nfs漏洞修复(showmount -e)

最新推荐文章于 2025-03-06 10:45:56 发布
最新推荐文章于 2025-03-06 10:45:56 发布
阅读量1w 收藏 18
点赞数 3
分类专栏: 小技巧 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kali_yao/article/details/121998391
版权

注:nfs是生产不太建议用,如果要用的话不要对外;但如果真要对外用的话也可修复漏洞

1.漏洞概述

可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。

允许指定主机通过mount到nfs服务器上,阻止其他主机通过showmount -e方式,泄露NFS共享目录结构信息

2、先查看你nfs的配置

~]# cat /etc/exports
/ceshi 172.17.0.114(rw,sync) 172.17.0.98(rw,sync)

然后你在上面的IP进行showmount -e nfs服务器IP地址能看到上面这个配置

~]# showmount -e 172.17.0.142
Export list for 172.17.0.142:
/ceshi               172.17.0.98,172.17.0.114

3.hosts.allow和hosts.deny两个文件限制

修改配置

~]# vim /etc/hosts.allow
修改添加 /etc/hosts.allow
mountd:allow                 #cent7.0设置方式;所有机器,与deny文件配合用
rpcbind: allow                    #cent6.0设置方式;所有机器
Portmap:192.168.13.1:allow     #cent5.0设置方式;设置某一个ip
 
~]# vim /et/hosts.deny
修改添加 /etc/hosts.deny
mountd:all                         #cent7.0设置方式,所有机器禁止showmount -e查看
rpcbind:ALL:deny                   #cent6.0设置方式
Portmap:ALL:deny                   #cent5.0设置方式
最后验证一下
~]# showmount -e 172.17.0.142
rpc mount export: RPC: Authentication error; why = Failed (unspecified error)

4.另外如果要开放网段的话是在hosts.allow中加入

~]# vim /etc/hosts.allow 
mountd:allow
mountd:172.17.0.:allow


直接一个点后面什么也不加即可放行172.17.0整个网段
注意:无需重启rpc.bind和nfs,
showmount -e (CVE-1999-0554) NFS漏洞解决方案
bigwood99的博客
02-10 9576
nfs服务启动后,可能会导致信息泄露。 图中看到nfs相关信息。即便在/etc/exports中没有配置可以访问的IP主机,也可以 showmount -e 获取信息。 可以通过配置hosts.allow和hosts.deny来实现阻止showmount -e 获得信息。 hosts.allow添加如下: mountd:192.168.1.54,192.168.1.247:allow rpcbind:192.168.1.54,192.168.1.247:allow 这里允许2台主机可以通过sh
对目标主机进行“showmount -e“操作,此操作将泄露目标主机大量敏感信息,漏洞修复
热门推荐
weixin_52200604的博客
02-20 1万+
漏洞描述 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 解决方案 NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 漏洞分析: 在NFS服务端设置允许挂载客户端的IP并赋予权限后,赋予权限的的IP地址是可以挂载nfs共享目录的,没有赋予权限的IP地址不能挂载nfs共享目录,但是通过sho
目标主机showmount -e信息泄露(CVE-1999-0554)
最新发布
qq_37579157的博客
03-06 234
NFS服务器上的/etc/hosts.allow和/etc/hosts.deny文件添加以下内容即可解决该问题。在以上两个文件中添加对应内容之后,不需要重启nfs服务,即可生效。编辑/etc/hosts.allow文件。
showmount -e漏洞修复,实测已完成修复
weixin_46062349的博客
09-26 1664
nfs漏洞showmount -e漏洞修复
nfs漏洞的处理:目标主机showmount -e信息泄露(CVE-1999-0554)
大新新大浩浩的博客
09-14 2122
nfs漏洞的处理:目标主机showmount -e信息泄露(CVE-1999-0554)
目标主机 showmount -e 信息泄露(CVE-1999-0554)漏洞修复方案
xiqi439的博客
10-11 2571
场景描述: 我共享主机是192.168.12.15 ,将15上的目录共享到192.168.12.12和192.168.12.14上面。但是我再另外一台机器192.168.12.13上执行showmount -e 192.168.12.15时,泄露了共享目录信息。mountd:192.168.12.12,192.168.12.14 #<==添加客户端IP地址,相当于白名单。mountd:all #<==添加该行,相当于黑名单。2、白名单外的地址都加黑名单。
NFS高版本漏洞修复方法
jiayu的博客
08-14 1180
由于centos8后,nfs相关的配置发送了变化,无法固定端口方式来做防火墙,由于一般导致漏洞的原因主要是由于showmount -e,所以我们这里采取的方式是nfs server端仅使用v4版本,禁止使用v3版本。但是,您还可以将 NFS 配置为只支持 NFS 版本 4.0 及更新的版本。这可最大限度地减少系统上打开的端口的数量和运行的服务,因为 NFSv4 不需要。正常情况下NFS可以使用firewalld进行规避,但是由于k8s默认底层会调用iptables,这里就不采用firewalld方式了。
showmount命令 显示NFS服务器的加载信息
01-09
showmount命令查询“mount”守护进程,以显示NFS服务器的加载信息。 语法格式: showmount [参数] 常用参数: -d 仅显示已被NFS客户端加载的目录 -e 显示NFS服务器上所有的共享目录 参考实例 获取已经被...
linux NFS安装配置及常见问题、/etc/exports配置文件、showmount命令
09-15
主要介绍了linux NFS安装配置及常见问题,介绍的也比较详细特分享下,方便需要的朋友
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
10-28
由于该漏洞相对较老,银河麒麟V10可能已经包含了相应的安全修复。然而,定期检查并应用最新的安全更新是保持系统安全的关键。 在日常运维中,除了配置tcp-wrappers,还应考虑其他安全措施,比如使用防火墙(如...
欧拉系统 showmount -e 漏洞怎么修复
11-05
1. **更新安全补丁**:检查系统的安全更新日志,如果有针对 showmount 或相关服务的漏洞修复补丁,应用这些更新。 ```sh sudo apt-get update && sudo apt-get upgrade --security ``` 2. **强化 NFS 设置**:...
showmount
Hhytyq的博客
05-11 5477
showmount命令 showmount命令用于查询NFS服务器的相关信息 showmount --help Usage: showmount [-adehv] [–all] [–directories] [–exports] [–no-headers] [–help] [–version] [host] -a或–all 以 host:dir 这样的格式来显示客户主机名和挂载点目录。 -d或–d...
漏洞修复NFS如何限制可以获取NFS输出列表的IP和用户
weixin_54626591的博客
03-25 2351
NFS如何限制可以获取NFS输出列表的IP和用户
目标主机showmount -e信息泄露(CVE-1999-0554),如何禁止只允许特定主机使用showmount -e查看挂载列表
wangbaosongmsn的博客
12-02 1935
最近单位信息系统做安全等保,因为服务器使用了nfs文件共享,而导致在等保扫描中发现了一个高危漏洞,通过showmount -e可以展示nfs挂载列表,然后建议整改方法是限制使用showmount -e展示列表的主机,也就是说在使用nfs的客户端可以通过showmount -e展示可挂载的主机列表,其他主机均不可以使用showmount -e展示可挂载列表。思考了一番,发觉还是在nfs服务器端用iptables防火墙来限制好,那么现在遇到了几个问题: 1 客户端nfs使用mount或者showmount命令
NFS安装配置及常见问题、/etc/exports配置文件、showmount命令
真理部
01-02 1万+
1,服务器端软件:安装nfs-utils和portmap(rpcbind)  nfs-utils: 提供rpc.nfsd 及 rpc.mountd这两个NFS DAEMONS的套件  portmap: NFS其实可以被看作是一个RPC SERVER PROGRAM,而要启动一个RPC SERVER PROGRAM,都要做好PORT的对应工作,而且这样的任务就是由PORTMAP来完成的。通俗的说
Linux NFS共享目录配置漏洞
m0_62670778的博客
05-11 1361
使用nmap扫描靶机的IP地址,可以看到靶机的2049端口开放,且使用了nfs服务。尝试查看靶机利用NFS共享的全部文件夹:看到结果是。接下来可以利用nfs漏洞实现远程ssh无密码登录。传输成功之后再次尝试使用ssh命令连接靶机。这表示将根目录下单全部文件都共享了。,其目的就是映射共享文件夹下的根目录。将靶机上的共享文件挂载到该文件上面。在攻击机上面创建一个根文件夹。命令查看所有的本地磁盘的信息。我们尝试用ssh服务连接上靶机。在挂载成功之后我们可以通过。
nfs漏洞分析
qq_57147160的博客
12-13 1474
首先nfs是一个文件共享的一个服务,然后来进行搭建一下,首先启动起来: 这样服务已将开启了,但是还没有共享的目录文件,我们需要再/etc/exports中来进行配置; 写上这一句话,*号的意思是所以ip都可以进行访问,rw就是可以写入的意思。 随后我们使用nmap进行扫描: 就可以看到nfs服务了。 我们使用showmount命令来进行查看可以访问的路径: 就可以可能到我们可以访问根目录。 随后我们使用命令mount来挂载一个镜像: 挂载完成后,我们进入/mnt目录就可以
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值