Workshop: Sichere Linux-Workstation

Andere Dienste

Linux startet nicht alle Dienste via inetd. Etliche Daemons fährt das Betriebssystem während des Bootens direkt über die Skripts in /etc/init.d hoch. Zwei davon sollten Sie sich genauer unter die Lupe nehmen: den RPC-Portmapper portmap und den Printerdaemon lpd.

Ähnlich wie andere Serverdienste wird portmap auf den wenigsten Clients benötigt. Um den Start des Daemons komplett zu unterbinden, fügen Sie im Start-Up-Skript /etc/init.d/portmap als ersten ausführbaren Befehl ein exit ein. Da der RPC-Portmapper die Dienste des TCP-Wrappers nutzt, können Sie den Zugang alternativ auch über einen entsprechenden Eintrag in /etc/hosts.allow beschränken:

# /etc/hosts.allow
#
ALL EXCEPT in.telnetd, portmap : \\    192.168.0.0/255.255.0.0
in.telnetd : \\    192.168.80.207
portmap : \\    192.186.80.
#EOF

In der Clientliste erlaubt portmap dabei ausschließlich ALL oder die Angabe von IP-Adressen. Hostnamen werden nicht verarbeitet.

Der Druckerdaemon lpd lauscht auf Port 515 nach Connections. Per Default akzeptiert er Verbindungen zu jeder Gegenstelle, solange diese von Ports zwischen 721 und 731 stammen. Davon lässt er sich nur durch das Einrichten der Datei /etc/hosts.lpd abhalten. Den dort per Hostname oder IP-Adresse aufgeführten Maschinen gewährt der Daemon Zugriff, alle anderen lässt er abblitzen.