PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wie deaktiviere ich den RPC Portmapper?



oyster-manu
27.04.2006, 22:06
hallo.
ich habe durch einen online portscan herausgefunden dass port 111 (tcp) offen ist. dieser port ist wohl für den RPC Portmapper reserviert, ob der rpcbind auch wirklich läuft weiss ich nicht. installiert ist er auf jeden fall (bekomme abhängigkeitsprobleme wenn ich ihn deinstallieren will [suse 10.0]).

heise.de portscan:
111 rpcbind offen RPC Portmapper

ich will den port nicht mit einer firewall schliessen, da mir das zu aufwändig ist für einen port (alle anderen sind dicht). daher möchte ich den rpcportmapper deaktivieren, sodass er nicht mehr auf irgendeinem port horcht.

manu

ps: wozu ist der rpc portmapper eigentlich gut? ich benutze den gar nicht.

supersucker
27.04.2006, 23:34
ja, dann deaktivier ihn halt.

kuck mal unter /etc/rc*.d, da müsste ein link auf /etc/init.d verweisen der dafür sorgt das der dämon beim starten eines bestimmten runlevels gestartet wird.

wenn du denn link einfach löscht wird der dämon auch nicht gestartet.

ansonsten bietet dir gnome oder kde unter "dienste" auch die möglichkeit sowas mit gui zu konfigurieren.

theton
28.04.2006, 01:27
iptables -A INPUT -m state --state NEW -p tcp --dport 111 -j REJECT
iptables -A INPUT -m state --state NEW -p udp --dport 111 -j REJECT

Soviel zum Thema Firewall und aufwendig. Die zwei Zeilen ans Ende der /etc/init.d/rc und der Port ist dicht. Oder halt

/etc/init.d/portmap stop

Zum endgueltigen deaktivieren auch nach dem naechsten Booten, loescht du einfach den SXXportmap-Link in /etc/rcN.d. Die 'XX' stehen hier fuer eine Zahl zwischen 01 und 99, musst du nachsehen, welche es bei dir ist (diese Zahlen bestimmen uebrigens die Aufruf-Reihenfolge beim Booten). Fuer 'N' setzt du einfach dein aktuelles Runlevel ein, das du mit dem Befehl /sbin/runlevel rausbekommst (Nur die Nummer!).

Naehere Informationen zu Runleveln und dem Boot-Vorgang von Linux bekommst du im Besten Howto zu dem Thema From PowerUp To Bash Prompt (http://www.tldp.org/HOWTO/From-PowerUp-To-Bash-Prompt-HOWTO.html)

Hint: Der Portmapper ist z.B. fuer NFS unbedingt notwendig. Ich hoffe also, dass du keine Dienste laufen hast, die den brauchen.

tomvomland
28.04.2006, 08:42
So wie Supersucker und theton es beschreiben geht's natürlich, einfacher geht es bei SuSE 10 aber mit dem Yast:
Als root anmelden (oder mit "su -" root werden) und aus der Konsole (oder xterm oder rxvt oder Eterm oder.....) den Yast mit "yast runlevel" starten, den Protmapper auswählen und deaktivieren.

Unter SuSE gibt es für fast jedes Startscript einen Link im Suchpfad mit den Namen rc<deamon-name>, für den Portmapper ist das also "rcportmap".
Mit "rcportmap stop" kannst Du den Dienst beenden, wenn Du ihn vorher über nicht wie beschrieben mit dem Yast deaktiviert hast, ist er aber nach dem nächsten Reboot aber wieder da.

theton
28.04.2006, 15:59
Nur wissen wir ja nicht, ob er SuSE nutzt, daher hab ich das mal so geschrieben, dass es mit (fast) jeder Distro funktioniert. Klar kann man bei SuSE Yast nutzen, bei Debian gibt's rcconf und fuer KDE-User gibt's den KDE-SysV-Init-Editor. So ziemlich jede Distro liefert fuer diesen Zweck ja ein eigenes Tool mit.

Lord_x
28.04.2006, 16:49
Nur wissen wir ja nicht, ob er SuSE nutzt...

Steht doch drin in seinen posting :think:

oyster-manu
28.04.2006, 18:18
danke für die infos!

//EDIT: jetzt hab ich ein anderes problem:
der port 631 ist offen. ich dachte ich hätte ihn geschlossen indem ich unter yast -> drucker -> andere -> den ipp broadcast-lausch deaktiviert hab. allerdings gibt der portscan von heise immernoch folgendes aus:
631 ipp offen Druck-Server (IPP/Cups)

woran liegt es dass der port trotzdem offen ist?

theton
28.04.2006, 18:47
Schau einfach mal mit netstat nach, welches Programm auf dem Port lauscht und deaktiviere es entsprechend, wenn es nicht benoetigt wird. Vielleicht solltest du dich aber doch fuer eine Firewall entscheiden, die bei SuSE mit YaST ja schnell aufgesetzt ist. :)

oyster-manu
28.04.2006, 19:13
ich hab mir das auch schon überlegt. allerdings möchte ich nicht so wenig software wie möglcih laufen lassen, da mein rechner nicht der neuste ist und weil ich keine ressourcen verschwenden will.
ist die susefirewall eigentlich ein frontend für iptables oder was eigenständiges?

theton
28.04.2006, 19:19
Steht doch drin in seinen posting :think:

Ups, voellig ueberlesen. :D

@oyster-manu: Die SuSE-Firewall ist nur ein Frontend fuer iptables. Der Ressourcen-Verbrauch durch die IPTables ist nicht sooo gross solange du nur das noetigste (also kritische verworfene Pakete) loggen laesst. .oO(Gibt's ueberhaupt andere Firewalls als IPTables und IPChains fuer Linux?)

oyster-manu
28.04.2006, 19:26
ich hab jetzt die ausgabe von netstat -apn angehängt:


Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 10787/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 4715/master
tcp 0 0 ::1:25 :::* LISTEN 4715/master
udp 0 0 0.0.0.0:32768 0.0.0.0:* 4417/mdnsd
udp 0 0 0.0.0.0:5353 0.0.0.0:* 4417/mdnsd
udp 0 0 0.0.0.0:5353 0.0.0.0:* 4417/mdnsd


ok, der port 631 gehört zu cupsd. das war mir auch vorher schon klar. wie bekomm ich den nun dicht?

was machen mdnsd und master? ich kenne diese prozesse nicht. was mich wundert das zum teil auf localhost und 0.0.0.0 laufen. jedenfalls sind sie nicht übers internet erreichbar.

theton
28.04.2006, 19:37
master gehoert zu Postfix. Solange du den nicht brauchst, kannst du den ausschalten. Siehe auch 'man master'.

Zitat aus 'man mdnsd': mDNSResponder - Multicast DNS daemon

Kleiner Tip: Zu fast allen Befehlen und somit laufenden Programmen gibt es eine Manpage. :D

Von Cups hab ich keine Ahnung, aber eigentlich sollte es reichen, wenn Cups als local-only konfiguriert wird. Ansonsten sorg halt dafuer, dass Cups nur auf localhost lauscht, was man mit allen Netzwerk-Diensten machen kann und auf Desktop-Rechnern auch machen sollte.

oyster-manu
28.04.2006, 19:41
postfix sendet doch local mails an z.b. root wenn feherl aufgetreten sind usw. dann wäre postfix schon wichtig für mich :)

was genau macht mDNSResponder?

theton
28.04.2006, 20:38
Siehe 'man mdnsd' :rtfm:

oyster-manu
28.04.2006, 20:47
soweit ich das verstanden habe, benötigt man den nur, wenn man dns anfragen an verarbeiten will die an meinen rechner gerichtet sind. da ich allerdings keine dns-tabelle betreibe, benötige ich den dienst nicht. zumal er auch nicht auf anfragen aus dem internet lauscht.

theton
28.04.2006, 20:54
Jep.

Lightstorm
20.09.2008, 20:02
Auf debian org heißt es:
Seit Version 5-5 kann das Paket portmap so konfiguriert werden, dass es nur noch an der lokalen Schleifenschnittstelle lauscht. Um dies zu erreichen, kommentieren Sie die folgende Zeile in der Datei /etc/default/portmap aus: #OPTIONS="-i 127.0.0.1" und starten Sie den Portmapper neu. Dies ist ausreichend, um lokale RPC-Dienste laufen zu lassen, während zur selben Zeit entfernte Systeme am Zugang gehindert werden (lesen Sie dazu auch Lösung des Problems der Weak-End-Hosts, Abschnitt 4.17.5).


Das habe ich gemacht aber ein Online Portscan zeigt mir das UDP Port 111 von portmap immer noch an, das sollte eigentlich nicht sein wenn portmap nur lokal nutzbar gemacht ist oder?

bitmuncher
24.09.2008, 20:39
Überprüfe doch einfach mit netstat ob der Dienst wirklich nur lokal läuft.

Rain_Maker
24.09.2008, 20:52
grep -i OPTIONS /etc/sysconfig/portmap
## Description: Portmap startup options
# Startup options for portmap
PORTMAP_OPTIONS="-l"

rcportmap start
Starting RPC portmap daemon done

lsof -nPi|grep portmap
portmap 17473 bin 4u IPv4 384512 0t0 UDP 127.0.0.1:111
portmap 17473 bin 5u IPv4 384513 0t0 TCP 127.0.0.1:111 (LISTEN)

netstat -ulpen|grep portmap
udp 0 0 127.0.0.1:111 0.0.0.0:* 0 384512 17473/portmap

bitmuncher
25.09.2008, 13:26
Das lauscht offenbar wirklich nur am Loopback. Insofern kommt der offene Port vermutlich nicht von diesem Rechner (ggf. vom Router?) oder der Online-Portscan is einfach Müll.