第8章 ネットワークサービスのセキュリティー保護
Red Hat Enterprise Linux 9 は、さまざまな種類のネットワークサーバーをサポートしています。RHEL 9 ネットワークサービスを使用すると、システムのセキュリティーが DoS 攻撃 (Denial of Service)、DDoS 攻撃 (Distributed Denial of Service)、スクリプト脆弱性攻撃、バッファーオーバーフロー攻撃など、さまざまな種類の攻撃のリスクにさらされる可能性があります。
攻撃に対するシステムのセキュリティーを強化するには、使用しているアクティブなネットワークサービスを監視することが重要です。たとえば、ネットワークサービスがマシンで実行されている場合に、そのデーモンはネットワークポートでの接続をリッスンするのでセキュリティーが低下する可能性があります。ネットワークに対する攻撃に対する公開を制限するには、未使用のすべてのサービスをオフにする必要があります。
8.1. rpcbind サービスのセキュリティー保護
rpcbind サービスは、Network Information Service (NIS) や Network File System (NFS) などの Remote Procedure Calls (RPC) サービス用の動的ポート割り当てデーモンです。その認証メカニズムは弱く、制御するサービスに幅広いポート範囲を割り当てる可能性があるため、rpcbind をセキュア化することが重要です。
すべてのネットワークへのアクセスを制限し、サーバーのファイアウォールルールを使用して特定の例外を定義することにより、rpcbind のセキュリティーを確保できます。
-
NFSv3サーバーでは、rpcbindサービスが必要です。 -
NFSv4では、rpcbindサービスがネットワークをリッスンする必要がありません。
前提条件
-
rpcbindパッケージがインストールされている。 -
Firewalldパッケージがインストールされ、サービスが実行されている。
手順
次に、ファイアウォールルールを追加します。
TCP 接続を制限し、
111ポート経由の192.168.0.0/24ホストからのパッケージだけを受け入れます。# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'TCP 接続を制限し、
111ポート経由のローカルホストからのパッケージだけを受け入れます。# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'UDP 接続を制限し、
111ポート経由の192.168.0.0/24ホストからのパッケージだけを受け入れます。# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'ファイアウォール設定を永続化するには、ファイアウォールルールを追加するときに
--permanentオプションを使用します。
ファイアウォールをリロードして、新しいルールを適用します。
# firewall-cmd --reload
検証手順
ファイアウォールルールをリストします。
# firewall-cmd --list-rich-rule rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop
関連情報
-
NFSv4-onlyサーバーの詳細は、Configuring an NFSv4-only server を参照してください。 - firewalld の使用および設定
