Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

第 3 章 保护服务

在组织中,监视活动的网络服务非常重要,这些服务对对于管理员和 Linux 系统管理员非常重要。Red Hat Enterprise Linux 8 支持许多网络服务器。当某一网络服务在计算机上运行时,守护进程会持续侦听网络端口上的连接。这些守护进程可能会导致任何类型的连接。因此,需要对服务进行安全保护,以防止发生任何错误。本章帮助您保护不同的服务。

3.1. 保护 rpcbind

rpcbind 服务是用于远程过程调用(RPC)服务的动态端口分配守护进程,如网络信息服务(NIS)和网络文件共享(NFS)。由于其身份验证机制较弱,并可为其控制的服务分配大量端口,因此保护 rpcbind 服务非常重要。

您可以通过对服务器添加防火墙规则来保护 rpcbind 服务。您可以限制对所有网络的访问,并使用防火墙规则定义特定的异常。

注意
  • NFSv2NFSv3 服务器需要 rpcbind 服务,在使用 rpcbind 服务时,应确保其安全。
  • NFSv4 不需要 rpcbind 服务来侦听网络。

流程

  • 以下是 firewalld 命令的示例:

    • 限制 TCP 连接,并只接受来自 192.168.0.0/24 主机 111 端口的包:

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
    • 限制 TCP 连接,并只接受来自本地主机 111 端口的包:

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
    • 限制 UDP 连接,并只接受来自 192.168.0.0/24 主机 111 端口的包:

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
      注意
      • 要使防火墙设置永久化,请在添加防火墙规则时使用 --permanent 选项。
      • 使用 # firewall-cmd --reload 命令重新加载防火墙以接受新规则。

验证步骤

  • 验证防火墙规则:

    # firewall-cmd --list-rich-rule
    rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop
    rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept
    rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop

其它资源