Для организации доступа к хранилищу выбрал NFS. До этого всегда использовал этот протокол внутри локальной сети и особо не забивал голову вопросами безопасности. На VPS хочу свести число факторов угрозы к минимуму.
После установки nfs-kernel-server количество прослушивающих портов выросло в разы. После выполнения инструкций по отключению v2 и v3 удалось десяток портов погасить. Но остался ряд портов, принадлежащих rpc.mountd. Несмотря на то, что согласно ману этот демон "implements the server side of the NFS MOUNT protocol, an NFS side protocol used by NFS version 2 [RFC1094] and NFS version 3 [RFC1813].", а для работы v4 якобы достаточно только порта 2049, я не смог нагуглить ничего про то, как отключить rpc.mountd.
Правильно я понимаю, что с этим ничего не поделать и проще экранировать эти порты от внешнего интернета? А для этого жестко прописать их в настройках?
Сeйчас картина такая:
Shell
sudo netstat -tulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.53:domain 0.0.0.0:* LISTEN 342/systemd-resolve
tcp 0 0 0.0.0.0:39003 0.0.0.0:* LISTEN 543/rpc.mountd
tcp 0 0 localhost:6010 0.0.0.0:* LISTEN 691/sshd
tcp 0 0 192.0.0.1:nfs 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:53187 0.0.0.0:* LISTEN 543/rpc.mountd
tcp 0 0 0.0.0.0:55555 0.0.0.0:* LISTEN 587/sshd: /usr/sbin
tcp6 0 0 ip6-localhost:6010 [::]:* LISTEN 691/sshd
tcp6 0 0 [::]:53857 [::]:* LISTEN 543/rpc.mountd
tcp6 0 0 [::]:39951 [::]:* LISTEN 543/rpc.mountd
tcp6 0 0 [::]:55555 [::]:* LISTEN 587/sshd: /usr/sbin
udp 0 0 0.0.0.0:42494 0.0.0.0:* 543/rpc.mountd
udp 0 0 0.0.0.0:59404 0.0.0.0:* 543/rpc.mountd
udp 0 0 127.0.0.53:domain 0.0.0.0:* 342/systemd-resolve
udp 0 0 0.0.0.0:44244 0.0.0.0:* -
udp6 0 0 [::]:44244 [::]:* -
udp6 0 0 [::]:40815 [::]:* 543/rpc.mountd
udp6 0 0 [::]:38857 [::]:* 543/rpc.mountd