
Als Serveradmin kann es nach einer Debian-Installation vorkommen, dass ihr Post vom BSI CERT-Bund bekommt.
In dieser E-Mail wird geschrieben, dass der offene Port 111 für DDoS-Reflection Angriffe missbraucht werden könnte.
Debian macht diesen Portmapper/RPC Port bei einer Standardinstallation leider automatisch für das gesamte Internet erreichbar.
Ich zeige euch wie ihr den Port mit nur wenigen Befehlen schließen könnt.
ACHTUNG: Wenn der Debian-Server als NFS-Server genutzt wird, darf der Port nicht geschlossen werden!
Punkt 1: Prüfen ob Port 111 offen ist
Mit rpcinfo -p
prüfen wir ob der Portmapper Dienst läuft.
|
rpcinfo –p
program vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 53272 status
100024 1 tcp 52179 status
100005 1 udp 20048 mountd
100005 1 tcp 20048 mountd
100005 2 udp 20048 mountd
100005 2 tcp 20048 mountd
100005 3 udp 20048 mountd
100005 3 tcp 20048 mountd
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100227 3 tcp 2049 nfs_acl
100021 1 udp 53754 nlockmgr
100021 3 udp 53754 nlockmgr
100021 4 udp 53754 nlockmgr
100021 1 tcp 44609 nlockmgr
100021 3 tcp 44609 nlockmgr
100021 4 tcp 44609 nlockmgr
|
Weiter prüfen wir ob der Dienst, wie Debian üblich, auf 0.0.0.0:111 lauscht.
|
netstat –ntupl | grep 111
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/init
tcp6 0 0 :::111 :::* LISTEN 1/init
udp 0 0 0.0.0.0:111 0.0.0.0:* 1/init
udp6 0 0 :::111 :::* 1/init
|
Punkt 2: RPC Port 111 schließen
Sollte man keinen NFS-Server betreiben, ist es am sinnvollsten den RPC Dienst zu stoppen und deaktivieren.
|
systemctl stop rpcbind
systemctl disable rpcbind
systemctl mask rpcbind
systemctl stop rpcbind.socket
systemctl disable rpcbind.socket
|
Punkt 3: Prüfen ob Port 111 geschlossen ist
Wir prüfen ob der Dienst maskiert und deaktiviert wurde.
|
systemctl status rpcbind
● rpcbind.service
Loaded: masked (Reason: Unit rpcbind.service is masked.)
Active: inactive (dead)
|
Jetzt prüfen wir noch ob der Port 111 wirklich geschlossen ist und kein Dienst mehr auf dem Port läuft.
|
netstat –ntupl | grep 111
... leere Ausgabe ...
|
https://adminforge.de/linux-allgemein/debian-rpc-port-111-schliessen/