wie deaktiviere ich den RPC Portmapper?

oyster-manu

oyster-manu

toast
hallo.
ich habe durch einen online portscan herausgefunden dass port 111 (tcp) offen ist. dieser port ist wohl für den RPC Portmapper reserviert, ob der rpcbind auch wirklich läuft weiss ich nicht. installiert ist er auf jeden fall (bekomme abhängigkeitsprobleme wenn ich ihn deinstallieren will [suse 10.0]).

heise.de portscan:
111 rpcbind offen RPC Portmapper

ich will den port nicht mit einer firewall schliessen, da mir das zu aufwändig ist für einen port (alle anderen sind dicht). daher möchte ich den rpcportmapper deaktivieren, sodass er nicht mehr auf irgendeinem port horcht.

manu

ps: wozu ist der rpc portmapper eigentlich gut? ich benutze den gar nicht.
 
ja, dann deaktivier ihn halt.

kuck mal unter /etc/rc*.d, da müsste ein link auf /etc/init.d verweisen der dafür sorgt das der dämon beim starten eines bestimmten runlevels gestartet wird.

wenn du denn link einfach löscht wird der dämon auch nicht gestartet.

ansonsten bietet dir gnome oder kde unter "dienste" auch die möglichkeit sowas mit gui zu konfigurieren.
 
iptables -A INPUT -m state --state NEW -p tcp --dport 111 -j REJECT
iptables -A INPUT -m state --state NEW -p udp --dport 111 -j REJECT

Soviel zum Thema Firewall und aufwendig. Die zwei Zeilen ans Ende der /etc/init.d/rc und der Port ist dicht. Oder halt

/etc/init.d/portmap stop

Zum endgueltigen deaktivieren auch nach dem naechsten Booten, loescht du einfach den SXXportmap-Link in /etc/rcN.d. Die 'XX' stehen hier fuer eine Zahl zwischen 01 und 99, musst du nachsehen, welche es bei dir ist (diese Zahlen bestimmen uebrigens die Aufruf-Reihenfolge beim Booten). Fuer 'N' setzt du einfach dein aktuelles Runlevel ein, das du mit dem Befehl /sbin/runlevel rausbekommst (Nur die Nummer!).

Naehere Informationen zu Runleveln und dem Boot-Vorgang von Linux bekommst du im Besten Howto zu dem Thema From PowerUp To Bash Prompt

Hint: Der Portmapper ist z.B. fuer NFS unbedingt notwendig. Ich hoffe also, dass du keine Dienste laufen hast, die den brauchen.
 
Und jetzt mal SuSE-spezifisch

So wie Supersucker und theton es beschreiben geht's natürlich, einfacher geht es bei SuSE 10 aber mit dem Yast:
Als root anmelden (oder mit "su -" root werden) und aus der Konsole (oder xterm oder rxvt oder Eterm oder.....) den Yast mit "yast runlevel" starten, den Protmapper auswählen und deaktivieren.

Unter SuSE gibt es für fast jedes Startscript einen Link im Suchpfad mit den Namen rc<deamon-name>, für den Portmapper ist das also "rcportmap".
Mit "rcportmap stop" kannst Du den Dienst beenden, wenn Du ihn vorher über nicht wie beschrieben mit dem Yast deaktiviert hast, ist er aber nach dem nächsten Reboot aber wieder da.
 
Nur wissen wir ja nicht, ob er SuSE nutzt, daher hab ich das mal so geschrieben, dass es mit (fast) jeder Distro funktioniert. Klar kann man bei SuSE Yast nutzen, bei Debian gibt's rcconf und fuer KDE-User gibt's den KDE-SysV-Init-Editor. So ziemlich jede Distro liefert fuer diesen Zweck ja ein eigenes Tool mit.
 
danke für die infos!

//EDIT: jetzt hab ich ein anderes problem:
der port 631 ist offen. ich dachte ich hätte ihn geschlossen indem ich unter yast -> drucker -> andere -> den ipp broadcast-lausch deaktiviert hab. allerdings gibt der portscan von heise immernoch folgendes aus:
631 ipp offen Druck-Server (IPP/Cups)

woran liegt es dass der port trotzdem offen ist?
 
Zuletzt bearbeitet:
Schau einfach mal mit netstat nach, welches Programm auf dem Port lauscht und deaktiviere es entsprechend, wenn es nicht benoetigt wird. Vielleicht solltest du dich aber doch fuer eine Firewall entscheiden, die bei SuSE mit YaST ja schnell aufgesetzt ist. :)
 
ich hab mir das auch schon überlegt. allerdings möchte ich nicht so wenig software wie möglcih laufen lassen, da mein rechner nicht der neuste ist und weil ich keine ressourcen verschwenden will.
ist die susefirewall eigentlich ein frontend für iptables oder was eigenständiges?
 
Lord_x schrieb:
Steht doch drin in seinen posting :think:

Ups, voellig ueberlesen. :D

@oyster-manu: Die SuSE-Firewall ist nur ein Frontend fuer iptables. Der Ressourcen-Verbrauch durch die IPTables ist nicht sooo gross solange du nur das noetigste (also kritische verworfene Pakete) loggen laesst. .oO(Gibt's ueberhaupt andere Firewalls als IPTables und IPChains fuer Linux?)
 
ich hab jetzt die ausgabe von netstat -apn angehängt:
Code:
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      10787/cupsd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      4715/master
tcp        0      0 ::1:25                  :::*                    LISTEN      4715/master
udp        0      0 0.0.0.0:32768           0.0.0.0:*                           4417/mdnsd
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           4417/mdnsd
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           4417/mdnsd

ok, der port 631 gehört zu cupsd. das war mir auch vorher schon klar. wie bekomm ich den nun dicht?

was machen mdnsd und master? ich kenne diese prozesse nicht. was mich wundert das zum teil auf localhost und 0.0.0.0 laufen. jedenfalls sind sie nicht übers internet erreichbar.
 
master gehoert zu Postfix. Solange du den nicht brauchst, kannst du den ausschalten. Siehe auch 'man master'.

Zitat aus 'man mdnsd': mDNSResponder - Multicast DNS daemon

Kleiner Tip: Zu fast allen Befehlen und somit laufenden Programmen gibt es eine Manpage. :D

Von Cups hab ich keine Ahnung, aber eigentlich sollte es reichen, wenn Cups als local-only konfiguriert wird. Ansonsten sorg halt dafuer, dass Cups nur auf localhost lauscht, was man mit allen Netzwerk-Diensten machen kann und auf Desktop-Rechnern auch machen sollte.
 
Zuletzt bearbeitet:
postfix sendet doch local mails an z.b. root wenn feherl aufgetreten sind usw. dann wäre postfix schon wichtig für mich :)

was genau macht mDNSResponder?
 
soweit ich das verstanden habe, benötigt man den nur, wenn man dns anfragen an verarbeiten will die an meinen rechner gerichtet sind. da ich allerdings keine dns-tabelle betreibe, benötige ich den dienst nicht. zumal er auch nicht auf anfragen aus dem internet lauscht.
 
Auf debian org heißt es:
Seit Version 5-5 kann das Paket portmap so konfiguriert werden, dass es nur noch an der lokalen Schleifenschnittstelle lauscht. Um dies zu erreichen, kommentieren Sie die folgende Zeile in der Datei /etc/default/portmap aus: #OPTIONS="-i 127.0.0.1" und starten Sie den Portmapper neu. Dies ist ausreichend, um lokale RPC-Dienste laufen zu lassen, während zur selben Zeit entfernte Systeme am Zugang gehindert werden (lesen Sie dazu auch Lösung des Problems der Weak-End-Hosts, Abschnitt 4.17.5).


Das habe ich gemacht aber ein Online Portscan zeigt mir das UDP Port 111 von portmap immer noch an, das sollte eigentlich nicht sein wenn portmap nur lokal nutzbar gemacht ist oder?
 
Überprüfe doch einfach mit netstat ob der Dienst wirklich nur lokal läuft.
 
Code:
grep -i OPTIONS /etc/sysconfig/portmap
## Description: Portmap startup options
# Startup options for portmap
PORTMAP_OPTIONS="-l"

rcportmap start
Starting RPC portmap daemon                                           done

lsof -nPi|grep portmap
portmap  17473     bin    4u  IPv4 384512      0t0  UDP 127.0.0.1:111
portmap  17473     bin    5u  IPv4 384513      0t0  TCP 127.0.0.1:111 (LISTEN)

netstat -ulpen|grep portmap
udp        0      0 127.0.0.1:111           0.0.0.0:*                           0          384512     17473/portmap
 
Das lauscht offenbar wirklich nur am Loopback. Insofern kommt der offene Port vermutlich nicht von diesem Rechner (ggf. vom Router?) oder der Online-Portscan is einfach Müll.
 
Zurück
Oben