S-rpc: (0.08) (slink)(potato)
	SEGURIDAD: Desactivar servicios rpc y el portmapper


Cambios:
0.05 31.10.00 +mejoras
0.06 3.11.00  +activar cambios (potato), +retoques
0.07 20.1.01  errata sustituyo menciones a nfs-kernel-server por nfs-server
0.08 22.7.01  +portmap stop en vez de telinit



DESACTIVAR SERVICIOS CONTROLADOS POR EL RPC:

    'rpcinfo -p' muestra los servicios rpc disponibles

    Los servicios del portmap se arrancan como demonios en el arranque, en:
    /etc/rc*.d (que apunta a:) /etc/init.d/*

    Lo más sencillo es no instalar/desinstalar servicios que no se vayan a
     utilizar (por ejemplo NFS...)



DESACTIVAR EL PORTMAP (cerrando el puerto 111)

(potato:)
    El portmapper (/sbin/portmap) viene en el paquete netbase junto con otros
    programas necesarios (netstat, route, ipchains, inetd, ping, etc...)
    así que no podemos simplemente desinstalar netbase...


  MÉTODO-1:
    1) Desinstalar servicios que usan portmap
      Evitamos mensajes de error en el arranque (los puertos ya no se abren)

	dpkg --remove nfs-common		# Desinstalar nfs-common
	dpkg --remove nfs-server    		# Desinstalar nfs-server

    2) Hacer que no se ejecute /etc/init.d/portmap en los runlevel con:

	update-rc.d -f portmap remove
	    # -f = fuerza el borrado de symlinks aunque /etc/init/portmap exista


    NOTA: Si fuera necesario volver a crear los symlinks hacer:

	update-rc.d portmap start 41 S . start 10 0 6 .


    3) Activar cambios

	/etc/init.d/portmap stop

	    * O *

      mejor desde un terminal de texto, las X se cierran:

	telinit 1 			# Cambiamos a modo monousuario
	telinit 2			# Volvemos al runlevel normal



  MÉTODO-2:
    Borrar/renombrar el archivo /sbin/portmap y activar cambios


  POR DENTRO:
    El portmapper se lanza desde /etc/init.d/portmap
    La existencia de /sbin/portmap se testea en el inicio de ese script,
     antes de arrancarlo
    En Potato portmap es arrancado en los runlevel "S", 0 y 6



(slink:)
    El portmapper se lanza desde /etc/init.d/netbase

    La existencia de /sbin/portmap se testea en el inicio de ese script,
    antes de montar la protección antispoof y de arrancar "inetd", así que
    no podemos desinstalar netbase, ni eliminar nada de los runlevel,
    ni renombrar /sbin/portmap :-(


  MÉTODO-1: Quitar los permisos de ejecución a /sbin/portmap con el "mc"

	permisos originales		permisos tras el cambio
	rwxr-xr-x (755)		->	rw-r--r-- (644)

	Esto nos da un error en el arranque pero monta el antispoof y arranca
	 "inetd"


  MÉTODO-2: Método avanzado (solo si dominas los scripts bash)
    
	Borrar las lineas que mencionan "portmap" en /etc/init.d/netbase



MOTIVO:
    Todo puerto abierto en nuestra maquina es susceptible de ser atacado por
un intruso y por tanto un punto débil.


MAS AYUDA:
    man portmap
    man update-rc.d
    mi chuleta "arranque"