Inhoudsopgave:
Video: If You Do This, You'll Never Have to Repair Rust on Your Car 2024
Het netwerkbestandssysteem (NFS) in Linux wordt gebruikt om externe bestandssystemen (vergelijkbaar met shares in Windows) op de lokale computer te koppelen. Hackers zijn dol op deze externe systemen! Gezien de externe toegang van NFS, heeft het zeker een groot aantal hacks.
NFS-hacks
Als NFS onjuist is ingesteld of als er met de configuratie is geknoeid - namelijk het bestand / etc / exports met een instelling waarmee de wereld het volledige bestandssysteem kan lezen - kunnen externe hackers eenvoudig externe toegang krijgen toegang hebben tot en alles doen wat ze willen op het systeem. Ervan uitgaande dat er geen toegangscontrolelijst (ACL) aanwezig is, volstaat het een regel, zoals de volgende, in het bestand / etc / exports:
/ rw
Deze regel zegt dat iedereen de rootpartitie op afstand kan mounten op lees- en schrijfwijze. Natuurlijk moeten de volgende voorwaarden ook waar zijn:
-
De NFS-daemon (nfsd) moet worden geladen, samen met de portmap-daemon die NFS naar RPC zou toewijzen.
-
De firewall moet het NFS-verkeer doorlaten.
-
De externe systemen die zijn toegestaan op de server waarop de NFS-daemon wordt uitgevoerd, moeten in / etc / hosts worden geplaatst. bestand toestaan.
Deze mogelijkheid om op afstand te monteren is eenvoudig verkeerd in te stellen. Het heeft vaak te maken met het misverstand van een Linux-beheerder over wat nodig is om de NFS-mounts te delen en terug te grijpen naar de eenvoudigste manier om het te laten werken. Nadat hackers externe toegang hebben gekregen, is het systeem van hen.
Tegenmaatregelen tegen NFS-aanvallen
De beste verdediging tegen NFS-hacking is afhankelijk van of u de service feitelijk nodig hebt.
-
Schakel NFS uit als u NFS niet nodig hebt.
-
Als u NFS nodig hebt, implementeert u de volgende tegenmaatregelen:
-
Filter NFS-verkeer op de firewall - meestal TCP-poort 111 (de portmapper-poort) als u alle RPC-verkeer wilt filteren.
-
ACL's voor netwerken toevoegen om de toegang tot specifieke hosts te beperken.
-
Zorg ervoor dat uw / etc / exports en / etc / hosts. toestaan dat bestanden correct zijn geconfigureerd om de wereld buiten uw netwerk te houden.
-