Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    rpcbind

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    rpcbind, Proxmox Виртуальная Среда
     
    Thomas Jagoditsch
    Guest
    #1
    0
    29.02.2024 06:44:00
    В одном из наших (ленивых и нечастых) сканирований безопасности мы наткнулись на работающий rpcbind. Похоже, он был установлен где-то около 8.0.4. При попытке удалить его нам сообщают, что pve от него зависит: Код: Будут УДАЛЕНЫ следующие пакеты:
     libpve-guest-common-perl* libpve-storage-perl* nfs-common* proxmox-ve* pve-container* pve-ha-manager* pve-manager* qemu-server* rpcbind*
    В каком контексте нужен rpc? Можем ли мы его заблокировать через iptables и/или hosts.allow? Нужен ли нам доступ к rpc с других узлов в кластере? Заранее спасибо.
     
     
     
    ubu
    Guest
    #2
    0
    09.06.2024 09:50:00
    Если вы не используете это (без NFS), просто отключите rpcbind: Код: systemctl disable --now rpcbind.service rpcbind.socket
     
     
     
    justinclift
    Guest
    #3
    0
    09.06.2024 05:50:00
    @Thomas Jagoditsch Как продвигается дело? Спрашиваю, потому что я сейчас работаю над процессом укрепления безопасности для двухузловой кластера, обращенного в интернет, и rpcbind по умолчанию, похоже, привязан к udp:111 на обоих наших узлах. Мы пока остановили и отключили сервис (то есть "systemctl disable rpcbind"), и, кажется, ничего сразу не испортилось. Но посмотрим, как пойдет дело в ближайшие дни, когда мы будем дорабатывать процесс укрепления безопасности.
     
     
     
    Thomas Jagoditsch
    Guest
    #4
    0
    09.06.2024 06:39:00
    Привет, justinclift. Мы по сути ограничили RPC до localhost. Сделали это, добавив в /etc/systemd/system/rpcbind.socket.d/override.conf:

    Код: [Socket]
    ListenStream=
    ListenDatagram=
    ListenStream=127.0.0.1:111
    ListenDatagram=127.0.0.1:111
    ListenStream=[::1]:111
    ListenDatagram=[::1]:111

    Не помню, зачем мы сделали это именно так, но, кажется, другие способы (изменение файлов конфигурации RPC или файла сервиса...) либо не сработали, либо мы хотели быть уверенными, что будущие обновления не испортят наши изменения. Это используется в продакшене на нашем кластере с начала марта, и пока никаких проблем не было.

    wbr,
    tja...
     
     
     
    justinclift
    Guest
    #5
    0
    09.06.2024 08:12:00
    Спасибо большое, полезная информация. Пока я копался в форумах Proxmox, оказалось, что rpcbind используется исключительно для NFS-хранилища, поэтому я пока замаскировал сервис, чтобы он даже не мог запуститься. Если вдруг понадобится, то связывание его с localhost (или с внутренним сетевым интерфейсом кластера) скорее всего будет правильным решением.
     
     
     
    justinclift
    Guest
    #6
    0
    09.06.2024 10:07:00
    Спасибо @ubu. Пока что я маскирую это на этих тестовых боксах. Не похоже, что это придётся менять, так как мы NFS не используем.
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры