¿Cómo cerrar portmap?

[Alfonso]

Hola,

Hablando de seguridad, parece que leo que si dejas el portmap (111 tcp y
udp) puedes tener problemas de seguridad, pero exactamente ¿qué te pueden
hacer si tienes ese servicio abierto?

No recuerdo bien, pero creo que tengo el sunrpc porque debí instalar el
cliente NFS por si acaso algún día me daba por cacharrear, pero como veo que
no lo uso y puede ser peligroso, ¿cuál es la mejor manera de quitarlo?

Gracias y saludos.

_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com

--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

[Gunnar Wolf]

> Hola,
>
> Hablando de seguridad, parece que leo que si dejas el portmap (111 tcp y
> udp) puedes tener problemas de seguridad, pero exactamente ¿qué te pueden
> hacer si tienes ese servicio abierto?
>
> No recuerdo bien, pero creo que tengo el sunrpc porque debí instalar el
> cliente NFS por si acaso algún día me daba por cacharrear, pero como veo que
> no lo uso y puede ser peligroso, ¿cuál es la mejor manera de quitarlo?

Asomate a los scripts de arranque (/etc/rcS.d y /etc/rc2.d), borra los que
se refieran a este servicio.

Que te pueden hacer? hay una cantidad TERRIBLE de exploits para los
diferentes RPCs... Que todos cuelgan de Portmap. Quitas portmap y quitaste
todos.

------------------------------------------------------------
Gunnar Wolf - gw...@campus.iztacala.unam.mx - (+52)5623-1118
Desarrollo y Admon. de Sistemas en Red - FES Iztacala - UNAM
Departamento de Seguridad en Computo - DGSCA - UNAM
------------------------------------------------------------
Quidquid latine dictum sit, altum viditur.

[Javier Fdz-Sanguino Pen~a]

On Sat, Oct 06, 2001 at 02:36:31PM -0600, Gunnar Wolf wrote:
>
> Que te pueden hacer? hay una cantidad TERRIBLE de exploits para los
> diferentes RPCs... Que todos cuelgan de Portmap. Quitas portmap y quitaste
> todos.

Esto, como verás ahora, no es *totalmente* cierto:

- portmap: mapeador de puertos, te dice qué aplicación RPC está escuchando
en qué puerto

- programa RPC: el que está escuchando en el puerto

Aunque no es común, podrías tener el programa RCP escuchando sin
tener el portmapper hacia el exterior entonces:

a) un atacante no podría saber qué aplicación escucha en el puerto 35554
b) si un atacante encuentra el puerto 35554 entonces puede probar todos los
ataques posibles contra todos los RPCs posibles (los RPCs se situan
habitualmente en puertos elevados)

Espero que os valga la matización...

Javi

[Gunnar Wolf]

> > Que te pueden hacer? hay una cantidad TERRIBLE de exploits para los
> > diferentes RPCs... Que todos cuelgan de Portmap. Quitas portmap y quitaste
> > todos.
>
> Esto, como verás ahora, no es *totalmente* cierto:
>
> - portmap: mapeador de puertos, te dice qué aplicación RPC está escuchando
> en qué puerto
>
> - programa RPC: el que está escuchando en el puerto
>
> Aunque no es común, podrías tener el programa RCP escuchando sin
> tener el portmapper hacia el exterior entonces:
>
> a) un atacante no podría saber qué aplicación escucha en el puerto 35554
> b) si un atacante encuentra el puerto 35554 entonces puede probar todos los
> ataques posibles contra todos los RPCs posibles (los RPCs se situan
> habitualmente en puertos elevados)
>
> Espero que os valga la matización...

Ug... Muy cierto, perdon por la metida de pata - Ahora que lo leo recuerdo
la gran cantidad de veces que me han repetido lo mismo, y sin embargo, no
se me pega! ;-) Pero bueno, de todos modos, muy poca gente requiere correr
Portmap, y no duele mandarlo a volar.

Mi firewall registra barridos al puerto 111 de todas las computadoras que
en determinado momento esten encendidas de menos con una frecuencia
diaria. Y si, tengo barridos de amplios rangos de puertos a direcciones
especificas, pero mucho menos. Toma mas tiempo encontrar un servicio RPC
sin Portmap que con el, y hay de menos un gusano que explota
automaticamente al rpc.statd de RedHat (que si bien a Debian no le pega,
pero bien que molesta!)

Saludos,

------------------------------------------------------------
Gunnar Wolf - gw...@campus.iztacala.unam.mx - (+52)5623-1118
Desarrollo y Admon. de Sistemas en Red - FES Iztacala - UNAM
Departamento de Seguridad en Computo - DGSCA - UNAM
------------------------------------------------------------
Quidquid latine dictum sit, altum viditur.

[Hue-Bond]

Alfonso, sábado 06 de octubre de 2001 a la(s) 22:06:05 +0200:

>
>No recuerdo bien, pero creo que tengo el sunrpc porque debí instalar el
>cliente NFS por si acaso algún día me daba por cacharrear, pero como veo que
>no lo uso y puede ser peligroso, ¿cuál es la mejor manera de quitarlo?

Mi /etc/init.d/portmap empieza así:

#!/bin/sh
#
# start/stop portmap daemon.

## ¿Realmente este script me sirve para algo?
echo "portmap? De eso nada"
exit 0

--
David Serrano <cyberchat2000.com@hue> - Linux Registered User #87069

[fern...@hotpop.com]

Hola,

On Sat, 6 Oct 2001, Alfonso wrote:

> Hola,
>
> Hablando de seguridad, parece que leo que si dejas el portmap (111 tcp y
> udp) puedes tener problemas de seguridad, pero exactamente ¿qué te pueden
> hacer si tienes ese servicio abierto?
>
> No recuerdo bien, pero creo que tengo el sunrpc porque debí instalar el
> cliente NFS por si acaso algún día me daba por cacharrear, pero como veo que
> no lo uso y puede ser peligroso, ¿cuál es la mejor manera de quitarlo?
>
> Gracias y saludos.
>

update-rc.d -f portmap remove

Que borrará los enlaces simbólicos de /etc/rc.* de manera que el portmap
ya nunca volverá a intentar arrancar. En cualquier caso, el escrí de
arranque permanecerá en /etc/init.d/portmap por si quisieras volver a
ponerlo en la secuencia de arranque.

Un saludo,

--
Fernando

[Alfonso]

> update-rc.d -f portmap remove

>Que borrará los enlaces simbólicos de /etc/rc.* de manera que el portmap
>ya nunca volverá a intentar arrancar. En cualquier caso, el escrí de
>arranque permanecerá en /etc/init.d/portmap por si quisieras volver a
>ponerlo en la secuencia de arranque.

Me parece el método más apropiado, pero ¿no sería mejor quitar el/los
paquete/s? ¿cuales?

>Un saludo,
>
>--
>Fernando

Saludos.

_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com

[fern...@hotpop.com]

Hola,

On Mon, 8 Oct 2001, Alfonso wrote:

> > update-rc.d -f portmap remove
>
> >Que borrará los enlaces simbólicos de /etc/rc.* de manera que el portmap
> >ya nunca volverá a intentar arrancar. En cualquier caso, el escrí de
> >arranque permanecerá en /etc/init.d/portmap por si quisieras volver a
> >ponerlo en la secuencia de arranque.
>
> Me parece el método más apropiado, pero ¿no sería mejor quitar el/los
> paquete/s? ¿cuales?

sudo dpkg --search portmap
-> netbase: /sbin/portmap

Creo que en el netbase vienen bastantes más cosas que el portmap y que no
podemos prescindir de él, pero igual alguien nos puede iluminar sobre el
tema.

Más saludos,

--
Fernando

[Carlos Jiménez Romera]

Si lo que quieres es evitar que el portmap se active al arrancar, sólo
tienes que quitarle los permisos de ejecución al correspondiente script:

chmod a-x /etc/int.d/script.sh

Otra opción es borrar el enlace blando que se dirige a este archivo:

rm /etc/rc2.d/S??script

De esta forma puedes eliminar el script del modo 2, pero mantenerlo en
los demás.

De ambas formas mantienes el script por si algún día quieres volver a
activarlo.

Creo que esta es la forma más segura de hacerlo (de hecho, creo que es
la forma recomendada en algún documento oficial de Debian, pero no te lo
puedo asegurar)

Si lo que quieres es eliminar paquetes redundantes o que no utilizas,
tendrás que estudiar las dependencias con calma y es posible que el
trabajo sea en balde.

Saludos,
Carlos.

[jvic...@banelco.com.ar]

Se puede desinstalar portmap, en vez de borrar los links?

Gunnar Wolf <gw...@campus.iztacala.unam.mx> con fecha 06/10/2001 17:36:31

Destinatarios: Alfonso <alfonso...@yahoo.es>
CC: debian-us...@lists.debian.org (cci: JUAN
VICENTE/BANELCO/AR)
Asunto: Re: ¿Cómo cerrar portmap?

> Hola,
>
> Hablando de seguridad, parece que leo que si dejas el portmap (111 tcp y
> udp) puedes tener problemas de seguridad, pero exactamente ¿qué te pueden
> hacer si tienes ese servicio abierto?
>
> No recuerdo bien, pero creo que tengo el sunrpc porque debí instalar el
> cliente NFS por si acaso algún día me daba por cacharrear, pero como veo
que
> no lo uso y puede ser peligroso, ¿cuál es la mejor manera de quitarlo?

Asomate a los scripts de arranque (/etc/rcS.d y /etc/rc2.d), borra los que
se refieran a este servicio.

Que te pueden hacer? hay una cantidad TERRIBLE de exploits para los
diferentes RPCs... Que todos cuelgan de Portmap. Quitas portmap y quitaste
todos.

------------------------------------------------------------
Gunnar Wolf - gw...@campus.iztacala.unam.mx - (+52)5623-1118
Desarrollo y Admon. de Sistemas en Red - FES Iztacala - UNAM
Departamento de Seguridad en Computo - DGSCA - UNAM
------------------------------------------------------------
Quidquid latine dictum sit, altum viditur.

--

[Hue-Bond]

jvic...@banelco.com.ar, miércoles 10 de octubre de 2001 a la(s) 18:19:55 -0300:

>
>Se puede desinstalar portmap, en vez de borrar los links?

Como alguien ya ha comentado, el binario de portmap está en el
paquete netbase, paquete que contiene cosas como:

/usr/sbin/inetd
/bin/ping
/bin/netstat
/sbin/ifconfig
/sbin/route
/sbin/ifup
/sbin/ifdown
/sbin/ipchains

Y claro, no es plan. Eso sin tener en cuenta las dependencias:

# apt-get -s remove netbase
[...]
Remv anacron
Remv at
Remv bind
Remv ipppd
Remv linneighborhood
Remv printop-lpr
Remv lpr
Remv mailx
Remv mutt
Remv smbfs
Remv pppconfig
Remv ppp
Remv telnetd
Remv wu-ftpd-academ
Remv wu-ftpd
Remv talkd
Remv squid
Remv smartlist
Remv postfix
Remv pidentd
Remv netbase

Lo que sí se podría sugerir es que metieran en un paquete
separado portmap y alguna otra cosa más relacionada. Supongo que
tienen una buena razón para no hacerlo ya pero...

>gw...@campus.iztacala.unam.mx