---
format: markdown
title: rpcbind und seine Probleme auf öffentlichen Servern
toc: no
...

# rpcbind und seine Probleme auf öffentlichen Servern

Wenn rpcbind läuft oder manuell gestartet wurde, wird der Port 111 verwendet und kann für DDoS-Angriffe missbraucht werden.

- Prüfung:
    <code>rpcinfo -T udp -s 192.168.2.61</code>
- Ergebnis:
    Port 111 wird als "in Benutzung" angezeigt

# Vorgehen, um den Port 111 für tcp und udp abzustellen (nicht rebootfest)

- mit <code>systemctl status rpcbind</code> prüfen, ob der Prozess da ist
- mit <code>systemctl stop rpcbind</code> den Prozess anhalten
- mit <code>systemctl status rpcbind.socket</code> prüfen, ob dieser Prozesse da ist, ggfs. stoppen
- wenn <code>rpcbind</code> manuell gestartet wurde, die Prozessnummer zum Port 111 suchen mit:
<code>netstat -tulpn</code> und ggfs. mit </code>kill procnum</code> anhalten.
- mit <code>rpcinfo -T udp -s 192.168.2.61</code> prüfen, ob der Port 111 angefragt werden kann. Wenn ja, siehe oben, wenn nicht, alles gut, Rückmeldung ist: 
<code>rpcinfo: can't contact rpcbind: : RPC: Unable to receive; errno = Connection refused</code>

(Mich-Man 11.12.21)    
 
Ergänzung 27.12.21 efbeff  


# Vorgehen, um rpcbind Port 111 dauerhaft abzustellen 


Da auf Blech02 Port 111 wieder aktiv war, und erneuter CERT Report kam, hier die hoffentlich endgültige Stillegung:     
disable für das Verhindern rpcbind nach einem Boot,  
  --now für den sofortigen stop von rpcbind    
- <code>systemctl disable rpcbind --now</code>     
- <code>systemctl disable rpcbind.socket --now</code>    
- <code>systemctl disable rpcbind.target --now</code>  
  

- <code>systemctl status rpc*</code>   
sollte jetzt keine Ausgabe mehr bringen


Ergänzung 17.06.23 efbeff

Nach einem update Debian 11 auf 12 auf der apu berghofen war rpcbind leider wieder aktiv.  
Deshalb immer prüfen.