Chapitre 8. Sécurisation des services de réseau
Red Hat Enterprise Linux 9 prend en charge de nombreux types de serveurs réseau. Leurs services réseau peuvent exposer la sécurité du système aux risques de divers types d'attaques, tels que les attaques par déni de service (DoS), les attaques par déni de service distribué (DDoS), les attaques par vulnérabilité de script et les attaques par débordement de mémoire tampon.
Pour renforcer la sécurité du système contre les attaques, il est important de surveiller les services réseau actifs que vous utilisez. Par exemple, lorsqu'un service réseau est en cours d'exécution sur une machine, son démon écoute les connexions sur les ports réseau, ce qui peut réduire la sécurité. Pour limiter l'exposition aux attaques sur le réseau, tous les services qui ne sont pas utilisés doivent être désactivés.
8.1. Sécuriser le service rpcbind
Le service rpcbind
est un démon dynamique d'attribution de ports pour les services d'appel de procédure à distance (RPC) tels que Network Information Service (NIS) et Network File System (NFS). Étant donné que ses mécanismes d'authentification sont faibles et qu'il peut attribuer un large éventail de ports aux services qu'il contrôle, il est important de sécuriser rpcbind
.
Vous pouvez sécuriser rpcbind
en limitant l'accès à tous les réseaux et en définissant des exceptions spécifiques à l'aide de règles de pare-feu sur le serveur.
-
Le service
rpcbind
est requis sur les serveursNFSv3
. -
NFSv4
ne nécessite pas que le servicerpcbind
écoute le réseau.
Conditions préalables
-
Le paquet
rpcbind
est installé. -
Le paquetage
firewalld
est installé et le service est en cours d'exécution.
Procédure
Ajouter des règles de pare-feu, par exemple :
Limiter les connexions TCP et n'accepter que les paquets provenant de l'hôte
192.168.0.0/24
via le port111
:# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
Limiter les connexions TCP et n'accepter que les paquets provenant de l'hôte local via le port
111
:# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
Limiter les connexions UDP et n'accepter que les paquets provenant de l'hôte
192.168.0.0/24
via le port111
:# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
Pour rendre les paramètres du pare-feu permanents, utilisez l'option
--permanent
lors de l'ajout de règles de pare-feu.
Rechargez le pare-feu pour appliquer les nouvelles règles :
# firewall-cmd --reload
Verification steps
Listez les règles du pare-feu :
# firewall-cmd --list-rich-rule rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop
Ressources supplémentaires
-
Pour plus d'informations sur les serveurs
NFSv4-only
, voir la section Configuration d'un serveur NFSv4 uniquement. - Utilisation et configuration de firewalld