¿Cómo evitar nfs hacks a sistemas linux
El Sistema de archivos de red (NFS) en Linux se utiliza para montar sistemas de archivos remotos (similares a las acciones en Windows) de la máquina local. Los hackers les encanta estos sistemas remotos! Dada la naturaleza de acceso remoto de NFS, que sin duda tiene su parte justa de los hacks.
Hacks NFS
Si NFS se creó inadecuadamente o en su configuración ha sido manipulado - a saber, la / etc / exports archivo que contiene una configuración que permite que el mundo a leer todo el sistema de archivos - hackers remotos pueden obtener fácilmente acceso remoto y hacer lo que quieran en el sistema. Suponiendo que no hay lista de control de acceso (ACL) está en su lugar, todo lo que necesita es una línea, como la siguiente, en el / etc / exports archivo:
/ Rw
Esta línea dice que cualquiera puede montar de forma remota la partición raíz de un modo de lectura y escritura. Por supuesto, también las siguientes condiciones deben ser verdaderas:
El demonio NFS (nfsd) se debe cargar, junto con el demonio portmap que mapear NFS para RPC.
El servidor de seguridad debe permitir el tráfico a través de NFS.
Los sistemas remotos que se permiten en el servidor que ejecuta el demonio NFS se deben colocar en el /etc/hosts.allow archivo.
Esta capacidad remota de montaje es fácil de desconfigurar. A menudo se relaciona con la incomprensión de un administrador de Linux de lo que se necesita para compartir los montajes NFS y recurrir a la forma más fácil posible para que funcione. Después de los piratas informáticos acceder de manera remota, el sistema es de ellos.
Las contramedidas contra los ataques de NFS
La mejor defensa contra la piratería NFS depende de si usted realmente necesita el servicio en ejecución.
Si usted no necesita NFS, desactivarlo.
Si necesita NFS, poner en práctica las siguientes medidas:
Filtra el tráfico NFS en el servidor de seguridad - por lo general, el puerto TCP 111 (puerto asignador de puertos) si desea filtrar todo el tráfico RPC.
Añadir ACL de red para limitar el acceso a hosts específicos.
Asegúrese de que su / etc / exports y /etc/hosts.allow archivos están configurados correctamente para mantener al mundo fuera de su red.