我想要保护一个开放端口 111 (sunrpc)。在新安装的 Solaris 上,如何让它只监听本地主机?我认为,如果我能让它在一开始就不监听,那么这种方法比使用 ipfilter 更干净。
再次强调,这是全新安装,因此我并不担心会“破坏”任何东西。我并不关心服务器到服务器的东西,如 syslog 或 nfs。
答案1
尽管该端口在 Solaris 上默认是开放的(至少 10+),但 rpcbind 不允许远程客户端,因此无需采取任何其他措施来保护它。
如果您确实发现需要允许远程客户端访问,则可以启用 tcp_wrappers 对 rpcbind 的支持并使用 tcpwrappers 控制访问。启用 tcpwrappers 的命令如下:
svccfg -s svc:/network/rpc/bind setprop config/enable_tcpwrappers = true
svcadm 刷新 svc:/network/rpc/bind