CVE-1999-0554 | 目标主机showmount -e信息泄露漏洞修复

详细描述

可以对目标主机进行"showmount -e"操作，此操作将泄露目标主机大量敏感信息，比如目录结构。更糟糕的是，如果访问控制不严的话，攻击者有可能直接访问到目标主机上的数据。

允许指定主机通过mount到nfs服务器上，阻止其他主机通过showmount -e方式，泄露NFS共享目录结构信息。

测试方式：showmount -e <IP>

绿盟漏洞解决办法

建议您采取以下措施以降低威胁:

* 限制可以获取NFS输出列表的IP和用户。

* 除非绝对必要，请关闭NFS服务、MOUNTD。

具体实施方式

方式1：修改配置文件

对共享服务器的hosts.allow和hosts.deny两个文件进行配置修改。具体修改如下：

Centos6的NFS服务叫做rpcbind，Centos5的NFS服务叫portmap。

/etc/hosts.allow

mountd:192.168.131.1　　　　　　　　 #cent7.0设置方式
Portmap:192.168.131.1:allow　　　　#cent5.0设置方式
rpcbind: 192.168.56.4:allow       #cent6.0设置方式

/etc/hosts.deny

mountd:all                         #cent7.0设置方式
Portmap:ALL:deny                   #cent6.0设置方式
rpcbind: ALL : deny                #cent5.0设置方式

注意：无需重启rpc.bind和nfs。

方式2：采用iptables防火墙限制

1）修改nfs配置文件，分配未使用的端口。

[root@xxxxx /]# vi /etc/sysconfig/nfs
#在文件最下面添加如下信息
RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

2）重启nfs服务

/etc/init.d/rpcbind restart

/etc/init.d/nfs restart

3）允许客户端挂载主机的ip地址

iptables -A INPUT -p tcp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT

或是

vi /etc/sysconfig/iptables

#下面是要添加的规则
#允许nfs客户端10.194.212.132访问本机nfs服务端10.194.212.131的相关nfs端口
-A INPUT -p tcp -s 10.194.212.132 --dport 111 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 111 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.132 --dport 2049 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 2049 -j ACCEPT
-A INPUT -p tcp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT
-A INPUT -p udp -s 10.194.212.132 --dport 30001:30004 -j ACCEPT

4）其他客户端全部拒绝访问nfs服务

iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 2049 -j DROP
iptables -A INPUT -p udp --dport 2049 -j DROP
iptables -A INPUT -p tcp --dport 30001:30004 -j DROP
iptables -A INPUT -p udp --dport 30001:30004 -j DROP

5）开机启动服务加载

vim /etc/profile.d/iptables-nfs.sh
#!/bin/bash
#允许客户端挂载主机的ip地址
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 111 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.85.15 --dport 30001:30004 -j ACCEPT

#其他客户端全部拒绝访问nfs服务

iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 2049 -j DROP
iptables -A INPUT -p udp --dport 2049 -j DROP
iptables -A INPUT -p tcp --dport 30001:30004 -j DROP
iptables -A INPUT -p udp --dport 30001:30004 -j DROP

参考文章：

https://www.cnblogs.com/slyy/p/12133098.html

https://blog.csdn.net/qq_26614295/article/details/103119982