Portmapper Dienst - Warnung des BSI

Dieses Thema im Forum "Server Administration" wurde erstellt von bernie, 31. März 2016.

  1. bernie

    bernie Member

    Guten Morgen
    Wir erhalten momentan Warnmeldungen des BSI betr. allfälligen Portmapper DDoS Attacken"
    Habt Ihr dazu irgendwelche Empfehlungen?
    Vielen Dank.
    Gruss
    Bernie
     
  2. darkness_08

    darkness_08 Member

    Ja, Hetzner verteilt diese Mails gerade.
    Ich denke im ersten Schritt die Firewall einrichten. So wird es in den Links der Mail empfohlen.
     
  3. suther

    suther Member

    Ja, hab heute auch eine bekommen.
    Soweit ich weiß, benötigt man rpcbind nur für NFS, oder? Von Haus aus sollte ispconfig das demnach nicht benötigen?!
    Reicht es da, einfach den rpcbind zu stoppen:
    Code:
    service rpcbind stop
    und gegen wiedereinschalten beim Startup zu sichern:
    Code:
    chkconfig rpcbind off
    Oder würdet Ihr den laufen lassen, und einfach via IPTABLES den Port 111 von außerhalb abweisen?
    So wie es hier beschrieben ist: https://access.redhat.com/documenta...nux/3/html/Security_Guide/s1-server-port.html
     
  4. Till

    Till Administrator

    ISPConfig braucht den nicht, ich würde ihn einfach stoppen wenn Du keinen anderen Dienst wie NFS laufen hast, der ihn benötigt.
     
  5. florian030

    florian030 Member

    Ich finde solche Mails vom BSI ziemlich frech. Es kann durchaus Gründe geben, warum ein portmapper laufen muss.
     
  6. darkness_08

    darkness_08 Member

    Naja, sie schreiben ja, dass es eine generelle Überprüfung war und nur ggf. Tätig werden sollte.
    Hattest du eine der Mails gesehen?
     
  7. nowayback

    nowayback Well-Known Member

    ich weiß nicht, aber frech finde ich die mails nicht. ich stimme dir schon zu @florian030 dass es gründe geben kann warum ein portmapper laufen muss, aber muss der auf der internet ip laufen?
    wäre es da nicht sinnvoller einfach ein vpn aufzubauen und die entsprechenden dienste einfach durch den tunnel zu schicken? ich persönlich würde das auf jeden fall bevorzugen und mir ist bis heute noch kein fall untergekommen, in dem rpc via internet erreichbar sein musste.

    davon abgesehen sollte man das schon als warnung verstehen, denn wenn der entsprechende server tatsächlich für einen angriff mitgenutzt wird, hat man warscheinlich mehr stress an der backe als einmal nen tunnel aufzusetzen.
     
  8. Till

    Till Administrator

    Ein Kunde von mir hatte auch die Email bekommen und der Portmapper der dort lief war garnicht notwendig, von daher finde ich sowas durchaus OK, denn ich denke es gibt nicht so viele Setups die wirklich den portmapper Dienst auf einer öffentlichen IP benötigen.
     

Diese Seite empfehlen