解决nfs showmount -e CVE-1999-0554

于 2024-08-04 17:57:07 发布
阅读量696 收藏 6
点赞数 20
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanggong1993/article/details/140908948
版权

首先是漏洞

本来我以为是个很容易搞定的问题,没想到折腾一下午,做了allow,做了deny,做了exports,还是不行。原因是nfs的开放性,这个后面再说,直接上解决思路吧。

环境是内网环境,服务器分布

机器IP        用途
192.168.1.34(K8Smaster)主节点+nfs
192.168.1.35(K8Snode)nfs2+从节点
192.168.1.36(K8Snode)从节点
192.168.1.20(借了一台机器)测试整改效果

目前的要求是,nfs只能集群内部访问,其他机器,比如20这台,执行showmount -e 192.168.1.34是无输出的。

解决步骤:

1. 配置  /etc/exports文件,这个文件是负责目录位置,目录共享的,参数解析如下

第一列:欲共享出去的目录,
    也就是想共享到网络中的文件系统;

第二列:可访问主机
192.168.1.34 指定IP地址的主机
nfsclient.test.com 指定域名的主机
192.168.1.0/24 指定网段中的所有主机
*.test.com        指定域下的所有主机

*                       所有主机

第三列:共享参数
下面是一些NFS共享的常用参数:
 ro                    只读访问
 rw                   读写访问
 sync                所有数据在请求时写入共享
 async              NFS在写入数据前可以相应请求
 secure             NFS通过1024以下的安全TCP/IP端口发送
 insecure          NFS通过1024以上的端口发送
 wdelay            如果多个用户要写入NFS目录,则归组写入(默认)
 no_wdelay      如果多个用户要写入NFS目录,则立即写入,当使用async时,无需此设置。
 Hide                在NFS共享目录中不共享其子目录
 no_hide           共享NFS目录的子目录
 subtree_check   如果共享/usr/bin之类的子目录时,强制NFS检查父目录的权限(默认)
 no_subtree_check   和上面相对,不检查父目录权限
 all_squash               共享文件的UID和GID映射匿名用户anonymous,适合公用目录。
 no_all_squash         保留共享文件的UID和GID(默认)
 root_squash             root用户的所有请求映射成如anonymous用户一样的权限(默认)
 no_root_squas         root用户具有根目录的完全管理访问权限
 anonuid=xxx            指定NFS服务器/etc/passwd文件中匿名用户的UID

这里我们将1.34的nfs目录设置为只共享给34,35,36这几台集群内部机器

2.设置/etc/hosts.allow和/etc/hosts.deny

hosts.allow

hosts.deny

然后,我们就可以验证一下成果了(由于当时没截图,所以这里找一张旧图,意思是仍然可以完好输出,但无法共享)

懵了啊,搞了这么多台系统,都是这么来的,双重保障,怎么翻车了?

看了不少文章,也找了不少资料,发现假如rpcbind的111端口和nfs的2049端口开放,在其他机器还是一样可以export的

这个不懂是nfs的开放性所致还是统信系统的特质。

遂搞端口控制,配置iptables

同理,nfs的2049也搞一下

然后,我们再来一波测试

完工。

但这东西,如果防火墙停了,就没用了,但对于现在来说,应该不会有人不开防火墙。

另外,还是没懂为什么做了allow和deny仍然能访问的真正底层原因,如果有知道的大佬,也可以分享一下。

zhanggong1993
关注
CVE-1999-0554
龙卷风摧毁停车场
02-22 3794
大多数NFS实现在其文件处理中都有可以猜测的特定模式。大多数NFS实现依赖于文件处理的保密性来提高文件的实际安全性。攻击者可以猜测文件处理方式,以绕过挂载的安全性,并未经授权访问NFS资源和NFS卷上的所有文件。可对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。如果访问控制不严格,攻击者可直接访问到目标主机上的数据。
ubuntu14.04 nfs服务固定端口
yuanhangq220的专栏
09-05 3123
ubuntu14.04中设置nfs固定端口,以便配置防火墙: 1. #sudo vi /etc/services(默认应该已设置):      sunrpc          111/tcp         portmapper      # RPC 4.0 portmapper     sunrpc          111/udp         portmapper     nfs  ...
NFS共享的常用参数
wonderful的专栏
02-14 1147
2 NFS共享的常用参数             ro                      只读访问             rw                      读写访问             sync                    所有数据在请求时写入共享             async                   NFS在写入数据前可以相应
ubuntu server 22.04 安装nfs(固定nfs端口)
最新发布
lx_1314的博客
06-25 455
【代码】ubuntu server 22.04 安装nfs(固定nfs端口)
Ubuntu下配置NFS服务
纵横千里 捭阖四方 的专栏
03-13 809
Table of Contents 1.下载相关软件 2.建立共享目录  3.修改该配置文件 4.重启服务 5.测试服务器 6.测试客户端  测试系统:Ubuntu8.04 1.下载相关软件 使用如下命令,可以在ubuntu下很方便的获取并安装相关软件 #sudo apt-get install por
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决CVE-1999-0554”问题
10-28
在这个特定的情境中,我们关注的是如何通过使能NFS(Network File System)支持tcp-wrappers来解决一个名为"CVE-1999-0554"的安全漏洞。 NFS是一种广泛使用的网络文件共享协议,允许不同的操作系统之间共享文件和...
showmount命令 显示NFS服务器的加载信息
01-09
showmount命令查询“mount”守护进程,以显示NFS服务器的加载信息。 语法格式: showmount [参数] 常用参数: -d 仅显示已被NFS客户端加载的目录 -e 显示NFS服务器上所有的共享目录 参考实例 获取已经被...
对目标主机进行“showmount -e“操作,此操作将泄露目标主机大量敏感信息,漏洞修复
热门推荐
weixin_52200604的博客
02-20 1万+
漏洞描述 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 解决方案 NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 漏洞分析: 在NFS服务端设置允许挂载客户端的IP并赋予权限后,赋予权限的的IP地址是可以挂载nfs共享目录的,没有赋予权限的IP地址不能挂载nfs共享目录,但是通过sho
linux NFS安装配置及常见问题、/etc/exports配置文件、showmount命令
09-15
主要介绍了linux NFS安装配置及常见问题,介绍的也比较详细特分享下,方便需要的朋友
NFS服务器客户机配置
10-28
使用`showmount -e 192.168.100.3`命令查看服务器的共享目录。 #### (5) 挂载共享目录 使用`mount`命令挂载NFS服务器的共享目录到本地的`/mnt`目录。 #### (6) 操作共享目录 进入挂载的目录并进行读写操作,例如...
在Ubuntu Linux中如何设置NFS Server端口为固定端口
mengfz_cn的专栏
03-29 503
Specify NFS Server Ports in Ubuntu Linux http://bryanw.tk/2012/specify-nfs-ports-ubuntu-linux/
Ubuntu 18.04 固定 NFS 端口
程序员仓库
03-12 2478
NFS 本身是没有提供信息传输的协议和功能的,它使用的是 RPC (Remote Procedure Call)协议。 通过rpcinfo命令可以查看 NFS 相关的端口: linux@linux-virtual-machine:~$ rpcinfo -p localhost program vers proto port service 100000 4 tcp 111 portmapper 100000 3 tcp 111 portmapp
showmount -e (CVE-1999-0554) NFS漏洞解决方案
edonzhon
06-24 1万+
nfs是比较不安全的生产不太建议用,如果真的要用的话不要对外 这次讲解如何修复nfs暴露的showmount漏洞 1、先查看你nfs的配置 cat /etc/exports 然后你在上面的IP进行showmount -e nfs服务器IP地址能看到上面这个配置 2、所以我们这里采取的办法是通过服务器器端的hosts.allow和hosts.deny两个文件限制 备份原有的hosts.allow和hosts.deny(备份是个好习惯) cp /etc/hosts.allow/etc/hos.
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers(hosts.deny)解决CVE-1999-0554”问题
baidu_26297019的博客
10-28 1180
解决银河麒麟高级服务器操作系统V10自带nfs不支持hosts.allow、hosts.deny问题
Ubuntu 下 NFS环境的搭建
u014646768的博客
07-28 238
NFS 是网络文件系统系统的缩写,可以用于 Linux 和 Linux 之间传递文件,实现数据共享。 安装命令如下: (1) 安装NFS服务器  #sudo apt-get install nfs-kernel-server portmap (2) 修改配置文件 修改/etc/exports,增加以下内容,以后开发板和其他 Linux 主机可以通过网络访问/NFS 目录: /NFS *
linux mount 默认端口,CentOS7下NFS服务安装及配置固定端口
weixin_33268492的博客
05-02 3887
系统环境:CentOS Linux release 7.4.1708 (Core) 3.10.0-693.el7.x86_64软件版本:nfs-utils-1.3.0-0.48.el7_4.x86_64网络环境中配置了DNS服务器NFS服务器对应的域名是nfs.st.local,IP是192.168.1.18。配置过程中全部使用域名。一、安装nfs客户端和服务端都安装nfs-utils包,同时自...
目标主机showmount -e信息泄露(CVE-1999-0554)
03-08
这是一个技术问题,我可以回答。CVE-1999-0554 是一个早期的漏洞,可以通过 showmount -e 命令泄露目标主机的 NFS 共享信息。建议及时升级系统补丁或关闭不必要的 NFS 共享服务来避免此漏洞的利用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值