Como evitar Hacks NFS para Sistemas Linux
O Network File System (NFS) no Linux é usado para montar sistemas de arquivos remotos (semelhante às ações no Windows) a partir da máquina local. Hackers adoram esses sistemas remotos! Dada a natureza de acesso remoto do NFS, ele certamente tem seu quinhão de hacks.
hacks NFS
Se o NFS foi configurado de forma inadequada ou a sua configuração foi adulterado - ou seja, o / etc / exportações arquivo contendo uma configuração que permite que o mundo para ler todo o sistema de arquivos - hackers remotos podem facilmente obter acesso remoto e fazer o que quiserem no sistema. Assumindo que não há lista de controle de acesso (ACL) está no lugar, tudo o que preciso é uma linha, tal como o seguinte, no / etc / exportações Arquivo:
/ rw
Essa linha diz que qualquer um pode montar remotamente a partição raiz de um modo de leitura e escrita. Naturalmente, as seguintes condições também deve ser verdadeira:
O daemon NFS (nfsd) deve ser carregado, junto com o daemon portmap que mapear NFS para RPC.
O firewall deve permitir que o tráfego NFS completamente.
Os sistemas remotos que são permitidos no servidor rodando o daemon NFS deve ser colocado no /etc/hosts.allow Arquivo.
Esta capacidade de montagem remoto é fácil de misconfigure. É muitas vezes relacionada com a incompreensão de um administrador de Linux do que é necessário para compartilhar as montagens NFS e recorrendo a maneira mais fácil possível fazê-lo funcionar. Depois de hackers ganhar acesso remoto, o sistema é deles.
Medidas contra ataques NFS
A melhor defesa contra a pirataria NFS depende se você realmente precisa do serviço em execução.
Se você não precisa de NFS, desativá-lo.
Se você precisar de NFS, implementar as seguintes medidas preventivas:
Filtrar o tráfego NFS no firewall - normalmente, a porta TCP 111 (a porta portmapper) se você quiser filtrar todo o tráfego RPC.
Adicionar ACLs de rede para limitar o acesso a hosts específicos.
Certifique-se de que o seu / etc / exportações e /etc/hosts.allow arquivos estão configurados corretamente para manter o mundo fora da sua rede.