Bagaimana Menghindari NFS Hacks ke Sistem Linux - dummies

Video: Cara Setting GameGuardian Supaya Support All Game ( V.8.20.0 ) #31 May 2017 2024

Sistem Berkas Jaringan (NFS) di Linux digunakan untuk me-mount sistem file jarak jauh (mirip dengan saham Windows) dari mesin lokal. Hacker menyukai sistem remote ini! Mengingat sifat akses jarak jauh dari NFS, pastinya memiliki pangsa hacks yang adil.

NFS hacks

Jika NFS dibuat tidak semestinya atau konfigurasinya telah dirusak - yaitu file / etc / exports yang berisi setting yang memungkinkan dunia membaca keseluruhan sistem file - hacker jarak jauh dapat dengan mudah memperoleh remote akses dan melakukan apapun yang mereka inginkan pada sistem. Dengan asumsi tidak ada daftar kontrol akses (ACL) ada, semua yang diperlukan adalah sebuah garis, seperti berikut ini, pada file / etc / exports:

/ rw

Baris ini mengatakan bahwa siapa pun dapat secara remote me-mount partisi root dengan cara baca tulis. Tentu saja, kondisi berikut juga harus benar:

NFS daemon (nfsd) harus dimuat, bersama dengan daemon portmap yang akan memetakan NFS ke RPC.
Firewall harus mengizinkan lalu lintas NFS melewatinya.
Sistem jarak jauh yang diizinkan masuk ke server yang menjalankan daemon NFS harus ditempatkan di / etc / hosts. biarkan file

Kemampuan pemasangan jarak jauh ini mudah salah konfigurasi. Ini sering dikaitkan dengan kesalahpahaman administrator Linux tentang apa yang diperlukan untuk membagikan NFS dan beralih ke cara termudah untuk membuatnya bekerja. Setelah hacker mendapatkan akses jarak jauh, sistemnya milik mereka.

Penanggulangan serangan NFS

Pertahanan terbaik melawan hacking NFS bergantung pada apakah Anda benar-benar membutuhkan layanan yang berjalan.

Jika Anda tidak memerlukan NFS, nonaktifkan.
Jika Anda memerlukan NFS, lakukan tindakan pencegahan berikut ini:
- Saring lalu lintas NFS di firewall - biasanya, port TCP 111 (port portmapper) jika Anda ingin memfilter semua lalu lintas RPC.
- Tambahkan ACL jaringan untuk membatasi akses ke host tertentu.
- Pastikan bahwa / etc / exports dan / etc / hosts Anda. izinkan file dikonfigurasi dengan benar untuk menjaga agar dunia tidak berada di luar jaringan Anda.