Red Hat Training

A Red Hat training course is available for RHEL 8

第11章ネットワークサービスのセキュリティー保護

Red Hat Enterprise Linux 8 は、さまざまな種類のネットワークサーバーをサポートしています。RHEL 9 ネットワークサービスを使用すると、システムのセキュリティーが DoS 攻撃 (Denial of Service)、DDoS 攻撃 (Distributed Denial of Service)、スクリプト脆弱性攻撃、バッファーオーバーフロー攻撃など、さまざまな種類の攻撃のリスクにさらされる可能性があります。

攻撃に対するシステムのセキュリティーを強化するには、使用しているアクティブなネットワークサービスを監視することが重要です。たとえば、ネットワークサービスがマシンで実行されている場合に、そのデーモンはネットワークポートでの接続をリッスンするのでセキュリティーが低下する可能性があります。ネットワークに対する攻撃に対する公開を制限するには、未使用のすべてのサービスをオフにする必要があります。

11.1. rpcbind サービスのセキュリティー保護

rpcbind サービスは、Network Information Service (NIS) や Network File System (NFS) などの Remote Procedure Calls (RPC) サービス用の動的ポート割り当てデーモンです。その認証メカニズムは弱く、制御するサービスに幅広いポート範囲を割り当てる可能性があるため、rpcbind をセキュア化することが重要です。

すべてのネットワークへのアクセスを制限し、サーバーのファイアウォールルールを使用して特定の例外を定義することにより、rpcbind のセキュリティーを確保できます。

注記

NFSv2 および NFSv3 サーバーでは rpcbind サービスが必要です。
NFSv4 では、rpcbind サービスがネットワークをリッスンする必要がありません。

前提条件

rpcbind パッケージがインストールされている。
Firewalld パッケージがインストールされ、サービスが実行されている。

手順

次に、ファイアウォールルールを追加します。
- TCP 接続を制限し、111 ポート経由の 192.168.0.0/24 ホストからのパッケージだけを受け入れます。
```
# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
```
- TCP 接続を制限し、111 ポート経由のローカルホストからのパッケージだけを受け入れます。
```
# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
```
- UDP 接続を制限し、111 ポート経由の 192.168.0.0/24 ホストからのパッケージだけを受け入れます。
```
# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
```
  ファイアウォール設定を永続化するには、ファイアウォールルールを追加するときに --permanent オプションを使用します。
ファイアウォールをリロードして、新しいルールを適用します。
```
# firewall-cmd --reload
```

検証手順

ファイアウォールルールをリストします。

# firewall-cmd --list-rich-rule
rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop
rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept
rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop

関連情報

NFSv4-only サーバーの詳細は、Configuring an NFSv4-only server セクションを参照してください。
firewalld の使用および設定

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第11章ネットワークサービスのセキュリティー保護

11.1. rpcbind サービスのセキュリティー保護

Language and Page Formatting Options

Red Hat Training

第11章 ネットワークサービスのセキュリティー保護

11.1. rpcbind サービスのセキュリティー保護

第11章ネットワークサービスのセキュリティー保護