Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 8. Sécurisation des services de réseau

download PDF

Red Hat Enterprise Linux 9 prend en charge de nombreux types de serveurs réseau. Leurs services réseau peuvent exposer la sécurité du système aux risques de divers types d'attaques, tels que les attaques par déni de service (DoS), les attaques par déni de service distribué (DDoS), les attaques par vulnérabilité de script et les attaques par débordement de mémoire tampon.

Pour renforcer la sécurité du système contre les attaques, il est important de surveiller les services réseau actifs que vous utilisez. Par exemple, lorsqu'un service réseau est en cours d'exécution sur une machine, son démon écoute les connexions sur les ports réseau, ce qui peut réduire la sécurité. Pour limiter l'exposition aux attaques sur le réseau, tous les services qui ne sont pas utilisés doivent être désactivés.

8.1. Sécuriser le service rpcbind

Le service rpcbind est un démon dynamique d'attribution de ports pour les services d'appel de procédure à distance (RPC) tels que Network Information Service (NIS) et Network File System (NFS). Étant donné que ses mécanismes d'authentification sont faibles et qu'il peut attribuer un large éventail de ports aux services qu'il contrôle, il est important de sécuriser rpcbind.

Vous pouvez sécuriser rpcbind en limitant l'accès à tous les réseaux et en définissant des exceptions spécifiques à l'aide de règles de pare-feu sur le serveur.

Note
  • Le service rpcbind est requis sur les serveurs NFSv3.
  • NFSv4 ne nécessite pas que le service rpcbind écoute le réseau.

Conditions préalables

  • Le paquet rpcbind est installé.
  • Le paquetage firewalld est installé et le service est en cours d'exécution.

Procédure

  1. Ajouter des règles de pare-feu, par exemple :

    • Limiter les connexions TCP et n'accepter que les paquets provenant de l'hôte 192.168.0.0/24 via le port 111: 

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'

    • Limiter les connexions TCP et n'accepter que les paquets provenant de l'hôte local via le port 111: 

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'

    • Limiter les connexions UDP et n'accepter que les paquets provenant de l'hôte 192.168.0.0/24 via le port 111: 

      # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'

      Pour rendre les paramètres du pare-feu permanents, utilisez l'option --permanent lors de l'ajout de règles de pare-feu.

  2. Rechargez le pare-feu pour appliquer les nouvelles règles : 

    # firewall-cmd --reload

Verification steps

  • Listez les règles du pare-feu : 

    # firewall-cmd --list-rich-rule
rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop
rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept
rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.