CentOS7 配置防火墙规则应对漏洞扫描
1、背景
我用六台虚拟机搭建了一套 Rancher 环境,用于团队开发、测试使用,但是由于版本较老,被安全人员扫出一些漏洞,升级 Rancher 又太麻烦,而且怕万一出问题影响使用,所以只能采用防火墙白名单模式曲线救国了。
2、环境
主机信息:
192.168.10.11 - 192.168.10.16 是 Rancher 集群所用六台主机 ip 地址
192.168.10.10 是我个人主机 ip 地址,需要访问 Rancher,所以需要单独添加规则
192.168.10.20 - 192.168.10.100 是团队开发人员的主机 ip 地址,需要访问 Rancher 上部署的服务端口信息:
Rancher 默认使用 30000 - 32767 作为 NodePod 服务对外映射的端口范围
3、防火墙配置
- 开启防火墙服务
systemctl start firewalld systemctl enable firewalld
- 设置拦截规则为全部拒绝
firewall-cmd --permanent --zone=public --set-target=DROP
- 放行 30000 - 32767 范围端口
firewall-cmd --permanent --zone=public --add-port=30000-32767/tcp
- 放行集群间所有端口
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.11 accept' firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.12 accept' firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.13 accept' firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.14 accept' firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.15 accept' firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.16 accept'
- 放行我本机 ip 可以访问 Rancher 的 8080 和 8443 服务
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.10 port protocol=tcp port=8080 accept' firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.10 port protocol=tcp port=8443 accept'
- 加载配置使生效(不执行则规则不生效)
firewall-cmd --reload
4、效果
在配置防火墙规则前,通过绿盟漏洞扫描工具扫出以下端口的漏洞信息:
端口 | 漏洞信息 |
---|---|
80 | nginx 安全漏洞(CVE-2021-23017) |
443 | nginx 安全漏洞(CVE-2021-23017) |
2379 | SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 |
2380 | SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 |
8181 | nginx 安全漏洞(CVE-2021-23017) |
10257 | SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 |
10259 | SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 |
20048 | 目标主机showmount -e信息泄露(CVE-1999-0554) |
防火墙规则开启后,30000 以上端口的容器服务不受影响,同事可以正常使用。
Rancher 集群之间不受影响,集群之间所有节点互相无限制。
我访问 Rancher UI 也不受影响,因为我单独把 8080 和 8443 端口对我 ip 放行。
至此,算是暂时可以避免被漏洞扫描出中高危。
CentOS7 配置防火墙规则应对漏洞扫描相关推荐
- Deepin/Linux系统使用GUFW可视化管理、配置防火墙规则
对于没有接触过 Linux 的人,配置防火墙难于上青天,即便是缙哥哥这样玩过一丢丢的,也不喜欢用命令控制.所以,今天就给大家带来一款Deepin/Linux系统可视化管理.配置防火墙规则的软件--GU ...
- 阿里云配置防火墙规则
装了个mysql 实在是没时间折腾,黑客你要来黑便是. 又忘记了怎么配置防火墙规则了.记录一下. 1:登陆阿里云控制台. 2:选择安全组,和地域,很重要,不然刷不出来列表 3:配置规则 4: 转载于: ...
- CentOS7:配置防火墙
简介:CentOS7中的防火墙通常用于端口放行,我们可以通过配置规则,让CentOS7为我们安装的程序放行,很常见的比如80,8080,3306等,同时可以通过设置防火墙对一些端口的访问阻拦,比如勒索 ...
- BlackIce Server Protect用户防火墙规则修改漏洞
受影响系统: ISS BlackIce Server Protection 3.6 cno ISS BlackIce Server Protection 3.6 cch ISS BlackIce Se ...
- CentOS7配置防火墙
使用命令的方式配置 ##Add firewall-cmd --permanent --zone=public --add-port=80/tcp ##Remove firewall-cmd --per ...
- Centos7,配置防火墙,开启端口
此博客转载于:http://blog.csdn.net/u013410747/article/details/61696178 1.centos7版本对防火墙进行 加强,不再使用原来的iptables ...
- Centos7 Docker环境部署系统漏洞扫描工具Nessus
docker部署nessus pull nessus镜像 docker pull tenableofficial/nessus 启动docker镜像,同时配置用户名和口令.不启动自动更新 docker ...
- 详解Linux上iptables配置命令及常见的生产环境防火墙规则
本文出自:https://www.toutiao.com/a6743215775915442692/ http://www.safebase.cn/article-259542-1.html 摘要: ...
- linux配置防火墙,开启端口
linux配置防火墙,开启端口 Centos7,配置防火墙,开启端口 1.查看已开放的端口(默认不开放任何端口) firewall-cmd --list-ports 2.开启80端口 firewall ...
- 20155216 Exp6 信息搜集与漏洞扫描
Exp6 信息搜集与漏洞扫描 实践内容 信息搜集 whois查询 使用whois查询域名注册信息,查询百度服务器(进行whois查询时去掉www等前缀,因为注册域名时通常会注册一个上层域名,子域名由自 ...
最新文章
- ejs模板引擎的使用
- Fedora 15 16 17 18 20无线网卡驱动安装
- oracle的高水位和低水位实验,Oracle 高水位问题
- 不知道新三字经是啥?男默女泪的扫盲科普帖来了
- php 值是否在数组里面,php怎么判断某值在不在数组中
- JVM优化之系统CPU飙高和GC频繁
- NumPy Beginner's Guide 2e 带注释源码 二、NumPy 基础入门
- Qt Creator 设置默认编码格式为 UTF-8
- 对于java中接口的作用与理解
- java链式语法_javaScript链式调用原理以及加法实现
- 阿里云解决方案架构师徐翔:云上安全建设实战
- mysql 编译安装详解_MySQL编译安装详解
- ae效果英文版翻译对照表_AE特效菜单中英文对照
- 教你自定义百度网盘分享密码 提取码
- Gcode命令【转】
- python pytz_关于python:找不到符合pytz要求的版本
- CMD查看端口和进程
- 矩阵列的线性组合公式
- ubuntu启动报错 hardware error cpu 0 machine check 0 Bank 6、ACPI BIOS Error (bug)Could not resolve symbol
- BZOJ4372: 烁烁的游戏