[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sécurisation de NFS (pour Shorewall)

Le Tue, 7 Jul 2009 10:45:44 +0200,
David BERCOT <debian@bercot.org> a écrit :

> Bonjour,

	Salut,
 
> Je voudrais fixer les ports utilisés par NFS de manière à pouvoir
> définir mes règles dans Shorewall.
> J'ai donc suivi le how-to suivant :
> http://wiki.debian.org/SecuringNFS
> 
> Toutefois, j'ai deux petits soucis :
> 1. je n'ai ni statd ni quotad (concernant quotad, je ne pense pas que
> ce soit gênant et, pour statd, j'ai quand même fixé les ports, au cas
> où, dans /etc/default/nfs-common, et je me dis aussi que status doit
> quand même en faire partie ;-))). Est-ce normal ?

Pour ma part, j'ai bien un processus « rpc.statd », mais il n'apparaît
pas dans la sortie de « rpcinfo -p ».

> 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un
> renommage de process ?), mais je ne sais pas comment fixer ses
> ports...

J'ai un fichier /etc/modprobe.d/options.local qui contient :

# /etc/modprobe.d/options.local
options lockd nlm_udpport=3002 nlm_tcpport=3002

> Voici le résultat d'un rpcinfo -p :
>    program no_version protocole  no_port
>     100000    2   tcp    111  portmapper
>     100000    2   udp    111  portmapper
>     391002    2   tcp    997  sgi_fam
>     100024    1   udp  32765  status
>     100024    1   tcp  32765  status
>     100003    2   udp   2049  nfs
>     100003    3   udp   2049  nfs
>     100003    4   udp   2049  nfs
>     100021    1   udp  54659  nlockmgr
>     100021    3   udp  54659  nlockmgr
>     100021    4   udp  54659  nlockmgr
>     100021    1   tcp  55930  nlockmgr
>     100021    3   tcp  55930  nlockmgr
>     100021    4   tcp  55930  nlockmgr
>     100003    2   tcp   2049  nfs
>     100003    3   tcp   2049  nfs
>     100003    4   tcp   2049  nfs
>     100005    1   udp  32767  mountd
>     100005    1   tcp  32767  mountd
>     100005    2   udp  32767  mountd
>     100005    2   tcp  32767  mountd
>     100005    3   udp  32767  mountd
>     100005    3   tcp  32767  mountd
> 
> Pour sgi_fam, vous savez ce que c'est ?
non :-(


Pour ma part, j'obtiens :

# rpcinfo -p
   program no_version protocole  no_port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp   3000  status
    100024    1   tcp   3000  status
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100021    1   udp   3002  nlockmgr
    100021    3   udp   3002  nlockmgr
    100021    4   udp   3002  nlockmgr
    100021    1   tcp   3002  nlockmgr
    100021    3   tcp   3002  nlockmgr
    100021    4   tcp   3002  nlockmgr
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100005    1   udp   3001  mountd
    100005    1   tcp   3001  mountd
    100005    2   udp   3001  mountd
    100005    2   tcp   3001  mountd
    100005    3   udp   3001  mountd
    100005    3   tcp   3001  mountd



	Fred.
Reply to: