Ich habe in einem absoluten Kaufrausch mal wieder einen neuen Server für meine Webservices, Gamingserver und Co gemietet. Es war sofort klar, dass ich wieder einen proxmox hypervisor draufwerfe und da der neue Server so potent ist, fasse ich später alle Services darauf zusammen. 🙂
Da der Server diesesmal bei einem großen deutschen Provider gehostet wird, läuft der Scanner des BSI natürlich auch über diesen IP-Adresskreis und erinnerte mich direkt daran, dass ich etwas Serverhärtung durchführen sollte.

RPC, RPCBIND (Port 111)

rpc wird (zurecht) als unsicheres Protokoll eingestuft und sollte natürlich nicht für die gesamte Welt zur Verfügung stehen. In der Standardinstallation von proxmox ist der Dienst aber standardmäßig aktiv und läuft. Nun hat man ein paar Möglichkeiten,

  • man schaltet den Dienst komplett ab (weil dieser mehr oder weniger nur für NFS Anbinbung notwendig ist)
  • man verhindert den Zugriff via proxmox-Firewall
  • man verhindert den Zugriff via Netzwerkfirewall, hinter der der proxmox-Server hängt

In meinem Setup bietet sich das komplette Abschalten an, also:

systemctl disable --now rpcbind.service rpcbind.socket