NFS高版本漏洞修复方法

最新推荐文章于 2024-05-11 12:11:25 发布
最新推荐文章于 2024-05-11 12:11:25 发布
阅读量773 收藏 2
点赞数
分类专栏: Linux 文章标签: 运维 容器 k8s linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41586875/article/details/132280779
版权

Centos8 NFS漏洞修复

  • 由于centos8后,nfs相关的配置发送了变化,无法固定端口方式来做防火墙,由于一般导致漏洞的原因主要是由于showmount -e,所以我们这里采取的方式是nfs server端仅使用v4版本,禁止使用v3版本

  • NFS 服务器支持 NFSv3 和 NFSv4 连接。但是,您还可以将 NFS 配置为只支持 NFS 版本 4.0 及更新的版本。这可最大限度地减少系统上打开的端口的数量和运行的服务,因为 NFSv4 不需要 rpcbind(禁用后,即可实现showmount -e 无法出内容) 服务来侦听网络

  • 另外,您还可以禁用对 RPCBINDMOUNTNSM 协议调用的监听,这在仅使用 NFSv4 的情况下不需要

  • 正常情况下NFS可以使用firewalld进行规避,但是由于k8s默认底层会调用iptables,这里就不采用firewalld方式了

  • 禁用这些额外选项的影响有:

    • 试图使用 NFSv3 从服务器挂载共享的客户端变得无响应。

    • NFS 服务器本身无法挂载 NFSv3 文件系统

NFS配置
# 修改nfs server端配置
vim /etc/nfs.conf
[nfsd]
# debug=0
# threads=8
# host=
# port=0
# grace-time=90
# lease-time=90
# tcp=y
vers2=n 		# 禁用v2协议
vers3=n			# 禁用v3协议
vers4=y			# 启用v4协议
vers4.0=y	  # 启用v4协议
vers4.1=y	  # 启用v4协议
vers4.2=y		# 启用v4协议
# rdma=n
#

# 禁用对 RPCBIND、MOUNT 和 NSM 协议调用的监听(一般情况下这个是可选的,但是在修复漏洞情景下为必做),在仅使用 NFSv4 情况下不需要这些调用。禁用相关服务:
	systemctl mask --now rpc-statd.service rpcbind.service rpcbind.socket

# 重启 NFS 服务器:
	systemctl restart nfs-server
NFS验证
# 以下是仅使用 NFSv4 服务器上 netstat 输出的示例;也禁用了对 RPCBIND、MOUNT 和 NSM 的侦听。这里,nfs 是唯一侦听 NFS 的服务:
# nfs server节点运行命令
[root@localhost ~]# netstat -tulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost.locald:domain 0.0.0.0:*               LISTEN      3454/dnsmasq
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN      2667/sshd
tcp        0      0 0.0.0.0:nfs             0.0.0.0:*               LISTEN      -
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      2667/sshd
tcp6       0      0 [::]:nfs                [::]:*                  LISTEN      -
udp        0      0 localhost.locald:domain 0.0.0.0:*                           3454/dnsmasq
udp        0      0 0.0.0.0:bootps          0.0.0.0:*                           3454/dnsmasq


# showmont -e 验证,本机和其他机器运行命令验证		
[root@localhost ~]# showmount -e nfs_server_ip  # 这里因该要卡死,无法出现挂载目录
clnt_create: RPC: Timed out

# nfs挂载功能验证,要能挂载正常
	mount -t nfs nfs_server_ip:/data/nfsshare /mnt

# 取消挂载,挂载成功后,一定要记得取消挂载
	umount /mnt
旺仔_牛奶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nfs漏洞分析
qq_57147160的博客
12-13 1371
首先nfs是一个文件共享的一个服务,然后来进行搭建一下,首先启动起来: 这样服务已将开启了,但是还没有共享的目录文件,我们需要再/etc/exports中来进行配置; 写上这一句话,*号的意思是所以ip都可以进行访问,rw就是可以写入的意思。 随后我们使用nmap进行扫描: 就可以看到nfs服务了。 我们使用showmount命令来进行查看可以访问的路径: 就可以可能到我们可以访问根目录。 随后我们使用命令mount来挂载一个镜像: 挂载完成后,我们进入/mnt目录就可以
漏洞修复NFS如何限制可以获取NFS输出列表的IP和用户
weixin_54626591的博客
03-25 1824
NFS如何限制可以获取NFS输出列表的IP和用户
NFS配置不当导致信息泄露
HxXh
03-08 6547
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。(来源百度)NFS服务的默认开放端口为2049/TCP,因此我们可以借助Nmap来针对性的进行探测。对存在NFS配置错误的主机进行扫描r...
Linux NFS共享目录配置漏洞
最新发布
m0_62670778的博客
05-11 499
使用nmap扫描靶机的IP地址,可以看到靶机的2049端口开放,且使用了nfs服务。尝试查看靶机利用NFS共享的全部文件夹:看到结果是。接下来可以利用nfs漏洞实现远程ssh无密码登录。传输成功之后再次尝试使用ssh命令连接靶机。这表示将根目录下单全部文件都共享了。,其目的就是映射共享文件夹下的根目录。将靶机上的共享文件挂载到该文件上面。在攻击机上面创建一个根文件夹。命令查看所有的本地磁盘的信息。我们尝试用ssh服务连接上靶机。在挂载成功之后我们可以通过。
nfs漏洞修复(showmount -e)
kali_yao的博客
12-18 8940
注:nfs是生产不太建议用,如果要用的话不要对外;但如果真要对外用的话也可修复漏洞 1.漏洞概述 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 允许指定主机通过mount到nfs服务器上,阻止其他主机通过showmount -e方式,泄露NFS共享目录结构信息 2、先查看你nfs的配置 ~]# cat /etc/exports /ceshi 172.17.0.1
nfs文件共享漏洞
m0_52433710的博客
12-21 5825
什么是nfs NFS是基于UDP/IP协议的应用,其实现主要是采用远程过程调用RPC机制,RPC提供了一组与机器、操作系统以及低层传送协议无关的存取远程文件的操作。RPC采用了XDR的支持。XDR是一种与机器无关的数据描述编码的协议,他以独立与任意机器体系结构的格式对网上传送的数据进行编码和解码,支持在异构系统之间数据的传送。 漏洞复现 攻击机:Kali 靶机:Metasploitable2 首先利用nmap对靶机 进行扫描,扫描其开放的端口: ...
NFS不安全的配置漏洞
weixin_46564680的博客
10-13 2157
NFS不安全的配置漏洞 NFS简述: 网络文件系统(英语:Network File System,缩写作 NFS)是一种分布式文件系统,力求客户端主机可以访问服务器端文件,并且其过程与访问本地存储时一样,允许网络上的用户以类似于本地存储的方式访问共享文件夹。 NFS服务的默认开放端口为2049/TCP。 漏洞检测: NFS不安全配置漏洞检测可以通过漏洞扫描工具发现 Nessus漏洞报告详情 使用NMAP检测漏洞 使用NMAP扫描发现目标开放2049端口 查看nmap自带的和NFS相关的
漏洞验证】NFS 共享信息泄露漏洞
热门推荐
weixin_43486390的博客
01-15 1万+
文章目录描述验证 描述 漏洞名称:NFS Exported Share Information Disclosure 中文名称:NFS 共享信息泄露漏洞 漏洞等级:危 CVE:CVE-1999-0170 Nessus扫描结果: 输出共享目录和文件信息: 验证 步骤1:msf 验证漏洞是否存在,并输出共享目录 use auxiliary/scanner/nfs/nfsmount set rho...
linux系统漏洞加固
04-18
5.24 检查NFS(网络文件系统)服务配置(低危) 5.25 检查拥有suid和sgid权限的文件(低危) 5.26 检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)(低危) 5.27 检查是否安装chkrootkit进行系统监测...
银河麒麟级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
10-28
由于该漏洞相对较老,银河麒麟V10可能已经包含了相应的安全修复。然而,定期检查并应用最新的安全更新是保持系统安全的关键。 在日常运维中,除了配置tcp-wrappers,还应考虑其他安全措施,比如使用防火墙(如...
NFS-GANESHA-开源
05-02
为了确保NFS-Ganesha的安全和性能,管理员还需要关注一些最佳实践,如限制网络访问、使用加密传输、定期更新软件以修复安全漏洞等。此外,监控和日志记录也是维护NFS-Ganesha稳定运行的关键环节。 总之,NFS-...
NFS服务器客户机配置
10-28
一、 实验名称:NFS服务器及客户机配置 二、 实验目的:NFS服务器共享目录,客户机可以进行访问 三、 实验步骤: (1) NFS服务器: 1.#vi /etc/sysconfig/network-scripts/ifcfg-eth0进行IP地址配置。IP:192.168....
linux NFS安装配置及常见问题、/etc/exports配置文件、showmount命令
09-15
主要介绍了linux NFS安装配置及常见问题,介绍的也比较详细特分享下,方便需要的朋友
kali linux对Metasploitable2漏洞利用,nfs获取目标密码文件 笔记
边城浪子的博客
09-19 941
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。 实验环境: 攻击机:kali linux ip:192.168.172.134 目标机:Metasploittable2 ip:...
CVE-2022-26937 Windows NFS 栈溢出漏洞分析
顶峰
01-31 565
运维
6-19漏洞利用-nfs获取目标密码文件
山兔的博客
07-26 1212
NFS(NetworkFileSystem)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透过TCP/IP通道透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。它和smb效果类似,但是它的协议是不同的,我们可以通过nmap探测目标IP地址,查看是否开启了NFS服务,nfs一般是2049端口探测它的具体信息,运行TCP端口,nfs服务,以及版本。......
利用nfs共享漏洞获取系统文件
shatianyzg的博客
06-06 249
环境:win7攻击机 192.168.241.131 Centos 7 靶机 192.168.241.128配置靶机的ip地址 Vim /etc/exports[root@localhost nfs]# chmod -R 777 /nfs 关闭firewall及selinux root@localhost nfs]# systemctl stop firewalld [root@localhost nfs]# systemctl disable firewalldVim /etc/selinux/conf
openssh漏洞修复
Francis_G的博客
08-13 426
mount -t nfs 192.168.0.240:/application/share /application/share 硬盘共享挂载 linux 漏洞修复 tar xzvf openssh-8.1p1.tar.gz cd openssh-8.1p1 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl make&&make install ssh -V vim /etc/ssh/s
NSF未授权访问漏洞/共享文件目录数据信息泄露
weixin_38896449的博客
02-24 5734
NSF未授权访问漏洞1、漏洞描述2、漏洞检测3、漏洞利用/验证4、漏洞修复 1、漏洞描述 Network File System(NFS),网络文件系统,是由SUN公司研制的UNIX表示层协议(presentation layer protocol),能使使用者访问网络上别处的文件就像在使用自己的计算机一样。nfs最初只支持UDP协议,在新版本中支持TCP和UDP协议,默认监听端口为2049。 2、漏洞检测 (1)使用nmap,执行命令nmap --script nfs-showmount IP,获取到
NFS export漏洞
07-25
NFS(Network File System)是一种用于在网络上共享文件系统的协议。关于NFS export漏洞,我可以提供一些基本信息。 NFS export漏洞是指由于不正确的配置或权限设置,导致NFS服务器上的共享目录可以被未经授权的客户端访问和修改。这可能会导致安全风险,因为攻击者可以利用这个漏洞来访问或篡改敏感数据。 为了确保安全性,应该采取一些措施来防止NFS export漏洞的发生: 1. 确保正确配置NFS服务器的访问控制列表(ACL),只允许授权的客户端访问共享目录。 2. 配置合适的身份验证和授权机制,如Kerberos等。 3. 禁用不必要的NFS共享,并只共享需要共享的最小文件集。 4. 定期审查NFS服务器的日志,以检测可能的异常活动。 5. 定期更新和维护NFS服务器和相关软件的安全补丁。 请注意,这仅是一些基本的防护措施,具体的配置和操作步骤可能因系统和环境而异。建议在部署NFS服务器前,仔细研究相关文档并遵循最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔_牛奶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值