linux恶意程序rpc,linux系统 RPC Statd 服务 漏洞修复

漏洞修复"/>

linux恶意程序rpc,linux系统 RPC Statd 服务 漏洞修复

最近linux系统安全加固，一些漏洞修复经验和大家分享一下！

RPC Statd 服务  RPC类    危险级别：：：高

发现主机 ##########################################################

漏洞编号

漏洞分类 RPC类

危险级别  高

影响平台 AIX IRIX DG/UX HPUX: 9.x, HPUX: 10.x NEC EWS-UX/V,NEC UP-UX/V,NEC UX/4800, NeXT STEP NCR  linux

详细描述:

远程rpc.lockd 文件可能提供假的信息给rpc.statd 文件，使文件可以被移动或新建。RPC statd 与RPC lockd 一起工作维护状态信息，来提供跨NKS文件锁定的崩溃及恢

复功能。因为statd不验证从远程lockd 收到的信息，所以***者可以发送RPC去建立或取消系统上任何文件。

修补建议 建议您采取以下措施进行修补以降低威胁： 请用户联系供应商或他们的网站，索取补丁或参考供应商的指示。选定以下的操作系统：

1.Hewlett-Packard: 安装补丁前，请阅读 Security Advisory HPSBUX9607-032 "Security Vulnerability in rpc.pcnfsd & rpc.statd." 输入patch Ids 作为搜索

字串及点击 Search Technical Knowledge Base 链接，就可以看到这篇文章。The HP Patch Database 不需要付费口令。网址：http://us-

support.external.hp/wpsl/bin/doc.pl/.

登录后，到 Individual Patches (Patch Database) 的库，搜索符合你漏洞版本的HP-UX 扑丁。

2.IBM 的补丁网址： .us/aixfixes.

输入APAR 号，就可以得到有关资料及补丁。

3.Sony: NEWS-OS Patch Ids: 0124, 6063, 6176, 及 6207.

4.NEWS-OS 补丁的网址：.

5.DEC (Digital Equipment Corporation): Ultrix ECO ID#: ×××T03901;OSF/1 ECO ID#: ×××T038301 网址 ：

6.SunOS 补丁的网址：.html.

7.Silicon Graphics：之前的版本升级到IRIX 5.3；之后的版本使用SGI Security Advisory描述的修复方法。安装补丁前，请阅读SGI Security Advisory 19971201-01-

8.linux平台: 联系系统厂商获取最新版本。

#########################################################################

我的修复之旅！

如果你的系统没有使用NFS服务就关掉rpc.statd服务，下面说一下，RPC的作用和如何关闭！

CentOS使用核心级的支持和守护进程的组合来提供NFS文件共享.NFS依靠远程过程调用(RPC)在客户端和服务器端路由请求。而在Linux下RPC服务由portmap服务控制。为了能够正常

使用NFS，还需要一些相关的服务来协同工作：

nfs：启动相应RPC服务进程来服务对于NFS文件系统的请求。

nfslock：一个可选的服务，用于启动相应的RPC进程，允许NFS客户端在服务器上对文件加锁。

portmap：Linux的RPC服务，它响应RPC服务的请求和与请求的RPC服务建立连接。

下面的RPC后台进程是为NFS提供服务的

rpc.mountd：这个进程接受来自NFS客户端的加载请求和验证请求的文件系统正在被输出。这个进程由NFS服务自动启动，不需要用户的配置。

rpc.nfsd：这个进程是NFS服务器.它和Linux核心一起工作来满足NFS客户端的动态需求，例如提供为每个NFS客户端的每次请求服务器线程。这个进程对应于nfs服务。

rpc.lockd：一个可选的进程，它允许NFS客户端在服务器上对文件加锁。这个进程对应于nfslock服务。

rpc.statd：这个进程实现了网络状态监控(NSM)RPC协议，通知NFS客户端什么时候一个NFS服务器非正常重启动。这个进程被nfslock服务自动启动。不需要用户的配置。

rpc.rquotad：这个进程对于远程用户提供用户配额信息。这个进程被nfs服务自动启动，不需要用户的配置。

所以说，要想关掉CentOS的rpc.statd服务，我们只需要执行下面的命令就能搞定

rpcgssd, rpcidmapd, rpcsvcgssd

用于 NFS v4。除非你需要或使用 NFS v4，否则关闭它。

具体操作如下：

1停服务

service nfslock stop

service portmap stop

/etc/init.d/rpcgssd stop

/etc/init.d/rpcidmapd stop

/etc/init.d/rpcsvcgssd stop

2禁止开机启动

chkconfig nfslock off

chkconfig portmap off

chkconfig  rpcgssd off

chkconfig  rpcidmapd off

chkconfig  rpcsvcgssd off

3查看状态

/etc/init.d/nfslock status

/etc/init.d/portmap status

/etc/init.d/rpcgssd status

/etc/init.d/rpcidmapd status

/etc/init.d/rpcsvcgssd status