Sécurisation de NFS (pour Shorewall)
Bonjour, Je voudrais fixer les ports utilisés par NFS de manière à pouvoir définir mes règles dans Shorewall. J'ai donc suivi le how-to suivant : http://wiki.debian.org/SecuringNFS Toutefois, j'ai deux petits soucis : 1. je n'ai ni statd ni quotad (concernant quotad, je ne pense pas que ce soit gênant et, pour statd, j'ai quand même fixé les ports, au cas où, dans /etc/default/nfs-common, et je me dis aussi que status doit quand même en faire partie ;-))). Est-ce normal ? 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un renommage de process ?), mais je ne sais pas comment fixer ses ports... Voici le résultat d'un rpcinfo -p : program no_version protocole no_port 102 tcp111 portmapper 102 udp111 portmapper 3910022 tcp997 sgi_fam 1000241 udp 32765 status 1000241 tcp 32765 status 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 1000211 udp 54659 nlockmgr 1000213 udp 54659 nlockmgr 1000214 udp 54659 nlockmgr 1000211 tcp 55930 nlockmgr 1000213 tcp 55930 nlockmgr 1000214 tcp 55930 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 151 udp 32767 mountd 151 tcp 32767 mountd 152 udp 32767 mountd 152 tcp 32767 mountd 153 udp 32767 mountd 153 tcp 32767 mountd Pour sgi_fam, vous savez ce que c'est ? Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Sécurisation de NFS (pour Shorewall)
Le Tue, 7 Jul 2009 10:45:44 +0200, David BERCOT deb...@bercot.org a écrit : Bonjour, Salut, Je voudrais fixer les ports utilisés par NFS de manière à pouvoir définir mes règles dans Shorewall. J'ai donc suivi le how-to suivant : http://wiki.debian.org/SecuringNFS Toutefois, j'ai deux petits soucis : 1. je n'ai ni statd ni quotad (concernant quotad, je ne pense pas que ce soit gênant et, pour statd, j'ai quand même fixé les ports, au cas où, dans /etc/default/nfs-common, et je me dis aussi que status doit quand même en faire partie ;-))). Est-ce normal ? Pour ma part, j'ai bien un processus « rpc.statd », mais il n'apparaît pas dans la sortie de « rpcinfo -p ». 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un renommage de process ?), mais je ne sais pas comment fixer ses ports... J'ai un fichier /etc/modprobe.d/options.local qui contient : # /etc/modprobe.d/options.local options lockd nlm_udpport=3002 nlm_tcpport=3002 Voici le résultat d'un rpcinfo -p : program no_version protocole no_port 102 tcp111 portmapper 102 udp111 portmapper 3910022 tcp997 sgi_fam 1000241 udp 32765 status 1000241 tcp 32765 status 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 1000211 udp 54659 nlockmgr 1000213 udp 54659 nlockmgr 1000214 udp 54659 nlockmgr 1000211 tcp 55930 nlockmgr 1000213 tcp 55930 nlockmgr 1000214 tcp 55930 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 151 udp 32767 mountd 151 tcp 32767 mountd 152 udp 32767 mountd 152 tcp 32767 mountd 153 udp 32767 mountd 153 tcp 32767 mountd Pour sgi_fam, vous savez ce que c'est ? non :-( Pour ma part, j'obtiens : # rpcinfo -p program no_version protocole no_port 102 tcp111 portmapper 102 udp111 portmapper 1000241 udp 3000 status 1000241 tcp 3000 status 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 1000211 udp 3002 nlockmgr 1000213 udp 3002 nlockmgr 1000214 udp 3002 nlockmgr 1000211 tcp 3002 nlockmgr 1000213 tcp 3002 nlockmgr 1000214 tcp 3002 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 151 udp 3001 mountd 151 tcp 3001 mountd 152 udp 3001 mountd 152 tcp 3001 mountd 153 udp 3001 mountd 153 tcp 3001 mountd Fred. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
[Résolu] Re: Sécurisation de NFS (pour Shorewall)
Le Tue, 7 Jul 2009 12:06:17 +0200, Frédéric Boiteux fboit...@calistel.com a écrit : Le Tue, 7 Jul 2009 10:45:44 +0200, David BERCOT deb...@bercot.org a écrit : Je voudrais fixer les ports utilisés par NFS de manière à pouvoir définir mes règles dans Shorewall. J'ai donc suivi le how-to suivant : http://wiki.debian.org/SecuringNFS Pour ma part, j'ai bien un processus « rpc.statd », mais il n'apparaît pas dans la sortie de « rpcinfo -p ». Bon, comme le paramétrage est fait, j'imagine que ça ne posera pas de problème pour NFS lors Shorewall sera lancé... 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un renommage de process ?), mais je ne sais pas comment fixer ses ports... J'ai un fichier /etc/modprobe.d/options.local qui contient : # /etc/modprobe.d/options.local options lockd nlm_udpport=3002 nlm_tcpport=3002 OK. La seule chose, c'est qu'on doit redémarrer pour que ce soit pris en compte ! Merci. Pour sgi_fam, vous savez ce que c'est ? non :-( http://fr.wikipedia.org/wiki/File_Alteration_Monitor Bref, je laisse ça en dehors du champ de Shorewall. Merci beaucoup. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org