSv2 と NFSv3 に影響するだけです。NFSv2 と NFSv3サーバーを実装する予定であれば、portmapが必要となり、次ぎのセクションが適用されます. |
RPSサービスを実行している時は、次の基本ルールを守って下さい。
5.2.1. portmap をTCPラッパーで保護する
portmapサービスには内蔵の認証形式がないため、TCPラッパーを使用し、 portmapサービスへアクセス可能なネットワークやホストを制限することが 重要になります。
更に、サービスのアクセスを制限する時はonly IP アドレスを使用して下さい。 DNS poisoning などによって偽造される場合がありますので、ホストネームは使用しないで下さい。
5.2.2. portmap をIPTablesで保護する
portmap サービスへのアクセスを更に規制するには、IPTables ルールをサーバーに追加し、特定ネットワークへのアクセスを規制するとよいでしょう。
92.168.0/24 ネットワークとローカルホスト(Nautilusが使用するsgi_famサービスに必要)からportmap(ポート111でリッスン)への TCP接続を許可するIPTables コマンドの2例を下記に説明しています。
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
同様にUDPトラフィックを制限するには、下記コマンドを使用して下さい。
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
 | ヒント |
|---|---|
IPTablesコマンドでファイヤボールを導入する場合の詳細は章7章 をご参照下さい。 |