详细描述

可以对目标主机进行”showmount -e”操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。

解决办法

  • 限制可以获取 NFS 输出列表的 IP 和用户。
  • 除非绝对必要,请关闭NFS服务、MOUNTD。

风险级别

高风险

责任归属

系统管理员

加固风险

低风险操作,无需重启服务,只影响 showmout -e 查询服务端共享目录并不会影响 nfs 服务正常挂载和使用

链接

CVE - CVE-1999-0554 (mitre.org)

详细方案

1. 配置文件限制

对 NFS 共享服务器的 /etc/hosts.allow/etc/hosts.deny 进行配置
由于各系统版本的 nfs mount 服务不同,所以分为以下三种配置方式:

1.1 centos7

1
2
3
4
5
vim /etc/hosts.allow
mountd:134.64.   # 允许134.64.x.x 网段访问mountd服务,如果是mountd:134.则为允许134.x.x.x访问mountd服务,多个ip可用逗号隔开

vim /etc/hosts.deny
mountd:all

1.2 centos6

1
2
3
4
5
vim /etc/hosts.allow
rpcbind: 134.:allow

vim /etc/hosts.deny
rpcbind:ALL:deny

1.3 centos5

1
2
3
4
5
vim /etc/hosts.allow
Portmap:134.:allow

vim /etc/hosts.deny
Portmap:ALL:deny

2 iptables 限制

使用 iptables 白名单对 nfs 服务端口(默认 111, 2049)进行限制。

end

[!info]+ 提示
推荐使用第一种方法,无业务影响无需更改防火墙配置