Security: Muss Checkmk den Portmapper rpcbind installieren? (Debian/Ubuntu)

gregor.hoffleit · July 19, 2023, 11:23am

Checkmk hat (mindestens unter Debian/Ubuntu) eine Dependency zu rpcbind.

Das bedeutet, dass nach der Installation von Checkmk auf einem Server automatisch der rpcbind-Portmapper läuft und weltweit offen auf Port 111 horcht (so er nicht per Firewall geblockt wird).

Ein offener Portmapper kann u.U. für DDoS-Angriffe gegen Dritte verwendet werden. Info des BSI: BSI - CERT-Bund Reports: HOWTOs: Offene Portmapper-Dienste

Ist diese Dependency zu rpcbind notwendig? Sollte dann nicht zumindest in der Dokumentation darauf hingewiesen werden, dass der Portmapper aus Sicherheitsgründen abgeschaltet werden sollte, wenn er nicht benötigt wird? (“systemctl disable rpcbind” usw.)

JPH · August 25, 2023, 10:20am

Hallo CMK Team,

gibt es dazu eine Info?
Auch in den 2.2.0p8 RPM Paket ist diese Abhängigkeit.
Warum wird RPCBIND benötigt und warum wird dazu noch die Firewall verändert?

netstat -anlp | grep -w -e 111 | grep LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd
tcp6 0 0 :::111 :::* LISTEN 1/systemd

systemctl status rpcbind
● rpcbind.service - RPC Bind
Loaded: loaded (/usr/lib/systemd/system/rpcbind.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2023-08-24 18:42:05 CEST; 17h ago
Docs: man:rpcbind(8)
Main PID: 1390 (rpcbind)
Tasks: 1 (limit: 1053584)
Memory: 1.7M
CGroup: /system.slice/rpcbind.service
└─1390 /usr/bin/rpcbind -w -f

rpm -qpR check-mk-enterprise-2.2.0p8-el8-38.x86_64.rpm|grep rpcbind
rpcbind

firewall-cmd --list-all|grep 111
ports: 111/tcp 111/udp …

Ist ein “systemctl disable rpcbind” emfohlen?
Bzw,. warum wird es benötigt? Ich habe auch keine Hinweise in der Doku gefunden.

Vielen Dank
Beste Grüße

mschlenker · August 25, 2023, 2:39pm

Wir untersuchen, wie die Abhängigkeit zu rpcbind vor sechs Jahren in Checkmk wanderte. Port 111 zu blocken, sollte keinen Einfluss auf den Betrieb von Checkmk haben.

JPH · August 25, 2023, 2:56pm

Vielen Dank für die Info!
Aber ist das Ausschalten: “systemctl disable rpcbind” auch ok?

mschlenker · August 26, 2023, 5:33am

Müsste OK sein: Die Kollegen werden kommende Woche ermitteln, ob es NFS betreffende aktive Checks gibt, die rpcbind benötigen. Falls ja, passen wir die Dokumentation entsprechend an. Ich gehe aber davon aus, dass in einem solchen Fall künftig rpcbind nicht mehr als Abhängigkeit installiert wird, sondern Nachinstallation erklärt wird, falls für entsprechende Checks nötig.

JPH · August 28, 2023, 7:51am

Hallo Matthias,
vielen Dank! Die Ports habe ich nun gelöscht in der FW und den Dienst ausgeschalten. Wenn es eine nicht benötigte Abhängigkeit gibt in dem RPM, wie “rpcbind”, bitte prüft dann doch alle Abhängigkeiten, damit wir sicher sind dass auch alle benötigt werden.

rpm -qpR check-mk-enterprise-2.2.0p8-el8-38.x86_64.rpm|sort -u
bind-utils
/bin/sh
binutils
cpio
cronie
curl
dialog
expat
freeradius-utils
glib2
graphviz
graphviz-gd
httpd
libcap
libevent
libffi
libgsf
libpcap
libpq
libtool-ltdl
logrotate
pango
perl-IO-Zlib
perl-Locale-Maketext-Simple
perl-Net-Ping
php
php-cli
php-gd
php-json
php-mbstring
php-pdo
php-xml
poppler-utils
readline
rpcbind
rpm-build
rpmlib(CompressedFileNames) <= 3.0.4-1
rpmlib(FileCaps) <= 4.6.1-1
rpmlib(FileDigests) <= 4.6.0-1
rpmlib(PayloadFilesHavePrefix) <= 4.0-1
rpmlib(PayloadIsXz) <= 5.2-1
rsync
time
traceroute
uuid
xinetd

Vielen Dank

mschlenker · August 28, 2023, 8:12am

There is a – probably rarely used – check_rpc that introduces this dependency. We will remove the dependency and hint on manual installation for users that actually use this check.

system · August 27, 2024, 8:12am

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.