RPC abschalten?

  • Hallo!


    Seit heute bin ich auch stolzer Besitzer/Mieter eines vServers bei netcup. Jetzt bin ich dabei das System einzurichten und abzusichern. Ich bin - zugegebenermaßen - noch ein bisschen unerfahren was Serveradministration angeht. Nicht hauen! Irgendwann muss man sich ja mal in's Netz wagen. Ich habe durchaus Erfahrungen mit Linux (nutze Arch als mein Hauptbetriebsystem auf meinem Heim-PC) und habe auch schon einige Homepages betrieben, allerdings nur auf Shared Hosting Tarifen.


    Also, in dem Versuch, alle unnötigen Serverdienste zu deaktivieren bin ich per netstat auf diverse RPC-Ports gestoßen:


    Die Infos die ich im Netz dazu finde sind recht schwammig. Manche sagen, das kann man einfach rausschmeißen. Irgendwo habe ich gelesen, dass man das für NFS braucht. NFS habe ich zu hause nie benutzt, deswegen habe ich rpcbind immer gnadenlos entfernt, aber ich glaube bei euch wird der Storagespace per NFS eingebunden, oder? Irgendwo stand noch, dass man den rpcbind service nur braucht, wenn man NFS hosted, aber nicht als client. Das war aber nicht sehr vertrauenserweckend.


    Also, die Frage kurz und bündig:
    Kann ich rpcbind deactivieren oder krieg ich dann irgendwie Probleme mit meinem Storagespace / vServer? Gibt es Mittel und Wege das ganze auf das netcup-interne Netzwerk zu beschränken, so dass wenigstens von außen keiner ran kommt? Muss ich sonst irgendwas bedenken um diese Ports abzusichern?


    Vielen Dank schon mal!

  • Hallo sseeland,


    den Server bei netcup wirst du nicht bereuen :)


    Ja, imho ist das ganze RPC-Zeugs für NFS nötig. Ich selbst benötigte aber noch nie NFS auf einem Server der im Internet steht.
    Ich benutze aber auch den Storagespace von netcup nicht.


    Der Storagespace von netcup scheint tatsächlich nur NFS zu unterstützen. Komisch - ich würde eher SSH nutzen wollen - da hat man dann auch gleich Key-Authentication.


    Wie hast dir denn überhaupt diese rpc-Dienste eingefangen? Waren die im OS-Image schon mit installiert?
    (Ein Grund warum ich meine OSes lieber direkt von einer gemounteten CD installiere...)


    Thomas

  • Die Dienste werden anscheinend bei Debian standardmäßig installiert. Ich habe das Debian Jessie 64 bit minmal Image von netcup aufspielen lassen und da war der Dienst schon installiert und im Autostart eingetragen. Den vorinstallierten exim4 habe ich schon runtergeschmissen (werde ich zu gegebener Zeit durch ein Postfix ersetzen). Das scheint aber nicht der Fehler von Netcup zu sein. Ich habe auch zu hause schon mal ein Debian Jessie in einer VM installiert und da lief das auch von vornherein mit. Keine Ahnung warum Debian das per default installiert und startet.


    Und wo wir schon mal dabei sind: ein dhcp client läuft da anscheinend auch:


    braucht man den? Bzw wo kommt der eigentlich her? Im systemd finde ich den nicht...

  • Den Netcup Storage kann man auch per "GlusterFS" mounten (im Mount-Befehl als Dateisystem einfach glusterfs eingeben).
    Deine ungewollten Ports solltest du loswerden, indem du die folgenden Pakete deinstallierst:


    nfs-common
    rpcbind / portmap


    Edit: Statische IP-Adressen kannst du folgendermaßen einrichten:
    (Das Gateway findest du im VCP)

  • Schick, vielen Dank!
    jetzt ist tatsächlich nur noch SSH offen! :thumbup:


    So stell ich mir das vor. Jetzt kann ich ganz gemütlich anfangen die eigentliche Serversoftware zu installieren (nachdem ich iptables eingerichtet habe :rolleyes: )

  • Ist das denn schon sinnvoll? nftables scheint mir noch recht jung zu sein. In Jessie gibt's das nur über Backports. Der Kernel muss mindestens 3.13 sein, besser 4.2 und auf Jessie läuft noch 3.16. Scheint mir ein bisschen riskant für einen Produktivserver. Gibt es denn einen guten Grund ausser "ist halt neuer und technisch überlegen"? Die Kehrseite davon ist ja bekanntlich "nicht so gut supported, Kinderkrankheiten und nicht stabil".

  • So ähnlich sehe ich das auch.
    Es ist ja schön dass es was neues und bequemeres gibt. Das nützt mir aber nix wenn
    ich auf einem älteren System rumturnen muss. Da muss ich dann iptables sowieso beherrschen.


    Und ob es wirklich so stabil ist wie ein jahrelang abgehangenes iptables wage ich auch zu bezweifeln.
    Außerdem sehe ich Firewall als kritische Infrastruktur und da installiere ich sowieso ganz ungern mal schnell irgendwelche Module.


    Ich denke nutzen würde ich es wahrscheinlich erst wenn die ersten Distros umschwenken und statt iptables nftables ausliefern.


    Thomas

  • btw: Bei dem Netzwerkkonfigurationsbeispiel von janxb für IPv6 bitte unbedingt noch den Gateway fe80::1 (bitte im VCP kontrollieren!) dazu angeben, dann kann man später auch auf die RA's verzichten.


    Im Moment würde ich (vor allem bei Debian) weiterhin auf iptables setzen. Der Nachfolger wird noch früh genug kommen und interessant werden. Derzeit fängt man sich damit mehr Probleme ein, als es bringt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)