跳转至

0091-rpcbind-uninstalled-rpcbind被安装


规则ID

  • 0091-rpcbind-uninstalled

类别

  • system

级别

  • warn

兼容版本

  • Linux

说明

  • rpcbind实用程序将RPC服务映射到它们侦听的端口。RPC进程在启动时通知rpcbind,注册他们正在侦听的端口以及他们希望提供服务的RPC程序编号。客户端系统然后用特定的RPC程序号联系服务器上的rpcbind。rpcbind服务将客户端重定向到正确的端口号,以便它可以与所请求的服务通信

    Portmapper是一个RPC服务,它总是侦听tcp和udp111,并用于映射其他RPC服务(如nfs、nlockmgr、quotad、mountd等)。到其在服务器上相应的端口号。当远程主机对该服务器进行RPC调用时,它首先咨询portmap以确定RPC服务器侦听的位置

扫描频率

  • 0 */30 * * *

理论基础

  • 发送到端口映射器的小请求(~82字节)会产生大响应(7倍到28倍放大),这使其成为DDoS攻击的合适工具。如果不需要rpcbind,则建议删除rpcbind软件包,以减少系统的攻击面。

    注意:企业Linux虚拟化所使用的许多libvirt包和网络文件系统(NFS)所使用的nfs-utils包都依赖于rpcbind包。如果需要rpcbind作为依赖项,则应停止服务rpcbind.service和rpcbind.socket并进行屏蔽,以减少系统的攻击面。

风险项

  • 增加被攻击风险

审计方法

  • 运行以下命令以验证是否未安装对应组件:
    # rpm -q rpcbind
    package rpcbind is not installed
    
    如果需要对应的软件包作为依赖项:运行以下命令以验证风险服务是否被屏蔽:
    # systemctl is-enabled rpcbind
    masked
    # systemctl is-enabled rpcbind.socket
    masked
    

补救

  • 运行以下命令以删除对应的包:
    # yum remove rpcbind
    
    如果需要对应软件包作为依赖项:运行以下命令以停止并隐藏风险服务:
    # systemctl --now mask rpcbind
    # systemctl --now mask rpcbind.socket
    

影响

  • 依赖该组件的进程可能发生异常。

默认值

参考文献

CIS 控制

  • Version 7

    9.2确保仅经批准的端口、协议和服务正在运行
    确保每个系统上仅监听具有已验证的业务需求的系统的网络端口、协议和服务在运行。

文档评价

文档内容是否对您有帮助? ×