Bagaimana Menghindari Hacks NFS ke Sistem Linux - dummies

Video: Cara Setting GameGuardian Supaya Support All Game ( V.8.20.0 ) #31 May 2017 2025

Sistem Fail Rangkaian (NFS) dalam Linux digunakan untuk memasang sistem fail jauh (sama seperti saham dalam Windows) dari mesin tempatan. Hacker suka sistem terpencil ini! Memandangkan sifat akses jauh dari NFS, ia sememangnya mempunyai bahagian hacks yang adil.

NFS hacks

Jika NFS didirikan secara tidak wajar atau konfigurasinya telah diceroboh - iaitu, / etc / eksport fail yang mengandungi tetapan yang membolehkan dunia membaca keseluruhan sistem fail - penggodam jauh dengan mudah dapat memperoleh jauh akses dan lakukan apa sahaja yang mereka mahu pada sistem. Dengan mengandaikan tiada senarai kawalan akses (ACL) yang ada, semua yang diperlukan adalah satu baris, seperti berikut, dalam fail / etc / eksport:

/ rw

Baris ini mengatakan bahawa sesiapa sahaja boleh melupuskan partition root dari fon baca-tulis. Sudah tentu, syarat-syarat berikut juga mesti benar:

NFS daemon (nfsd) mesti dimuat, bersama dengan daemon portmap yang akan memetakan NFS ke RPC.
Firewall mesti membenarkan trafik NFS melalui.
Sistem jauh yang dibenarkan masuk ke pelayan yang menjalankan daemon NFS mesti diletakkan ke / etc / hosts. izinkan fail.

Keupayaan menaikkan jarak jauh ini mudah disalahfahamkan. Ia sering dikaitkan dengan salah faham pentadbir Linux tentang apa yang diperlukan untuk membagikan NFS mounts dan menggunakan cara yang paling mudah untuk mendapatkannya bekerja. Selepas penggodam mendapat akses jauh, sistem itu adalah milik mereka.

Penangguhan terhadap serangan NFS

Pertahanan terbaik terhadap penggodaman NFS bergantung kepada sama ada anda sebenarnya memerlukan perkhidmatan yang berjalan.

Jika anda tidak memerlukan NFS, matikan ia.
Jika anda memerlukan NFS, lakukan langkah-langkah tindak balas berikut:
- Penapis trafik NFS di firewall - biasanya, port TCP 111 (port portmapper) jika anda ingin menapis semua lalu lintas RPC.
- Tambah ACL rangkaian untuk menghadkan akses kepada tuan rumah tertentu.
- Pastikan bahawa / etc / exports dan / etc / host anda. membenarkan fail dikonfigurasi dengan betul untuk memastikan dunia di luar rangkaian anda.