AIX portmapper 报告正在监听端口 32771。为什么它不是 nlockmgr 进程?

tag-icon tag-icon security aix rpc
AIX portmapper 报告正在监听端口 32771。为什么它不是 nlockmgr 进程?

我试图安抚我的安全小组,他们认为端口映射器正在监听端口 32771。我的主机运行的是 AIX 7.1。我无法访问此处的 GNU 网络实用程序。

rpcinfo(8),无论是远程还是本地,都给我输出说锁定管理器正在监听端口 32771。我包括安装地位以供比较。

$ rpcinfo -p
program vers proto   port  service
 100000    4   udp    111  portmapper
 100000    3   udp    111  portmapper
 100000    2   udp    111  portmapper
 100000    4   tcp    111  portmapper
 100000    3   tcp    111  portmapper
 100000    2   tcp    111  portmapper
 [snip]
 100005    1   tcp  32770  mountd
 100005    2   tcp  32770  mountd
 100005    3   tcp  32770  mountd
 100021    1   tcp  32771  nlockmgr
 100021    2   tcp  32771  nlockmgr
 100021    3   tcp  32771  nlockmgr
 100021    4   tcp  32771  nlockmgr
 100024    1   tcp  32772  status

本地主机上的 lsof(8) 和 ps(1) 指向端口映射器本身。 (lsof 在 IPv4 中没有发现 32771 的提及。)

$ sudo lsof -Pnl +M -i6 | grep (portmap and 3277[012])
COMMAND     PID      USER FD   TYPE             DEVICE SIZE/OFF NODE NAME
portmap     3735666  0     3u  IPv6 0xf10005000206c3b8      0t0  TCP *:111[portmapper] (LISTEN)
portmap     3735666  0     4u  IPv6 0xf100050000161200      0t0  UDP *:111[portmapper]
rpc.mount   4784282  0     3u  IPv6 0xf10005000017fbb8      0t0  TCP *:32770[mountd] (LISTEN)
portmap     3735666  0     5u  IPv6 0xf100050002116a00      0t0  UDP *:32771
rpc.statd   3801234  1     4u  IPv6 0xf10005000214ebb8      0t0  TCP *:32772[status] (LISTEN)

$ ps -ef | grep [3]735666
root  3735666  3080400   0   Dec 16      -  0:52 /usr/sbin/portmap

$ ps -ef | grep [4]784282
root  4784282  3080400   0   Dec 16      -  0:02 /usr/sbin/rpc.mountd

$ ps -ef | grep [3]801234
daemon  3801234  3080400   0   Dec 16      -  0:00 /usr/sbin/rpc.statd -d 0 -t 50

$ netstat -Aan | grep (111 and 3277[012])
Active Internet connections (including servers)
PCB/ADDR         Proto Recv-Q Send-Q  Local Address      Foreign Address    (state)
f10005000206c3b8 tcp        0      0  *.111                 *.*                   LISTEN
f100050000161200 udp        0      0  *.111                 *.*
f10005000017fbb8 tcp        0      0  *.32770               *.*                   LISTEN
f10005000206cbb8 tcp        0      0  *.32771               *.*                   LISTEN
f100050002116a00 udp        0      0  *.32771               *.*
f10005000214ebb8 tcp        0      0  *.32772               *.*                   LISTEN

来自 RHEL 主机的 netcat(1) 报告端口 32771 处于活动状态。我们的安全扫描器专门调用端口映射器与端口 32771 关联的端口,而这正是安全组关注的重点。扫描器不关心与其他正常 RPC 服务关联的其他高编号端口,例如安装地位. IBM 没有针对端口映射器我无法配置端口映射器使用不同的端口锁定管理器RPC 服务。

给予什么端口映射器难道不应该有一个锁定管理器进程正在运行?我该如何向我的安全团队解释?显然我对 portmapper 的了解有限。

答案1

lsof 的输出清楚地显示了哪个进程正在监听端口 32771:

portmap     3735666  0     5u  IPv6 0xf100050002116a00      0t0  UDP *:32771

你可以IPv6jest 告诉您 v6 也受支持。输出 rpc信息显示已注册的服务(不是进程!)。我将两个结果一起读为:

端口映射进程已注册锁定管理器服务,监听 UDP 套接字,端口 32771。

令人困惑的是,rpcbind 的输出显示 nlockmgr 仅在 TCP 上,但这可能是截断输出的结果。

相关内容