最近单位信息系统做安全等保,因为服务器使用了nfs文件共享,而导致在等保扫描中发现了一个高危漏洞,通过showmount -e可以展示nfs挂载列表,然后建议整改方法是限制使用showmount -e展示列表的主机,也就是说在使用nfs的客户端可以通过showmount -e展示可挂载的主机列表,其他主机均不可以使用showmount -e展示可挂载列表。思考了一番,发觉还是在nfs服务器端用iptables防火墙来限制好,那么现在遇到了几个问题:

1 客户端nfs使用mount或者showmount命令等貌似是和服务器端动态建立端口的,也就是nfs使用的某些端口不固定,这样iptables很难做限制

2iptables规则怎么写好(因为服务器都在云上,我调试iptables防火墙规则的时候不小心弄得连堡垒机都登录不了主机了55555)

下面给出上面漏洞和问题的解决方案:

1首先在服务器绑定nfs服务的相关端口,这样iptables防火墙规则就可以很容易控制了:

这里我nfs服务器端的ip是10.194.212.131

服务器端(10.194.212.131)绑定nfs服务相关端口:

[root@i-B18A2F40 /]# vi /etc/sysconfig/nfs
#在文件最下面添加如下信息
RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

2在服务器端(10.194.212.131)防火墙配置规则允许特定的主机访问nfs服务端口,其他全部禁止:

[root@i-B18A2F40 /]#  vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
#下面三句注意不要注释掉,否则就可能在规则的调试过程中导致无法登陆服务器主机
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#下面默认自带的五行注意要用#号注释掉
#-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#-A INPUT -p icmp -j ACCEPT
#-A INPUT -i lo -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
#下面是要添加的规则
#允许nfs客户端10.194.212.132访问本机nfs服务端10.194.212.131的相关nfs端口
-A INPUT -p tcp -s 10.194.212.132 --dport 111 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 111 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.132 --dport 2049 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 2049 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT#允许nfs客户端10.194.212.133访问本机nfs服务端10.194.212.131的相关nfs端口
-A INPUT -p tcp -s 10.194.212.133 --dport 111 -j ACCEPT
-A INPUT -p udp -s 10.194.212.133 --dport 111 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.133 --dport 2049 -j ACCEPT
-A INPUT -p udp -s 10.194.212.133 --dport 2049 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.133 --dport 30001:30004 -j ACCEPT
-A INPUT -p udp -s 10.194.212.133 --dport 30001:30004 -j ACCEPT#允许nfs客户端10.194.212.134访问本机nfs服务端10.194.212.131的相关nfs端口
-A INPUT -p tcp -s 10.194.212.134 --dport 111 -j ACCEPT
-A INPUT -p udp -s 10.194.212.134 --dport 111 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.134 --dport 2049 -j ACCEPT
-A INPUT -p udp -s 10.194.212.134 --dport 2049 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.134 --dport 30001:30004 -j ACCEPT
-A INPUT -p udp -s 10.194.212.134 --dport 30001:30004 -j ACCEPT#禁止其他主机访问本机nfs服务端10.194.212.131的相关nfs端口
-A INPUT -p tcp --dport 111 -j DROP
-A INPUT -p udp --dport 111 -j DROP
-A INPUT -p tcp --dport 2049 -j DROP
-A INPUT -p udp --dport 2049 -j DROP
-A INPUT -p tcp --dport 30001:30004 -j DROP
-A INPUT -p udp --dport 30001:30004 -j DROP
COMMIT

我这里有三个客户端(10.194.212.132、10.194.212.133和10.194.212.134)是需要挂载nfs服务器端的共享目录的

完成了上述配置后,可以在其他的客户端用showmount -e命令来测试下规则有没有生效,这里有个方法是,如果像我在云上操作可能没有多余的客户端来测试,那么在第二步添加iptables的规则时不妨先添加一台客户端主机(例如上面的10.194.212.132)的允许访问nfs服务端相关nfs端口规则(上面的第一块规则)和添加禁止其他主机访问nfs服务端相关nfs端口访问规则(上面的第四块规则),然后在其他客户端主机(如10.194.212.133)上面用showmount -e命令测试有没有被禁掉;还有就是添加规则时候先添加accept的规则再添加drop的规则,否则accept规则放在drop后面是不会生效的

目标主机showmount -e信息泄露(CVE-1999-0554),如何禁止只允许特定主机使用showmount -e查看挂载列表相关推荐

  1. 4.68亿个人信息泄露,原来你的隐私只值2块钱!

    点击上方"Python大本营",选择"置顶公众号" python大本营  IT人的职业提升平台 我们知道在坐火车或者坐飞机的时候需要验证身份,这个时候我们会出示 ...

  2. Linux漏洞:showmount -e信息泄露(CEE-1999-0554)

    修改该漏洞,实现允许指定主机通过mount到nfs服务器上,阻止其他主机通过showmount -e方式,泄露NFS共享目录结构信息. 1)在NFS主机上编辑:vi /etc/hosts.allow, ...

  3. 大数据时代,我们应该怎么防止我们的个人信息泄露?

    你的信息安全吗?移动互联网时代,大家在享受生活便利的同时,却开始担心个人隐私安全.而一些信息泄露引发的骚扰诈骗的后果,也让用户人人自危,害怕自己一个不经意的举动就会让信息暴露在空气中,成为不法分子行骗 ...

  4. 检测到目标url存在内部ip地址泄露_Cendertron,动态爬虫与敏感信息泄露检测

    Cendertron,动态爬虫与敏感信息泄露检测 Cendertron = Crawler + Rendertron Cendertron https://url.wx-coder.cn/HinPM ...

  5. VMware 软件被曝其史上最严重的信息泄露漏洞之一,影响大量虚拟机和主机

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 的目录服务 (vmdir) 组件中被指出现一个严重的信息泄露漏洞(CVSSv3 评分为满分10分),如遭利用,可暴露整个 ...

  6. 配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告

    作者:知道创宇404实验室 1. 更新情况 2. 事件概述 SNMP协议[1],即简单网络管理协议(SNMP,Simple Network Management Protocol),默认端口为 161 ...

  7. 在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊

    1.一份数据告诉你,被万年漏洞王 Struts2 坑了的网站有哪些 pache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞--CVE ...

  8. 开发者论坛一周精粹(第十四期):CVE-2017-7529:Nginx敏感信息泄露

    摘要: 2017年7月11日,Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出并且不 ...

  9. 【BP靶场portswigger-服务端6】信息泄露漏洞-5个实验(全)

    前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...

最新文章

  1. SAP MM ME1M报表结果不科学?
  2. Python实现遍历目录与子目录,并找到以.txt结尾的文件
  3. NOIP训练营集训笔记—信息学基础算法(倍增与分治算法
  4. 鼠标右键 移动选定的文件夹到指定位置_iRightMouse:一款免费Mac鼠标右键增强神器...
  5. deepfakes怎么用_[mcj]deepfakesApp使用说明(1)
  6. WinFrm程序使用的图片展示控件.带删除的
  7. 定义一个Employee类并排序(完整版本)
  8. python玩微信跳一跳_用python玩微信跳一跳
  9. 图文并茂带你了解依存句法分析
  10. Redis 中的事件驱动模型
  11. 【目标提取】计算机视觉中如何利用颜色和形状提取目标?
  12. 网路新年贺词_文伟_新浪博客
  13. 关于达芬奇调色台的那些事儿
  14. 【Devc++】战斗1.0.1
  15. Kotlin笔记27--使用Intent传递数据
  16. office 文档 在线预览功能实现(word,excel,pdf,ppt等多种格式)——使用https://view.xdocin.com/view 提示文档过期——基础积累
  17. 集成QQ钱包---踩坑
  18. php socket wss,websocket客户端无法建立wss连接
  19. 京东市值达4600亿元创历史新高
  20. STM32F767 Timer定时器与Usart串口综合实训

热门文章

  1. vue table表格中身份证隐藏中间几位
  2. 【洛谷 2958】木瓜的丛林
  3. 【3153万】巴菲特午餐再创天价!细数曾与股神共进午餐的中国大佬丨湾区人工智能...
  4. 贪心算法基础之活动时间安排(一)安排 51nod 贪心教程
  5. 密码编码学与网络安全———原理与实践(第八版)第三章笔记
  6. LeCo-221. 最大正方形
  7. Wifi_认证 、关联 和 四次握手(WPA/WPA2)
  8. 腾讯云主机凌晨内存上涨、CPU100%的问题排查与解决
  9. esp8266oled做时钟python_ESP8266实战一——带OLED显示屏电子时钟
  10. 什么是MTU值,如何设置最快最好?