Offene Portmapper-Dienste (Cert-Bund Port 111 schließen)

By : CM
10. Dezember 2020
Category : Linux, Sicherheit
Tags: 111, bund, Cert

Linux

Als Serveradmin kann es nach einer Debian-Installation vorkommen, dass ihr Post vom BSI CERT-Bund bekommt.
In dieser E-Mail wird geschrieben, dass der offene Port 111 für DDoS-Reflection Angriffe missbraucht werden könnte.
Debian macht diesen Portmapper/RPC Port bei einer Standardinstallation leider automatisch für das gesamte Internet erreichbar.

Ich zeige euch wie ihr den Port mit nur wenigen Befehlen schließen könnt.

ACHTUNG: Wenn der Debian-Server als NFS-Server genutzt wird, darf der Port nicht geschlossen werden!

Punkt 1: Prüfen ob Port 111 offen ist

Mit rpcinfo -p prüfen wir ob der Portmapper Dienst läuft.

rpcinfo -p<br /><br /><br /><br /><br /><br /><br /><br>
   program vers proto   port  service<br /><br /><br /><br /><br /><br /><br /><br>
    100000    4   tcp    111  portmapper<br /><br /><br /><br /><br /><br /><br /><br>
    100000    3   tcp    111  portmapper<br /><br /><br /><br /><br /><br /><br /><br>
    100000    2   tcp    111  portmapper<br /><br /><br /><br /><br /><br /><br /><br>
    100000    4   udp    111  portmapper<br /><br /><br /><br /><br /><br /><br /><br>
    100000    3   udp    111  portmapper<br /><br /><br /><br /><br /><br /><br /><br>
    100000    2   udp    111  portmapper<br /><br /><br /><br /><br /><br /><br /><br>
    100024    1   udp  53272  status<br /><br /><br /><br /><br /><br /><br /><br>
    100024    1   tcp  52179  status<br /><br /><br /><br /><br /><br /><br /><br>
    100005    1   udp  20048  mountd<br /><br /><br /><br /><br /><br /><br /><br>
    100005    1   tcp  20048  mountd<br /><br /><br /><br /><br /><br /><br /><br>
    100005    2   udp  20048  mountd<br /><br /><br /><br /><br /><br /><br /><br>
    100005    2   tcp  20048  mountd<br /><br /><br /><br /><br /><br /><br /><br>
    100005    3   udp  20048  mountd<br /><br /><br /><br /><br /><br /><br /><br>
    100005    3   tcp  20048  mountd<br /><br /><br /><br /><br /><br /><br /><br>
    100003    3   tcp   2049  nfs<br /><br /><br /><br /><br /><br /><br /><br>
    100003    4   tcp   2049  nfs<br /><br /><br /><br /><br /><br /><br /><br>
    100227    3   tcp   2049  nfs_acl<br /><br /><br /><br /><br /><br /><br /><br>
    100021    1   udp  53754  nlockmgr<br /><br /><br /><br /><br /><br /><br /><br>
    100021    3   udp  53754  nlockmgr<br /><br /><br /><br /><br /><br /><br /><br>
    100021    4   udp  53754  nlockmgr<br /><br /><br /><br /><br /><br /><br /><br>
    100021    1   tcp  44609  nlockmgr<br /><br /><br /><br /><br /><br /><br /><br>
    100021    3   tcp  44609  nlockmgr<br /><br /><br /><br /><br /><br /><br /><br>
    100021    4   tcp  44609  nlockmgr

rpcinfo –p

program vers proto port service

100000 4 tcp 111 portmapper

100000 3 tcp 111 portmapper

100000 2 tcp 111 portmapper

100000 4 udp 111 portmapper

100000 3 udp 111 portmapper

100000 2 udp 111 portmapper

100024 1 udp 53272 status

100024 1 tcp 52179 status

100005 1 udp 20048 mountd

100005 1 tcp 20048 mountd

100005 2 udp 20048 mountd

100005 2 tcp 20048 mountd

100005 3 udp 20048 mountd

100005 3 tcp 20048 mountd

100003 3 tcp 2049 nfs

100003 4 tcp 2049 nfs

100227 3 tcp 2049 nfs_acl

100021 1 udp 53754 nlockmgr

100021 3 udp 53754 nlockmgr

100021 4 udp 53754 nlockmgr

100021 1 tcp 44609 nlockmgr

100021 3 tcp 44609 nlockmgr

100021 4 tcp 44609 nlockmgr

Weiter prüfen wir ob der Dienst, wie Debian üblich, auf 0.0.0.0:111 lauscht.

netstat -ntupl | grep 111<br /><br /><br /><br /><br /><br /><br /><br>
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/init<br /><br /><br /><br /><br /><br /><br /><br>
tcp6       0      0 :::111                  :::*                    LISTEN      1/init<br /><br /><br /><br /><br /><br /><br /><br>
udp        0      0 0.0.0.0:111             0.0.0.0:*                           1/init<br /><br /><br /><br /><br /><br /><br /><br>
udp6       0      0 :::111                  :::*                                1/init

netstat –ntupl | grep 111

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/init

tcp6 0 0 :::111 :::* LISTEN 1/init

udp 0 0 0.0.0.0:111 0.0.0.0:* 1/init

udp6 0 0 :::111 :::* 1/init

Punkt 2: RPC Port 111 schließen

Sollte man keinen NFS-Server betreiben, ist es am sinnvollsten den RPC Dienst zu stoppen und deaktivieren.

systemctl stop rpcbind<br /><br /><br /><br /><br /><br /><br /><br>
systemctl disable rpcbind<br /><br /><br /><br /><br /><br /><br /><br>
systemctl mask rpcbind<br /><br /><br /><br /><br /><br /><br /><br>
systemctl stop rpcbind.socket<br /><br /><br /><br /><br /><br /><br /><br>
systemctl disable rpcbind.socket

systemctl stop rpcbind

systemctl disable rpcbind

systemctl mask rpcbind

systemctl stop rpcbind.socket

systemctl disable rpcbind.socket

Punkt 3: Prüfen ob Port 111 geschlossen ist

Wir prüfen ob der Dienst maskiert und deaktiviert wurde.

systemctl status rpcbind<br /><br /><br /><br /><br /><br /><br /><br>
● rpcbind.service<br /><br /><br /><br /><br /><br /><br /><br>
   Loaded: masked (Reason: Unit rpcbind.service is masked.)<br /><br /><br /><br /><br /><br /><br /><br>
   Active: inactive (dead)

systemctl status rpcbind

● rpcbind.service

Loaded: masked (Reason: Unit rpcbind.service is masked.)

Active: inactive (dead)

Jetzt prüfen wir noch ob der Port 111 wirklich geschlossen ist und kein Dienst mehr auf dem Port läuft.

netstat -ntupl | grep 111<br /><br /><br /><br /><br /><br /><br /><br>
… leere Ausgabe …

netstat –ntupl | grep 111

... leere Ausgabe ...

https://adminforge.de/linux-allgemein/debian-rpc-port-111-schliessen/

SIMILAR NEWS

Linux

Log-Dateien prüfen

In diesem Artikel wird erklärt, wie Sie die Log-Dateien Ihres Servers prüfen. Microsoft Windows Server Wir empfehlen Ihnen, zur Auswertung der Log-Dateien den Event Viewer zu verwenden. Um diesen zu öffnen, drücken Sie die Tastenkombination Win + R. Geben Sie anschließend den Befehl eventvwr ein und drücken Sie Enter. Klicken …

Linux

Plesk Lizenzkey anstatt Aktivierungscode

Plesk Lizenz und zusätzliche Lizenzschlüssel Sie können Ihren Plesk Lizenzschlüssel und beliebige zusätzliche Lizenzschlüssel installieren, indem Sie einen Aktivierungscode eingeben. Standardmäßig können Sie den Plesk Lizenzschlüssel und die zusätzlichen Lizenzschlüssel nur installieren, wenn Sie einen Aktivierungscode eingeben. Wenn Sie den Plesk Lizenzschlüssel und die zusätzlichen Lizenzschlüssel durch Hochladen einer Lizenzschlüsseldatei installieren …

Linux

SSH mit Public Key Authentifizierung absichern

1.Generieren Public / Private Key Dazu benötigen wir das Programm „puttygen“, welches wir direkt vom Hersteller downloaden. Das Programm muss nicht installiert werden und lässt sich einfach starten. Nach dem Start sieht das Programm so aus. Nun klicken wir auf „Generate“. …