Red Hat Training
A Red Hat training course is available for RHEL 8
第 11 章 保护网络服务
Red Hat Enterprise Linux 8 支持许多不同类型的网络服务器。这些服务器提供的网络服务可能会暴露系统的安全性,从而可能会面临各种类型的攻击,如拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、脚本漏洞攻击和缓冲区溢出攻击。
为增加系统的安全性,务必要监控您使用的活跃网络服务。例如,当网络服务在计算机上运行时,其守护进程会侦听网络端口的连接,这可能会降低系统的安全性。要限制暴露会受到攻击的网络,应关闭所有未使用的服务。
11.1. 保护 rpcbind 服务
rpcbind
服务是用于远程过程调用(RPC)服务的动态端口分配守护进程,如网络信息服务(NIS)和网络文件共享(NFS)。由于其身份验证机制较弱,并可为其控制的服务分配大量端口,因此保护 rpcbind
服务非常重要。
您可以通过限制访问所有网络并使用服务器上的防火墙规则来定义特定例外来保护 rpcbind
。
-
NFSv2
和NFSv3
服务器中需要rpcbind
服务。 -
NFSv4
不需要rpcbind
服务来侦听网络。
前提条件
-
已安装
rpcbind
软件包。 -
firewalld
软件包已安装,且服务正在运行。
流程
添加防火墙规则,例如:
限制 TCP 连接,并只接受来自
192.168.0.0/24
主机111
端口的包:# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
限制 TCP 连接,并只接受来自本地主机
111
端口的包:# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
限制 UDP 连接,并只接受来自
192.168.0.0/24
主机111
端口的包:# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
要使防火墙设置永久化,请在添加防火墙规则时使用
--permanent
选项。
重新载入防火墙以应用新规则:
# firewall-cmd --reload
验证步骤
列出防火墙规则:
# firewall-cmd --list-rich-rule rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop
其他资源
-
有关
只使用 NFSv4 的服务器
的详情,请参考配置 NFSv4 服务器部分。 - 使用和配置 firewalld