漏洞描述
可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。
解决方案
NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。
漏洞分析:
在NFS服务端设置允许挂载客户端的IP并赋予权限后,赋予权限的的IP地址是可以挂载nfs共享目录的,没有赋予权限的IP地址不能挂载nfs共享目录,但是通过showmount -e 命令 可以查看到nfs 共享目录列表。
分析结果:
为避免无关服务器可以通过showmount -e 命令查看到nfs服务器的共享目录,可以在防火墙上做策略限制,在防火墙上设置策略,默认拒绝所有服务器的IP挂载nfs服务器共享目录,在开放端口给允许挂载的服务器IP地址。这样没有经过允许的服务器IP地址是无法通过showmount -e 命令查看到nfs服务器上的共享目录了。
rpcinfo -p 查看端口,防火墙禁掉 “mountd”进程对应的端口(不嫌麻烦可以对rpcinfo -p 命令检测出来的所有端口进行防火墙策略设置)
防火墙设置方法:
- 防火墙规则最后一条插入拒绝所有IP连接nfs服务器的 mountd进程对应端口的
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
