Re: Sécurisation de NFS (pour Shorewall)
Le Tue, 7 Jul 2009 10:45:44 +0200,
David BERCOT <debian@bercot.org> a écrit :
> Bonjour,
Salut,
> Je voudrais fixer les ports utilisés par NFS de manière à pouvoir
> définir mes règles dans Shorewall.
> J'ai donc suivi le how-to suivant :
> http://wiki.debian.org/SecuringNFS
>
> Toutefois, j'ai deux petits soucis :
> 1. je n'ai ni statd ni quotad (concernant quotad, je ne pense pas que
> ce soit gênant et, pour statd, j'ai quand même fixé les ports, au cas
> où, dans /etc/default/nfs-common, et je me dis aussi que status doit
> quand même en faire partie ;-))). Est-ce normal ?
Pour ma part, j'ai bien un processus « rpc.statd », mais il n'apparaît
pas dans la sortie de « rpcinfo -p ».
> 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un
> renommage de process ?), mais je ne sais pas comment fixer ses
> ports...
J'ai un fichier /etc/modprobe.d/options.local qui contient :
# /etc/modprobe.d/options.local
options lockd nlm_udpport=3002 nlm_tcpport=3002
> Voici le résultat d'un rpcinfo -p :
> program no_version protocole no_port
> 100000 2 tcp 111 portmapper
> 100000 2 udp 111 portmapper
> 391002 2 tcp 997 sgi_fam
> 100024 1 udp 32765 status
> 100024 1 tcp 32765 status
> 100003 2 udp 2049 nfs
> 100003 3 udp 2049 nfs
> 100003 4 udp 2049 nfs
> 100021 1 udp 54659 nlockmgr
> 100021 3 udp 54659 nlockmgr
> 100021 4 udp 54659 nlockmgr
> 100021 1 tcp 55930 nlockmgr
> 100021 3 tcp 55930 nlockmgr
> 100021 4 tcp 55930 nlockmgr
> 100003 2 tcp 2049 nfs
> 100003 3 tcp 2049 nfs
> 100003 4 tcp 2049 nfs
> 100005 1 udp 32767 mountd
> 100005 1 tcp 32767 mountd
> 100005 2 udp 32767 mountd
> 100005 2 tcp 32767 mountd
> 100005 3 udp 32767 mountd
> 100005 3 tcp 32767 mountd
>
> Pour sgi_fam, vous savez ce que c'est ?
non :-(
Pour ma part, j'obtiens :
# rpcinfo -p
program no_version protocole no_port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 3000 status
100024 1 tcp 3000 status
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100021 1 udp 3002 nlockmgr
100021 3 udp 3002 nlockmgr
100021 4 udp 3002 nlockmgr
100021 1 tcp 3002 nlockmgr
100021 3 tcp 3002 nlockmgr
100021 4 tcp 3002 nlockmgr
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100005 1 udp 3001 mountd
100005 1 tcp 3001 mountd
100005 2 udp 3001 mountd
100005 2 tcp 3001 mountd
100005 3 udp 3001 mountd
100005 3 tcp 3001 mountd
Fred.
Reply to: