CVE-1999-0554 | 目标主机showmount -e信息泄露漏洞修复

 

详细描述

可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。

允许指定主机通过mount到nfs服务器上,阻止其他主机通过showmount -e方式,泄露NFS共享目录结构信息。

 

测试方式:showmount -e <IP>

 

绿盟漏洞解决办法

建议您采取以下措施以降低威胁:

* 限制可以获取NFS输出列表的IP和用户。

* 除非绝对必要,请关闭NFS服务、MOUNTD。

 

具体实施方式

方式1:修改配置文件

对共享服务器的hosts.allow和hosts.deny两个文件进行配置修改。具体修改如下:

Centos6的NFS服务叫做rpcbind,Centos5的NFS服务叫portmap。

 

/etc/hosts.allow

mountd:192.168.131.1         #cent7.0设置方式
Portmap:192.168.131.1:allow    #cent5.0设置方式
rpcbind: 192.168.56.4:allow       #cent6.0设置方式

 

/etc/hosts.deny

mountd:all                         #cent7.0设置方式
Portmap:ALL:deny                   #cent6.0设置方式
rpcbind: ALL : deny                #cent5.0设置方式

注意:无需重启rpc.bind和nfs。

 

方式2:采用iptables防火墙限制

 

1)修改nfs配置文件,分配未使用的端口。

 

[root@xxxxx /]# vi /etc/sysconfig/nfs
#在文件最下面添加如下信息
RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

 

2)重启nfs服务

/etc/init.d/rpcbind restart

/etc/init.d/nfs restart

 

3)允许客户端挂载主机的ip地址

iptables -A INPUT -p tcp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT

 

或是

vi /etc/sysconfig/iptables

#下面是要添加的规则
#允许nfs客户端10.194.212.132访问本机nfs服务端10.194.212.131的相关nfs端口
-A INPUT -p tcp -s 10.194.212.132 --dport 111 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 111 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.132 --dport 2049 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 2049 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT

 

4)其他客户端全部拒绝访问nfs服务

iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 2049 -j DROP
iptables -A INPUT -p udp --dport 2049 -j DROP
iptables -A INPUT -p tcp --dport 30001:30004 -j DROP
iptables -A INPUT -p udp --dport 30001:30004 -j DROP

 

5)开机启动服务加载

vim /etc/profile.d/iptables-nfs.sh
#!/bin/bash
#允许客户端挂载主机的ip地址
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT

 

#其他客户端全部拒绝访问nfs服务

iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 2049 -j DROP
iptables -A INPUT -p udp --dport 2049 -j DROP
iptables -A INPUT -p tcp --dport 30001:30004 -j DROP
iptables -A INPUT -p udp --dport 30001:30004 -j DROP

 

参考文章:

https://www.cnblogs.com/slyy/p/12133098.html

https://blog.csdn.net/qq_26614295/article/details/103119982

 

posted @ 2020-11-11 23:11  时光不改  阅读(11331)  评论(1编辑  收藏  举报