Linux NFS

[Myon]

Hallo,

gestern habe ich es endlich geschafft, den an meinem Asus WL500gp Router (OLEG FW, busybox) eingesteckten USB-Stick per NFS für meinen Ubuntu-Rechner freizugeben. Die üblichen Sicherheitsvorkehrungen (bis auf die Verschlüsselung) habe ich eigentlich bereits getroffen:

echo portmap mountd nfsd statd lockd rquotad : ALL >> /etc/hosts.deny
echo portmap mountd nfsd statd lockd rquotad : 192.168.1.3 >> /etc/hosts.allow

Nun würde ich gerne überprüfen, ob das Laufwerk tatsächlich nicht von außen (WAN) gemountet werden kann. Gibt es da entsprechende Webseiten (à la ShieldsUP) oder einfache Programmen, mit denen man einen Sicherheitscheck durchführen kann?

 

[emic]

http://www.t1shopper.com/tools/port-scanner/

 

[Myon]

Danke. Laut Wiki sind 111, 694 und 2049 für NFS relevant. Da schweigt der Router wie erwartet. Die einzigen offenen Ports sind bei
mir eigentlich WWW(80) und FTP(20,21). Aber von dort kann man bzw. der Angreifer doch nicht auf NFS zugreifen oder?

Sind natürlich so ziemlich dumme Fragen, aber leider hatte ich noch nie im Leben mit NFS zu tun. Nur SMB

 

[EuleR60]

NFS ist auch ein wenig "naja", wenn es um sowas geht. NFS hat auf dem Gateway eigentlich nichts zu suchen.
Normalerweise wird in der /etc/exports eingetragen, welche Verzeichnisse fuer welchen Rechner benutzbar sind.

Ein Beispiel fuer /etc/exports:
r60(rw)

Damit kann nur der Rechner r60 das Verzeichnis rw mounten

Ueber die Eintraege in /etc/hosts.allow und /etc/hosts.deny kann man dann zusaetzlich den NFS-Server selbst gegen Zugriff absichern.
Bei einem Portscan wird das aber trotzdem angezeigt, das sagt aber nichts darueber aus, ob du zugreifen kannst.
Als Beispiel meine Kiste ohne Paketfilter von aussen.

..PORT     STATE SERVICE..   
..43/tcp   open  whois..   
..110/tcp  open  pop3..  Is this your pop3 server ??  if not..turn it off - or Use SecurePOP3 instead  
..111/tcp  open  rpcbind..   
..113/tcp  open  auth.. auth should be turned on for your Mail Server  
..119/tcp  open  nntp..   
..2049/tcp open  nfs..  Is this your home server ??  sunrpc is used with nfs and portmaper ... should be used with SSH  
..Device type: general purpose..   
..Running: Linux 2.4.X|2.5.X|2.6.X..

Der Portscanner: Linux-Sec.net

 

[Myon]

Normalerweise wird in der /etc/exports eingetragen, welche Verzeichnisse fuer welchen Rechner benutzbar sind.

Ein Beispiel fuer /etc/exports:
r60(rw)

Den entsprechenden /etc/exports-Eintrag nur für die interne IP-Adresse meines Rechners habe ich auch. Diese ist im Router an die MAC-Adresse gebunden. Alle Portscans waren bei mir bisher erfolglos verlaufen, da der Router (über iptables) alles bis auf www und ftp "droppt".

NFS hat auf dem Gateway eigentlich nichts zu suchen

Wie lassen sich denn solche Aufgaben (geschützte Freigaben für Mitglieder eines lokalen Netzwerks, wobei diese auch Internetzugriff haben) in Linux-Umgebungen sinnvoll lösen?

 

[EuleR60]

[quote='Myon',index.php?page=Thread&postID=456357#post456357]

Alle Portscans waren bei mir bisher erfolglos verlaufen, da der Router (über iptables) alles bis auf www und ftp "droppt".

"drop" kann auch Probleme machen. Besser ist "reject". Bei "reject" sagt er "du kommst hier nicht rein" und damit ist das Thema durch.

NFS hat auf dem Gateway eigentlich nichts zu suchen

Wie lassen sich denn solche Aufgaben (geschützte Freigaben für Mitglieder eines lokalen Netzwerks, wobei diese auch Internetzugriff haben) in Linux-Umgebungen sinnvoll lösen?

Das hat mit dem Betriebssystem nichts zu tun. Nach der reinen Lehre des Netzwerkbaus bietet die Gatewaymaschine aus Sicherheitsgruenden keine Dienste an. Solche Sicherheitsloecher wie SMB oder NFS schon gar nicht. Weil man dann aber eine separate Kiste fuer die Dienste aufstellen muesste, macht man es trotzdem gerne. Die Netzwerktechnisch richtige Antwort dafuer ist eigentlich: Der Router ist zum routen da, fuer alles andere leg dir ein NAS zu.