目标主机showmount -e信息泄露(CVE-1999-0554),如何禁止只允许特定主机使用showmount -e查看挂载列表

最新推荐文章于 2024-03-25 19:32:30 发布
最新推荐文章于 2024-03-25 19:32:30 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 安全
原文链接:https://blog.csdn.net/qq_26614295/article/details/103119982
版权

最近单位信息系统做安全等保,因为服务器使用了nfs文件共享,而导致在等保扫描中发现了一个高危漏洞,通过showmount -e可以展示nfs挂载列表,然后建议整改方法是限制使用showmount -e展示列表的主机,也就是说在使用nfs的客户端可以通过showmount -e展示可挂载的主机列表,其他主机均不可以使用showmount -e展示可挂载列表。思考了一番,发觉还是在nfs服务器端用iptables防火墙来限制好,那么现在遇到了几个问题:

1 客户端nfs使用mount或者showmount命令等貌似是和服务器端动态建立端口的,也就是nfs使用的某些端口不固定,这样iptables很难做限制

2iptables规则怎么写好(因为服务器都在云上,我调试iptables防火墙规则的时候不小心弄得连堡垒机都登录不了主机了55555)

下面给出上面漏洞和问题的解决方案:

1首先在服务器绑定nfs服务的相关端口,这样iptables防火墙规则就可以很容易控制了:

这里我nfs服务器端的ip是10.194.212.131

 

服务器端(10.194.212.131)绑定nfs服务相关端口:

 

  1. [root@i-B18A2F40 /]# vi /etc/sysconfig/nfs

  2. #在文件最下面添加如下信息

  3. RQUOTAD_PORT=30001

  4. LOCKD_TCPPORT=30002

  5. LOCKD_UDPPORT=30002

  6. MOUNTD_PORT=30003

  7. STATD_PORT=30004

2在服务器端(10.194.212.131)防火墙配置规则允许特定的主机访问nfs服务端口,其他全部禁止:

 

  1. [root@i-B18A2F40 /]# vi /etc/sysconfig/iptables

  2. # Firewall configuration written by system-config-firewall

  3. # Manual customization of this file is not recommended.

  4. *filter

  5. #下面三句注意不要注释掉,否则就可能在规则的调试过程中导致无法登陆服务器主机

  6. :INPUT ACCEPT [0:0]

  7. :FORWARD ACCEPT [0:0]

  8. :OUTPUT ACCEPT [0:0]

  9. #下面默认自带的五行注意要用#号注释掉

  10. #-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  11. #-A INPUT -p icmp -j ACCEPT

  12. #-A INPUT -i lo -j ACCEPT

  13. #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

  14. #-A INPUT -j REJECT --reject-with icmp-host-prohibited

  15. #-A FORWARD -j REJECT --reject-with icmp-host-prohibited

  16. #下面是要添加的规则

  17. #允许nfs客户端10.194.212.132访问本机nfs服务端10.194.212.131的相关nfs端口

  18. -A INPUT -p tcp -s 10.194.212.132 --dport 111 -j ACCEPT

  19. -A INPUT -p udp -s 10.194.212.132 --dport 111 -j ACCEPT

  20. -A INPUT -p tcp -s 10.194.212.132 --dport 2049 -j ACCEPT

  21. -A INPUT -p udp -s 10.194.212.132 --dport 2049 -j ACCEPT

  22. -A INPUT -p tcp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT

  23. -A INPUT -p udp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT

  24.  

  25. #允许nfs客户端10.194.212.133访问本机nfs服务端10.194.212.131的相关nfs端口

  26. -A INPUT -p tcp -s 10.194.212.133 --dport 111 -j ACCEPT

  27. -A INPUT -p udp -s 10.194.212.133 --dport 111 -j ACCEPT

  28. -A INPUT -p tcp -s 10.194.212.133 --dport 2049 -j ACCEPT

  29. -A INPUT -p udp -s 10.194.212.133 --dport 2049 -j ACCEPT

  30. -A INPUT -p tcp -s 10.194.212.133 --dport 30001:30004 -j ACCEPT

  31. -A INPUT -p udp -s 10.194.212.133 --dport 30001:30004 -j ACCEPT

  32.  

  33. #允许nfs客户端10.194.212.134访问本机nfs服务端10.194.212.131的相关nfs端口

  34. -A INPUT -p tcp -s 10.194.212.134 --dport 111 -j ACCEPT

  35. -A INPUT -p udp -s 10.194.212.134 --dport 111 -j ACCEPT

  36. -A INPUT -p tcp -s 10.194.212.134 --dport 2049 -j ACCEPT

  37. -A INPUT -p udp -s 10.194.212.134 --dport 2049 -j ACCEPT

  38. -A INPUT -p tcp -s 10.194.212.134 --dport 30001:30004 -j ACCEPT

  39. -A INPUT -p udp -s 10.194.212.134 --dport 30001:30004 -j ACCEPT

  40.  

  41. #禁止其他主机访问本机nfs服务端10.194.212.131的相关nfs端口

  42. -A INPUT -p tcp --dport 111 -j DROP

  43. -A INPUT -p udp --dport 111 -j DROP

  44. -A INPUT -p tcp --dport 2049 -j DROP

  45. -A INPUT -p udp --dport 2049 -j DROP

  46. -A INPUT -p tcp --dport 30001:30004 -j DROP

  47. -A INPUT -p udp --dport 30001:30004 -j DROP

  48. COMMIT

我这里有三个客户端(10.194.212.132、10.194.212.133和10.194.212.134)是需要挂载nfs服务器端的共享目录的

完成了上述配置后,可以在其他的客户端用showmount -e命令来测试下规则有没有生效,这里有个方法是,如果像我在云上操作可能没有多余的客户端来测试,那么在第二步添加iptables的规则时不妨先添加一台客户端主机(例如上面的10.194.212.132)的允许访问nfs服务端相关nfs端口规则(上面的第一块规则)和添加禁止其他主机访问nfs服务端相关nfs端口访问规则(上面的第四块规则),然后在其他客户端主机(如10.194.212.133)上面用showmount -e命令测试有没有被禁掉;还有就是添加规则时候先添加accept的规则再添加drop的规则,否则accept规则放在drop后面是不会生效的

哈哈和呵呵
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
showmount -e (CVE-1999-0554) NFS漏洞解决方案
bigwood99的博客
02-10 8513
nfs服务启动后,可能会导致信息泄露。 图中看到nfs相关信息。即便在/etc/exports中没有配置可以访问的IP主机,也可以 showmount -e 获取信息。 可以通过配置hosts.allow和hosts.deny来实现阻止showmount -e 获得信息。 hosts.allow添加如下: mountd:192.168.1.54,192.168.1.247:allow rpcbind:192.168.1.54,192.168.1.247:allow 这里允许2台主机可以通过sh
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
10-28
文档、源码、aarch64版本
漏洞修复方法:检测到远端X服务正在运行中(CVE-1999-0526)、目标主机showmount -e信息泄露(CVE-1999-0554)、nacos未授权访问漏洞【原理扫描】
最新发布
weixin_54626591的博客
03-25 1050
检测到远端X服务正在运行中(CVE-1999-0526)、目标主机showmount -e信息泄露(CVE-1999-0554)、nacos未授权访问漏洞【原理扫描】
防止无关服务器访问showmount -e
weixin_47219260的博客
12-02 487
***suse11sp3: /etc/hosts.allow增加 mountd: nfsclient_ip1,nfsclient_ip2 rpcbind:nfsclient_ip1,nfsclient_ip2 /etc/hosts.allow增加 mountd: all rpcbind:all 不用重启任何service,直接生效 ***新版linux(如果没有以上两文件),就只能用firewalld阻拦,只允许nfs client访问2049端口 firewall-cmd --per
CVE-1999-0554
m0_38004228的博客
03-03 1579
目标主机showmount -e信息泄露(CVE-1999-0554) 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。
showmount命令 显示NFS服务器的加载信息
01-09
showmount命令查询“mount”守护进程,以显示NFS服务器的加载信息。 语法格式: showmount [参数] 常用参数: -d 仅显示已被NFS客户端加载的目录 -e 显示NFS服务器上所有的共享目录 参考实例 获取已经被...
linux NFS安装配置及常见问题、/etc/exports配置文件、showmount命令
09-15
主要介绍了linux NFS安装配置及常见问题,介绍的也比较详细特分享下,方便需要的朋友
NFS服务器客户机配置
10-28
5.# showmount -e 192.168.100.3 查看NFS服务器的输出。 6.# mount -t nfs 192.168.100.3:/home/share /mnt 挂载NFS服务器中的共享目录。 7.# cd /mnt 显示当前主机挂载的NFS共享目录。 ls 8.#vi /file.txt 按i...
linux下远程获取主机信息工具
12-18
linux下远程获取主机信息工具,内部通过smb协议通讯,smb协议在windows下开通445和139两个端口
showmount
Hhytyq的博客
05-11 4663
showmount命令 showmount命令用于查询NFS服务器的相关信息 showmount --help Usage: showmount [-adehv] [all] [directories] [exports] [no-headers] [help] [version] [host] -a或all 以 host:dir 这样的格式来显示客户主机名和挂载点目录。 -d或d...
安全(5) : centos[1] : 目标主机showmount -e信息泄露(CVE-1999-0554)[原理扫描]
Lxinccode的博客
01-10 1045
参考 :解决目标主机showmount -e信息泄露(CVE-1999-0554)(亲测可用) McGrady的技术分享
目标主机进行“showmount -e“操作,此操作将泄露目标主机大量敏感信息,漏洞修复
热门推荐
weixin_52200604的博客
02-20 1万+
漏洞描述 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 解决方案 NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 漏洞分析: 在NFS服务端设置允许挂载客户端的IP并赋予权限后,赋予权限的的IP地址是可以挂载nfs共享目录的,没有赋予权限的IP地址不能挂载nfs共享目录,但是通过sho
CVE-1999-0554 showmount -e <IP>
汪学友的博客
10-25 342
注意,允许的优先级大于禁止的 #允许的IP地址 vim /etc/hosts.allow mountd: 192.168.1.1, 192.168.1.2 :allow rpcbind: 192.168.1.1, 192.168.1.2 :allow #禁止所有IP地址 vim /etc/hosts.deny mountd:ALL rpcbind:ALL:deny
目标主机showmount -e信息泄露(nfs漏洞)
y_zilong的博客
12-23 5123
可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 解决:vi /etc/hosts.deny 编辑这个配置文件在里面加上:mountd: all 就可以 /etc/hosts.deny mountd: all ...
目标主机showmount -e信息泄露(CVE-1999-0554)
h1040753780的博客
09-15 938
详细描述: 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据 解决方法: NSFOCUS建议您采取以下措施以降低威胁 解决方式: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 具体操作: #在NFS服务器上: vim /etc/hosts.allow mountd:192.168.24.68 rpcbind: 192.1
目标主机showmount -e信息泄露(CVE-1999-0554)漏洞修复
07-16
对于CVE-1999-0554漏洞的修复,建议采取以下措施: 1. 更新操作系统:确保目标主机的操作系统已经安装了最新的补丁和安全更新。这将有助于修复已知漏洞并提高系统的安全性。 2. 禁用不必要的服务:如果不需要使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值