rpcbind(1M)
rpcbind — это сервер, преобразующий номера программ RPC в универсальные адреса. Он должен работать, чтобы можно было делать вызовы удаленных процедур (RPC calls).
При запуске службы RPC, она сообщает rpcbind, по какому адресу она принимает информацию и какие номера программ RPC она готова обслуживать. Когда клиент желает выполнить вызов удаленной процедуры, он сначала связывается с rpcbind на сервере для определения адреса, куда необходимо посылать пакеты RPC.
rpcbind допускает частичный успех. Т.е., если ему удается запуститься как минимум на одном интерфейсе закольцовывания (loopback provider), он продолжит работу, даже если запуск на других интерфейсах закольцовывания и транспортах типа tcp, udp, spx и ipx закончится неудачей.
ИСПОЛЬЗОВАНИЕ
Обычно стандартные серверы RPC запускаются мониторами портов, поэтому rpcbind должен быть запущен перед вызовом мониторов портов. Если rpcbind не может запуститься на транспорте, указанном в файле /etc/netconfig, он выдает предупреждающее сообщение о проблемном транспорте, а затем пытается запуститься на оставшихся транспортах.
rpcbind может запускаться только пользователями с идентификатором, совпадающим с root.
Опции
rpcbind воспринимает следующие опции:
-d | Выдает отладочную информацию для каждого из доступных транспортов, указанных в файле /etc/netconfig. |
-q | Не выдает сообщения об ошибках, кроме сообщений, связанных с фатальными ошибками при запуске rpcbind. |
Предупреждения
Если происходит сбой rpcbind, все серверы RPC необходимо перезапустить.
Если не удалось запустить демон rpcbind, причина может быть в том, что имя машины отличается от указанного в файлах /etc/net/*/hosts. Так может происходить, если имя машины изменено с помощью команды uname(1).
Чтобы проверить, работает ли rpcbind, введите
nfsping -o rpcbind
Если выдается сообщение, утверждающее, что rpcbind не работает, сравните имя системы (uname -n) с записями в файлах /etc/net/*/hosts, и проверьте, совпадают ли они.
Если они не совпадают, значит, имя вашей машины было изменено с помощью команды uname, и придется вручную изменить имена хоста в записях файлов /etc/net/*/hosts.
Например, если имя хоста для машины было hulk (используйте uname -n), первая запись в каждом из файлов /etc/net/*/hosts должна выглядеть следующим образом:
Если первая запись в каждом из файлов /etc/net/*/hosts не совпадает с именем хоста машины, необходимо обновить первую запись в файлах /etc/net/*/hosts и перезапустить демон rpcbind. Чтобы перезапустить rpcbind, введите:
ССЫЛКИ
Copyright 1994 Novell, Inc.
Copyright 1999 В. Кравчук, OpenXS Initiative, перевод на русский язык
Пакет: rpcbind (1.2.6-6 и другие)
преобразование номеров программ RPC в универсальные адреса
Утилита rpcbind — это служба, преобразующая номера программ RPC в универсальные адреса.
Другие пакеты, относящиеся к rpcbind
- зависимости
- рекомендации
- предложения
- enhances
- dep: init-system-helpers (>= 1.54~) вспомогательные инструменты для всех систем инициализации
- dep: adduser добавление и удаление пользователей и групп
- dep: libc6 (>= 2.34) [не alpha, ia64, sh4] библиотека GNU C: динамически подключаемые библиотеки
также виртуальный пакет, предоставляемый libc6-udeb dep: libc6 (>= 2.35) [sh4] - dep: libc6.1 (>= 2.27) [alpha] библиотека GNU C: динамически подключаемые библиотеки
также виртуальный пакет, предоставляемый libc6.1-udeb dep: libc6.1 (>= 2.35) [ia64] - dep: libsystemd0 библиотека утилит systemd
- dep: libtirpc3 (>= 1.0.2) транспортно-независимая библиотека RPC
- dep: libwrap0 (>= 7.6-4~) библиотека для оболочек TCP написанная Вейтсом Венемой
- dep: lsb-base (>= 4.1+Debian3) переходный пакет для сценария инициализации Linux Standard Base
Загрузка rpcbind
Архитектура | Версия | Размер пакета | В установленном виде | Файлы |
---|---|---|---|---|
alpha (неофициальный перенос) | 1.2.6-6+b1 | 47,6 Кб | 196,0 Кб | [список файлов] |
amd64 | 1.2.6-6+b1 | 47,2 Кб | 158,0 Кб | [список файлов] |
arm64 | 1.2.6-6+b1 | 45,1 Кб | 194,0 Кб | [список файлов] |
armel | 1.2.6-6+b1 | 42,4 Кб | 192,0 Кб | [список файлов] |
armhf | 1.2.6-6+b1 | 42,9 Кб | 192,0 Кб | [список файлов] |
hppa (неофициальный перенос) | 1.2.6-6+b1 | 44,4 Кб | 139,0 Кб | [список файлов] |
i386 | 1.2.6-6+b1 | 48,7 Кб | 152,0 Кб | [список файлов] |
ia64 (неофициальный перенос) | 1.2.6-6+b1 | 54,7 Кб | 209,0 Кб | [список файлов] |
m68k (неофициальный перенос) | 1.2.6-6+b1 | 44,0 Кб | 144,0 Кб | [список файлов] |
mips64el | 1.2.6-6+b1 | 45,8 Кб | 199,0 Кб | [список файлов] |
ppc64 (неофициальный перенос) | 1.2.6-6+b1 | 48,4 Кб | 258,0 Кб | [список файлов] |
ppc64el | 1.2.6-6+b1 | 49,7 Кб | 258,0 Кб | [список файлов] |
riscv64 (неофициальный перенос) | 1.2.6-6+b1 | 44,1 Кб | 132,0 Кб | [список файлов] |
s390x | 1.2.6-6+b1 | 44,1 Кб | 154,0 Кб | [список файлов] |
sh4 (неофициальный перенос) | 1.2.6-6+b1 | 49,3 Кб | 193,0 Кб | [список файлов] |
sparc64 (неофициальный перенос) | 1.2.6-6+b1 | 43,0 Кб | 2 120,0 Кб | [список файлов] |
x32 (неофициальный перенос) | 1.2.6-6+b1 | 47,1 Кб | 144,0 Кб | [список файлов] |
Эта страница также доступна на следующих языках (Как установить язык по умолчанию):
Чтобы сообщить о проблеме, связанной с веб-сайтом, отправьте сообщение (на английском) в список рассылки debian-www@lists.debian.org. Прочую контактную информацию см. на странице Debian Как с нами связаться.
Авторские права © 1997 — 2023 SPI Inc.; См. условия лицензии. Debian это торговый знак компании SPI Inc. Об этом сайте.
Уязвимость порта 111 севера rpcbind
В 2015 году Управление информационной безопасности (ISO) обратилось к ИТ-сообществу с просьбой настроить системы таким образом, чтобы их средства отображения портов portmapper (также известные как rpcbind) не были представлены в интернете в открытом доступе или не требовали аутентификации для доступа. Вот описание RPC portmapper и проблем, связанных с его использованием и плана действий, касающихся систем, работающих со средствами отображения портов в интернете.
Cредство отображения портов Portmapper — это служба RPC, которая всегда прослушивает TCP и UDP 111 и используется для сопоставления других служб RPC (таких как nfs, nlockmgr, quotad, mountd и т. д.) c соответствующим номером порта на сервере. Когда удаленный хост выполняет RPC-вызов для этого сервера, он сначала обращается к portmap, чтобы определить, где RPC-сервер прослушивает.
Небольшой запрос portmapper (~ 82 байта через UDP), генерирует большой отклик (усиление от х7 до х28), что делает его инструментом для амлификации для DDoS-атак, особенно с учетом его распространенности практически во всех современных системах Unix.
Если брандмауэр не используется, то для того, чтобы предотвратить нежелательный публичный доступ к этой службе, нужно добавить в белый список хосты, которым требуется связь с portmapper на вашем сервере (например, NFS-клиентами), в файл hosts.allow, и запретить ALL: ALL в файле hosts.deny для службы portmap.
Информацию о настройках конфигурации этих файлов можно найти здесь. Вы можете проверить свои настройки конфигурации, запустив rpcinfo-p-T udp 1.2.3.4 из неавторизованной системы. Обратите внимание, что нет конкретной уязвимости Selfscan, которая укажет на то, что карта порта запущена. Если ваш ресурс является *nix системой/встроенным устройством, можно с уверенностью предположить, что это так.
Если система является встроенным устройством или принтером и не поддерживает TCP-оболочки, его следует переместить в частное адресное пространство. Системы в частном адресном пространстве не подвергаются данной атаке.
С 2015 года Управление информационной безопасности (ISO) объявила превентивный карантин для систем с RPC portmapper, осуществляющих открытый выход в интернет. Эти системы включают в себя принтеры и компьютеры Windows. Владельцам и администраторам настоятельно рекомендуется переместить принтеры в узлы, находящиеся в локальной компьютерной сети для принтеров, и настроить межсетевые экраны или оболочки TCP для систем, которые должны оставаться общедоступными, чтобы устранить уязвимость средств отображения портов portmapper.
Rpcbind что это
Второе издание популярного справочника полностью переработано и расширено с целью предоставить читателю наиболее полное описание средств разработки, конфигурирования, использования и обслуживания сетей TCP/IP и соответствующих служб.
Книга написана увлекательно и доступно. Она содержит дополнительные материалы о нескольких протоколах Интернета, используемых серверами и браузерами WWW, а также рассматривает все последние изменения в этой области. В книгу включены главы о новом стандарте безопасности IP и протоколе IP следующего поколения, известном как IPng или IPv6. Рисунки и таблицы наглядно показывают влияние средств безопасности IP и IPng на существующие сетевые среды.
Издание содержит следующие дополнительные разделы:
• Безопасность IP и IPv6
• Описание средств WWW, новостей Интернета и приложений для работы с gopher
• Подробное описание серверов имен доменов (DNS), маски подсети и бесклассовой маршрутизации в Интернете
• Таблицы и протоколы маршрутизации
• Руководство по реализации средств безопасности для каждого из протоколов и приложений
• Примеры диалогов с новыми графическими инструментами
Новое издание бестселлера по TCP/IP станет незаменимым помощником для разработчиков сетей и приложений, для сетевых администраторов и конечных пользователей.
Книга: TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security)
15.7.1 Назначение rpcbind
Скрыть рекламу в статье
15.7.1 Назначение rpcbind
Программа rpcbind основана на тех же принципах, что и portmapper. При инициализации программы RPC ей выделяется один или несколько динамически назначенных адресов для транспорта. Программа регистрирует полученные адреса в rpcbind, через которую они становятся известными клиентам.
Запрос клиента содержит номер программы и номер версии. Но в ответе rpcbind указывается универсальный адрес, который может предоставлять специальные сведения для NetWare SPX/IPX, SNA, DECnet или AppleTalk, а не для TCP или UDP. Тип предоставленного в ответе транспортного адреса зависит от используемого для запроса транспортного протокола.
Как и к portmapper, к rpcbind обращаются по общеизвестному порту 111 через UDP или TCP. Для других коммуникационных протоколов должен использоваться другой, заранее определенный локальный доступ.
Подобно portmapper, rpcbind поддерживает службу широковещательных рассылок RPC. Рассылки направляются на общеизвестную точку доступа к транспорту, определенную для службы rpcbind, например порт 111 для UDP или TCP. Каждая программа rpcbind, которая отслеживает широковещательные рассылки, может от имени клиента вызвать нужную ей локальную сервисную программу, получить ответ и переслать его клиенту. Версия 4 протокола RPC позволяет клиентам получать через rpcbind такой же вид косвенного обслуживания при многоадресной рассылке, как и при широковещательной.