proxmox i RPC RPCBIND

Proxmox ma domyślnie uruchomioną usługę RPC / RPCBIND na porcie 111 i słusznie uważana jest za niezabezpieczony protokół dlatego oczywiście nie powinien być dostępny dla całego świata. Ale jak wspomniałem w domyślnej instalacji proxmox usługa jest aktywna i domyślnie uruchomiona. Realnie patrząc na problem zawsze mamy kilka opcji:

  • całkowicie wyłączyć usługę (ponieważ jest ona mniej więcej potrzebna tylko dla połączeń NFS)
  • uniemożliwić dostęp przez zaporę proxmox
  • uniemożliwić dostęp przez zaporę sieciową, przed serwerem.

W mojej konfiguracji jakiej używam całkowite wyłączenie jest najlepszym wyborem, więc:

systemctl disable --now rpcbind.service rpcbind.socket

lub jak kto woli:

systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service

na koniec warto sprawdzić czy wprowadzone zmiany działają:

systemctl status rpcbind

powinniśmy otrzymać coś takiego:

rpcbind.service
Loaded: masked (Reason: Unit rpcbind.service is masked.)
Active: inactive (dead)