Hi!
Ich habe gehört, dass der portmap-Daemon ein großes Sicherheitsrisiko darstellen kann, so wegen remote procedure call und dass man den, wenn möglich, vermeiden sollte. Mit portmap kann man auch harden-server nicht installieren, deshalb möchte ich eigentlich davon loskommen. Im Wiki steht ja, wie man den NFS-Server auf feste Ports biegen kann. Dummerweise hängt ja aber nfs-common trotzdem noch von portmap ab, kann ich das dann mti --force-dependencies runterschmeißen?
Bye
g-henna
NFS-Server auf festen Ports
NFS-Server auf festen Ports
follow the penguin...
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Da harden-servers auch nfs-kernel-server und nfs-user-server runterschmeisst, ist der portmapper Dein kleinstes Problem... harden-servers = kein NFS, ganz einfach. Die Nützlichkeit dieses Paketes tendiert IMO ohnehin gegen Null: es entfernt nur ein paar Pakete, die irgendjemand irgendwann 'mal als unsicher eingestuft hat... Worauf basiert diese Einstufung? Warum sind diese Server unsicher? Warum sind es andere nicht? (z.B.: cyrus-imapd ist als unsicher eingestuft... Warum? Klartext Passwörter? Deprecated (es gibt mittlerweile cyrus21-imapd)? Warum ist courier-imapd nicht auch unsicher?)
IMO sind das einfach zuviele Fragen, als das ich irgendwas darauf geben würde... Das Paket produziert nur ein total falsches Sicherheitsgefühl.
Wenn Du NFS brauchst, dann benutze den Portmapper, und stelle Zugriffsrechte in /etc/hosts.[allow|deny] ein. Schau Dir an, was Du an Services wirklich brauchst, und konfiguriere diese entsprechend. Alles andere einfach deinstallieren. Das securing-Debian-HOWTO sollte mehr wissen...
Patrick
IMO sind das einfach zuviele Fragen, als das ich irgendwas darauf geben würde... Das Paket produziert nur ein total falsches Sicherheitsgefühl.
Wenn Du NFS brauchst, dann benutze den Portmapper, und stelle Zugriffsrechte in /etc/hosts.[allow|deny] ein. Schau Dir an, was Du an Services wirklich brauchst, und konfiguriere diese entsprechend. Alles andere einfach deinstallieren. Das securing-Debian-HOWTO sollte mehr wissen...
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de