最近linux系統(tǒng)安全加固,，一些漏洞修復(fù)經(jīng)驗(yàn)和大家分享一下,！
RPC Statd 服務(wù) RPC類 危險(xiǎn)級別：：：高
發(fā)現(xiàn)主機(jī)##########################################################
漏洞編號
漏洞分類RPC類
危險(xiǎn)級別 高
影響平臺AIX IRIX DG/UX HPUX: 9.x, HPUX: 10.x NEC EWS-UX/V,NEC UP-UX/V,NEC UX/4800, NeXT STEP NCR linux
詳細(xì)描述:
遠(yuǎn)程rpc.lockd 文件可能提供假的信息給rpc.statd 文件,，使文件可以被移動(dòng)或新建,。RPC statd 與RPC lockd 一起工作維護(hù)狀態(tài)信息,，來提供跨NKS文件鎖定的崩潰及恢
復(fù)功能。因?yàn)閟tatd不驗(yàn)證從遠(yuǎn)程lockd 收到的信息,，所以攻擊者可以發(fā)送RPC去建立或取消系統(tǒng)上任何文件,。
修補(bǔ)建議 建議您采取以下措施進(jìn)行修補(bǔ)以降低威脅： 請用戶聯(lián)系供應(yīng)商或他們的網(wǎng)站，索取補(bǔ)丁或參考供應(yīng)商的指示,。選定以下的操作系統(tǒng)：
1.Hewlett-Packard: 安裝補(bǔ)丁前,，請閱讀Security Advisory HPSBUX9607-032 "Security Vulnerability in rpc.pcnfsd & rpc.statd." 輸入patch Ids 作為搜索
字串及點(diǎn)擊Search Technical Knowledge Base 鏈接，就可以看到這篇文章,。The HP Patch Database 不需要付費(fèi)口令,。網(wǎng)址：http://us-
support.external.hp.com/wpsl/bin/doc.pl/.
登錄后，到Individual Patches (Patch Database) 的庫,，搜索符合你漏洞版本的HP-UX 撲丁,。
2.IBM 的補(bǔ)丁網(wǎng)址：http://aix.boulder.ibm.com/aix.us/aixfixes.
輸入APAR 號，就可以得到有關(guān)資料及補(bǔ)丁,。
3.Sony: NEWS-OS Patch Ids: 0124, 6063, 6176, 及6207.
4.NEWS-OS 補(bǔ)丁的網(wǎng)址：ftp://ftp1.sony.co.jp/pub/patch/news-os/un-official.
5.DEC (Digital Equipment Corporation): Ultrix ECO ID#: SSRT03901;OSF/1 ECO ID#: SSRT038301 網(wǎng)址 ：
http://www.service./html/patch_service.html
6.SunOS 補(bǔ)丁的網(wǎng)址：http://sunsolve./sunsolve/pubpatches/patches.html.
7.Silicon Graphics：之前的版本升級到IRIX 5.3,；之后的版本使用SGI Security Advisory描述的修復(fù)方法。安裝補(bǔ)丁前,，請閱讀SGI Security Advisory 19971201-01-
P: "Buffer Overrun Vulnerability in statd(1M) Program" 網(wǎng)址：ftp://sgigate./security/19971201-01-P1391.SGI
補(bǔ)丁的網(wǎng)址：http://www./Support/security/security.html.
以前的版本一定要升級或采用“安全建議”給出的暫時(shí)修復(fù)方法,，專為IRIX 5.3 平臺的補(bǔ)丁在網(wǎng)址：ftp://sgigate./patches/5.3/patch1391.tar
8.linux平臺: 聯(lián)系系統(tǒng)廠商獲取最新版本。 www.
#########################################################################
我的修復(fù)之旅,！
如果你的系統(tǒng)沒有使用NFS服務(wù)就關(guān)掉rpc.statd服務(wù)，下面說一下,，RPC的作用和如何關(guān)閉,！
CentOS使用核心級的支持和守護(hù)進(jìn)程的組合來提供NFS文件共享.NFS依靠遠(yuǎn)程過程調(diào)用(RPC)在客戶端和服務(wù)器端路由請求,。而在Linux下RPC服務(wù)由portmap服務(wù)控制。為了能夠正常
使用NFS,，還需要一些相關(guān)的服務(wù)來協(xié)同工作：
nfs：啟動(dòng)相應(yīng)RPC服務(wù)進(jìn)程來服務(wù)對于NFS文件系統(tǒng)的請求,。
nfslock：一個(gè)可選的服務(wù)，用于啟動(dòng)相應(yīng)的RPC進(jìn)程,，允許NFS客戶端在服務(wù)器上對文件加鎖,。
portmap：Linux的RPC服務(wù)，它響應(yīng)RPC服務(wù)的請求和與請求的RPC服務(wù)建立連接,。
下面的RPC后臺進(jìn)程是為NFS提供服務(wù)的
rpc.mountd：這個(gè)進(jìn)程接受來自NFS客戶端的加載請求和驗(yàn)證請求的文件系統(tǒng)正在被輸出,。這個(gè)進(jìn)程由NFS服務(wù)自動(dòng)啟動(dòng)，不需要用戶的配置,。
rpc.nfsd：這個(gè)進(jìn)程是NFS服務(wù)器.它和Linux核心一起工作來滿足NFS客戶端的動(dòng)態(tài)需求,，例如提供為每個(gè)NFS客戶端的每次請求服務(wù)器線程。這個(gè)進(jìn)程對應(yīng)于nfs服務(wù),。
rpc.lockd：一個(gè)可選的進(jìn)程,，它允許NFS客戶端在服務(wù)器上對文件加鎖。這個(gè)進(jìn)程對應(yīng)于nfslock服務(wù),。
rpc.statd：這個(gè)進(jìn)程實(shí)現(xiàn)了網(wǎng)絡(luò)狀態(tài)監(jiān)控(NSM)RPC協(xié)議,，通知NFS客戶端什么時(shí)候一個(gè)NFS服務(wù)器非正常重啟動(dòng)。這個(gè)進(jìn)程被nfslock服務(wù)自動(dòng)啟動(dòng),。不需要用戶的配置,。
rpc.rquotad：這個(gè)進(jìn)程對于遠(yuǎn)程用戶提供用戶配額信息。這個(gè)進(jìn)程被nfs服務(wù)自動(dòng)啟動(dòng),，不需要用戶的配置,。
所以說，要想關(guān)掉CentOS的rpc.statd服務(wù),，我們只需要執(zhí)行下面的命令就能搞定
rpcgssd, rpcidmapd, rpcsvcgssd
用于NFS v4,。除非你需要或使用NFS v4，否則關(guān)閉它,。
具體操作如下：
1停服務(wù)
service nfslock stop
service portmap stop
/etc/init.d/rpcgssd stop
/etc/init.d/rpcidmapd stop
/etc/init.d/rpcsvcgssd stop
2禁止開機(jī)啟動(dòng)
chkconfig nfslock off
chkconfig portmap off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig rpcsvcgssd off
3查看狀態(tài)
/etc/init.d/nfslock status
/etc/init.d/portmap status
/etc/init.d/rpcgssd status
/etc/init.d/rpcidmapd status
/etc/init.d/rpcsvcgssd status
本文出自 “康建華” 博客