rpcbind und seine Probleme auf öffentlichen Servern

rpcbind und seine Probleme auf öffentlichen Servern

Wenn rpcbind läuft oder manuell gestartet wurde, wird der Port 111 verwendet und kann für DDoS-Angriffe missbraucht werden.

  • Prüfung: rpcinfo -T udp -s 192.168.2.61
  • Ergebnis: Port 111 wird als “in Benutzung” angezeigt

Vorgehen, um den Port 111 für tcp und udp abzustellen (nicht rebootfest)

  • mit systemctl status rpcbind prüfen, ob der Prozess da ist
  • mit systemctl stop rpcbind den Prozess anhalten
  • mit systemctl status rpcbind.socket prüfen, ob dieser Prozesse da ist, ggfs. stoppen
  • wenn rpcbind manuell gestartet wurde, die Prozessnummer zum Port 111 suchen mit: netstat -tulpn und ggfs. mit kill procnum anhalten.
  • mit rpcinfo -T udp -s 192.168.2.61 prüfen, ob der Port 111 angefragt werden kann. Wenn ja, siehe oben, wenn nicht, alles gut, Rückmeldung ist: rpcinfo: can’t contact rpcbind: : RPC: Unable to receive; errno = Connection refused

(Mich-Man 11.12.21)

Ergänzung 27.12.21 efbeff

Vorgehen, um rpcbind Port 111 dauerhaft abzustellen

Da auf Blech02 Port 111 wieder aktiv war, und erneuter CERT Report kam, hier die hoffentlich endgültige Stillegung:
disable für das Verhindern rpcbind nach einem Boot,
–now für den sofortigen stop von rpcbind
- systemctl disable rpcbind –now
- systemctl disable rpcbind.socket –now
- systemctl disable rpcbind.target –now

  • systemctl status rpc*
    sollte jetzt keine Ausgabe mehr bringen

Ergänzung 17.06.23 efbeff

Nach einem update Debian 11 auf 12 auf der apu berghofen war rpcbind leider wieder aktiv.
Deshalb immer prüfen.