Есть открытый порт 111 (sunrpc), который я хочу защитить. Как я могу заставить это слушать только на локальном хосте при новой установке Solaris? Я думаю, что это был бы более чистый способ, чем использование ipfilter, если бы я мог просто не слушать его.
Опять же, это свежая установка, поэтому я не беспокоюсь о том, чтобы что-то «сломать». Не заботьтесь о межсерверных вещах, таких как syslog или nfs.
Хотя порт открыт по умолчанию в Solaris (как минимум 10+), rpcbind не разрешает удаленных клиентов, поэтому нет необходимости предпринимать какие-либо дополнительные действия для его защиты.
Если вы обнаружите, что вам необходимо разрешить удаленный клиентский доступ, вы можете включить поддержку tcp_wrappers для rpcbind и управлять доступом с помощью tcpwrappers. Команды для включения tcpwrappers:
svccfg -s svc: / network / rpc / bind setprop config / enable_tcpwrappers = true
svcadm обновить svc: / network / rpc / bind
Возможно полезная ссылка 1 предлагает отключить службу в /etc/hosts.deny:
portmap: ALL
Еще одна полезная ссылка говорит, что это не имеет значения.