开放111端口(rpcbind)的安全风险?

信息安全 港口 tcp nfs
2021-09-03 04:44:52

据我了解,rpcbind 用于列出活动服务,并告诉请求客户端将 RPC 请求发送到哪里。如果一台主机侦听 111 端口,则可以使用 rpcinfo 获取程序号和端口以及运行的服务;例如看下面:

root@bt:~# rpcinfo -p xxxx

程序与原始端口

100001    2   udp    111  portmapper
100000    3   udp    111  portmapper        
100005    3   udp   1048  mountd
100022    1   tcp   1047  nlockmgr    
100021    4   udp   1047  nlockmgr
100026    1   tcp   1039  status
100029    1   udp   1039  status
100003    2   tcp   2049  nfs
100003    3   tcp   2049  nfs

它的安全风险是什么?

我们通常需要在哪里打开 111 端口,什么时候可以关闭它而不会导致任何其他服务失败?

2个回答

如果您将此服务公开到 Internet,则每个人都可以查询此信息而无需进行身份验证。攻击者知道你在运行什么对攻击者很有用。

此外,RPC 服务有安全漏洞的历史。所以不要把它暴露给世界,除非你必须这样做。

rpcbind 的放大系数可以在 x5 到 x20 之间,具体取决于运行的 RPC 服务的数量。

它不应公开或至少只允许列入白名单的 IP 地址,否则您可能会发现服务器参与了 DDoS 攻击。