Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2016-12-26 15:20:45
Novi-cjusz - 
Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Remote procedure call
Swieta, chwila wolnego czasu i wpadl mi w rece temat RPC.
Zaczolem zastanawiac sie co to znaczy dla bezpieczenstwa Jessie.
Komenda:
Kod:
netstat -lt
pokazuje aktywne polaczenia, RDC jest!
Kod:
rpcinfo -p
pokazuje portmapping i Nr portu na ktorym dziala.
Artykul:
Kod:
https://www.sans.org/security-resources/idfaq/is-blocking-port-111-sufficient-to-protect-your-systems-from-rpc-attacks/7/5
z roku 2000 ale przedstawia wiele zagrozen zwiazanych z RPC.
Kolejny artykul:
Kod:
https://scotch.io/tutorials/implementing-remote-procedure-calls-with-grpc-and-protocol-buffers
jest juz z 2016r i mowi:
gRPC is a modern open source high performance RPC framework that can run in any environment.[/quote]
Brzmi to niewesolo.
Czy w takiej sytuacji:Kod:
systemctl stop rpcbind systemctl disable rpcbindlub:
Kod:
apt-get remove rpcbindczy tylko:
Kod:
iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT iptables -A INPUT -p udp --dport 111 -j DROPlub - match RPC connection tracking information:
Kod:
iptables -A INPUT -m record_rpc -j ACCEPTlub:
Kod:
service iptables -A INPUT -p udp --destination-port 111 -j DROP"Jak skutecznie zamknac drzwi RPC przed nieproszonymi goscmi?
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#2 2016-12-26 15:27:10
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Remote procedure call
Co to takiego ten RPC?
Kod:
root ~> rpcinfo -p bash: rpcinfo: nie znaleziono polecenia
Kod:
root ~> netstat -lt | egrep 'rtc|rdc' root ~>
I wszystko działa...
SOA#1
Pozdro
Ostatnio edytowany przez Jacekalex (2016-12-26 15:27:49)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2016-12-26 15:31:54
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Remote procedure call
u mnie dziala:
Kod:
➜ robin rpcinfo -p
program vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 47853 status
100024 1 tcp 36413 statusKod:
➜ robin netstat -lt | egrep 'rtc|rdc' ➜ robin
Pytanie:
Jak skutecznie zamknac drzwi RPC przed nieproszonymi goscmi?[/quote]
pozostaje aktualne.
Dodatkowe info: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbersOstatnio edytowany przez Novi-cjusz (2016-12-26 15:36:02)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#4 2016-12-26 15:37:17
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Remote procedure call
Kod:
# Debian ### pon gru 26 15:34:46 localhost : / root ~> rpcinfo -p bash: rpcinfo: nie znaleziono polecenia
Po co Ci w systemie niepotrzebne usługi, z których nie korzystasz?
Poza tym, jak [b]masz prawidłowo skonfigurowany Firewall[/b], to nic więcej nie trzeba, bo i tak blokuje połączenia z zewnątrz.
Spróbuj wywalić [b]portmap[/b] i [b]rpcbind[/b] i zobacz, czy to pomoże na twoje troski. :P
Ostatnio edytowany przez Jacekalex (2016-12-26 15:45:13)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2016-12-26 15:43:13
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Remote procedure call
Wlasnie, myslalem tak samo, tylko nie jestem pewien z czym jeszcze wiaze sie ten RPC i jakie beda konsekwencje wylaczenia?
Wylaczam.
"Strasznie" mnie ten RPC lubi (;-)
Kod:
➜ robin systemctl stop rpcbind
➜ robin systemctl disable rpcbind
Synchronizing state for rpcbind.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d rpcbind defaults
Executing /usr/sbin/update-rc.d rpcbind disable
insserv: warning: current start runlevel(s) (empty) of script `rpcbind' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (0 1 6 S) of script `rpcbind' overrides LSB defaults (0 1 6).
➜ robin systemctl status rpcbind
● rpcbind.service - LSB: RPC portmapper replacement
Loaded: loaded (/etc/init.d/rpcbind)
Drop-In: /run/systemd/generator/rpcbind.service.d
└─50-rpcbind-$portmap.conf
Active: active (running) since Mon 2016-12-26 14:44:14 GMT; 28s ago
CGroup: /system.slice/rpcbind.service
└─12127 /sbin/rpcbind -w
Dec 26 14:44:14 debian systemd[1]: Starting LSB: RPC portmapper replacement...
Dec 26 14:44:14 debian rpcbind[12119]: Starting rpcbind daemon....
Dec 26 14:44:14 debian systemd[1]: Started LSB: RPC portmapper replacement.Wynikaloby z tego ze nie bardzo mozna "stop" i pewnie od razu trzeba "remove"?
Ciekawy temat.
Do firewalli mam ograniczone zaufanie bo przeciez istnieje cos takiego jak "port knocking"
Ostatnio edytowany przez Novi-cjusz (2016-12-26 15:52:36)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#6 2016-12-26 16:07:59
morfik - Cenzor wirtualnego świata
Re: Remote procedure call
No te rpc i pormap to są wykorzystywane min. przy NFS.
A ta usługa ci startuje, bo ma soket. Wyłącz soket i przestanie:
Kod:
# systemctl disable rpcbind.socket # systemctl disable rpcbind
Ostatnio edytowany przez morfik (2016-12-26 16:08:44)
Offline
#7 2016-12-26 19:33:00
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Remote procedure call
Przestalo:
Kod:
➜ robin systemctl disable rpcbind.socket
➜ robin systemctl disable rpcbind
Synchronizing state for rpcbind.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d rpcbind defaults
insserv: warning: current start runlevel(s) (empty) of script `rpcbind' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (0 1 6 S) of script `rpcbind' overrides LSB defaults (0 1 6).
Executing /usr/sbin/update-rc.d rpcbind disable
insserv: warning: current start runlevel(s) (empty) of script `rpcbind' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (0 1 6 S) of script `rpcbind' overrides LSB defaults (0 1 6).
➜ robin systemctl status rpcbind
● rpcbind.service - LSB: RPC portmapper replacement
Loaded: loaded (/etc/init.d/rpcbind)
Drop-In: /run/systemd/generator/rpcbind.service.d
└─50-rpcbind-$portmap.conf
Active: inactive (dead)------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00107 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.226.87.168' WHERE u.id=1 |
| 0.00069 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.226.87.168', 1731780424) |
| 0.00053 | SELECT * FROM punbb_online WHERE logged<1731780124 |
| 0.00079 | DELETE FROM punbb_online WHERE ident='3.94.156.104' |
| 0.00076 | SELECT topic_id FROM punbb_posts WHERE id=307832 |
| 0.00101 | SELECT id FROM punbb_posts WHERE topic_id=29253 ORDER BY posted |
| 0.00071 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29253 AND t.moved_to IS NULL |
| 0.00012 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00080 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29253 ORDER BY p.id LIMIT 0,25 |
| 0.00110 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29253 |
| Total query time: 0.00774 s | |