Forum Debian Users Gang

Novi-cjusz · 2016-12-26 15:20:45

Swieta, chwila wolnego czasu i wpadl mi w rece temat RPC.
Zaczolem zastanawiac sie co to znaczy dla bezpieczenstwa Jessie.
Komenda:

Kod:

netstat -lt

pokazuje aktywne polaczenia, RDC jest!

Kod:

rpcinfo -p

pokazuje portmapping i Nr portu na ktorym dziala.
Artykul:

Kod:

https://www.sans.org/security-resources/idfaq/is-blocking-port-111-sufficient-to-protect-your-systems-from-rpc-attacks/7/5

z roku 2000 ale przedstawia wiele zagrozen zwiazanych z RPC.
Kolejny artykul:

Kod:

https://scotch.io/tutorials/implementing-remote-procedure-calls-with-grpc-and-protocol-buffers

jest juz z 2016r i mowi:

gRPC is a modern open source high performance RPC framework that can run in any environment.

Brzmi to niewesolo.
Czy w takiej sytuacji:

Kod:

systemctl stop rpcbind
systemctl disable rpcbind

lub:

Kod:

apt-get remove rpcbind

czy tylko:

Kod:

iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j DROP

lub - match RPC connection tracking information:

Kod:

 iptables -A INPUT -m record_rpc -j ACCEPT

lub:

Kod:

service iptables -A INPUT -p udp --destination-port 111 -j DROP"

Jak skutecznie zamknac drzwi RPC przed nieproszonymi goscmi?

Jacekalex · 2016-12-26 15:27:10

Co to takiego ten RPC?

Kod:

root ~> rpcinfo -p
bash: rpcinfo: nie znaleziono polecenia

Kod:

root ~> netstat -lt | egrep 'rtc|rdc'

root ~>

I wszystko działa...

SOA#1

Pozdro

Ostatnio edytowany przez Jacekalex (2016-12-26 15:27:49)

Novi-cjusz · 2016-12-26 15:31:54

u mnie dziala:

Kod:

➜  robin rpcinfo -p
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  47853  status
    100024    1   tcp  36413  status

Kod:

➜  robin netstat -lt | egrep 'rtc|rdc'
➜  robin

Pytanie:

Jak skutecznie zamknac drzwi RPC przed nieproszonymi goscmi?

pozostaje aktualne.

Dodatkowe info: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

Ostatnio edytowany przez Novi-cjusz (2016-12-26 15:36:02)

Jacekalex · 2016-12-26 15:37:17

Kod:

# Debian ###   pon gru 26 15:34:46  localhost : / 
root ~> rpcinfo -p
bash: rpcinfo: nie znaleziono polecenia

Po co Ci w systemie niepotrzebne usługi, z których nie korzystasz?

Poza tym, jak masz prawidłowo skonfigurowany Firewall, to nic więcej nie trzeba, bo i tak blokuje połączenia z zewnątrz.

Spróbuj wywalić portmap i rpcbind i zobacz, czy to pomoże na twoje troski. :P

Ostatnio edytowany przez Jacekalex (2016-12-26 15:45:13)

Novi-cjusz · 2016-12-26 15:43:13

Wlasnie, myslalem tak samo, tylko nie jestem pewien z czym jeszcze wiaze sie ten RPC i jakie beda konsekwencje wylaczenia?
Wylaczam.

"Strasznie" mnie ten RPC lubi (;-)

Kod:

➜  robin systemctl stop rpcbind
➜  robin systemctl disable rpcbind
Synchronizing state for rpcbind.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d rpcbind defaults
Executing /usr/sbin/update-rc.d rpcbind disable
insserv: warning: current start runlevel(s) (empty) of script `rpcbind' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (0 1 6 S) of script `rpcbind' overrides LSB defaults (0 1 6).
➜  robin systemctl status rpcbind
● rpcbind.service - LSB: RPC portmapper replacement
   Loaded: loaded (/etc/init.d/rpcbind)
  Drop-In: /run/systemd/generator/rpcbind.service.d
           └─50-rpcbind-$portmap.conf
   Active: active (running) since Mon 2016-12-26 14:44:14 GMT; 28s ago
   CGroup: /system.slice/rpcbind.service
           └─12127 /sbin/rpcbind -w

Dec 26 14:44:14 debian systemd[1]: Starting LSB: RPC portmapper replacement...
Dec 26 14:44:14 debian rpcbind[12119]: Starting rpcbind daemon....
Dec 26 14:44:14 debian systemd[1]: Started LSB: RPC portmapper replacement.

Wynikaloby z tego ze nie bardzo mozna "stop" i pewnie od razu trzeba "remove"?
Ciekawy temat.

Do firewalli mam ograniczone zaufanie bo przeciez istnieje cos takiego jak "port knocking"

Ostatnio edytowany przez Novi-cjusz (2016-12-26 15:52:36)

morfik · 2016-12-26 16:07:59

No te rpc i pormap to są wykorzystywane min. przy NFS.

A ta usługa ci startuje, bo ma soket. Wyłącz soket i przestanie:

Kod:

# systemctl disable rpcbind.socket
# systemctl disable rpcbind

Ostatnio edytowany przez morfik (2016-12-26 16:08:44)

Novi-cjusz · 2016-12-26 19:33:00

Przestalo:

Kod:

➜  robin systemctl disable rpcbind.socket
➜  robin systemctl disable rpcbind
Synchronizing state for rpcbind.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d rpcbind defaults
insserv: warning: current start runlevel(s) (empty) of script `rpcbind' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (0 1 6 S) of script `rpcbind' overrides LSB defaults (0 1 6).
Executing /usr/sbin/update-rc.d rpcbind disable
insserv: warning: current start runlevel(s) (empty) of script `rpcbind' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (0 1 6 S) of script `rpcbind' overrides LSB defaults (0 1 6).
➜  robin systemctl status rpcbind
● rpcbind.service - LSB: RPC portmapper replacement
   Loaded: loaded (/etc/init.d/rpcbind)
  Drop-In: /run/systemd/generator/rpcbind.service.d
           └─50-rpcbind-$portmap.conf
   Active: inactive (dead)

Forum Debian Users Gang

Ogłoszenie

#1 2016-12-26 15:20:45

Novi-cjusz - Użytkownik

Remote procedure call

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#2 2016-12-26 15:27:10

Jacekalex - Podobno człowiek...;)

Re: Remote procedure call

Kod:

Kod:

#3 2016-12-26 15:31:54

Novi-cjusz - Użytkownik

Re: Remote procedure call

Kod:

Kod:

#4 2016-12-26 15:37:17

Jacekalex - Podobno człowiek...;)

Re: Remote procedure call

Kod:

#5 2016-12-26 15:43:13

Novi-cjusz - Użytkownik

Re: Remote procedure call

Kod:

#6 2016-12-26 16:07:59

morfik - Cenzor wirtualnego świata

Re: Remote procedure call

Kod:

#7 2016-12-26 19:33:00

Novi-cjusz - Użytkownik

Re: Remote procedure call

Kod:

Stopka forum