8.2. Sécuriser le service rpc.mountd
Le démon rpc.mountd implémente le côté serveur du protocole de montage NFS. Le protocole de montage NFS est utilisé par la version 3 de NFS (RFC 1813).
Vous pouvez sécuriser le service rpc.mountd en ajoutant des règles de pare-feu au serveur. Vous pouvez restreindre l'accès à tous les réseaux et définir des exceptions spécifiques à l'aide de règles de pare-feu.
Conditions préalables
-
Le paquet
rpc.mountdest installé. -
Le paquetage
firewalldest installé et le service est en cours d'exécution.
Procédure
Ajouter des règles de pare-feu au serveur, par exemple :
Accepter les connexions
mountdà partir de l'hôte192.168.0.0/24:# firewall-cmd --add-rich-rule 'rule family="ipv4" service name="mountd" source address="192.168.0.0/24" invert="True" drop'Accepter les connexions
mountdà partir de l'hôte local :# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="127.0.0.1" service name="mountd" accept'Pour rendre les paramètres du pare-feu permanents, utilisez l'option
--permanentlors de l'ajout de règles de pare-feu.
Rechargez le pare-feu pour appliquer les nouvelles règles :
# firewall-cmd --reload
Verification steps
Listez les règles du pare-feu :
# firewall-cmd --list-rich-rule rule family="ipv4" service name="mountd" source address="192.168.0.0/24" invert="True" drop rule family="ipv4" source address="127.0.0.1" service name="mountd" accept
Ressources supplémentaires
