我现在使用 Linux 才大约八个月。我主要了解正在发生的事情,但请在您回答时假设我远非专家。
我一直在尝试编写一个锁定脚本,该脚本可以在最初安装 Ubuntu 20.04.x Server LTS 后运行。到目前为止,一切都进展顺利。
我一直在使用文档CIS_Ubuntu_Linux_20.04.pdf。
这是由互联网安全中心编写的 CIS Ubuntu Linux 20.04 LTS 基准 v1.0.0 - 2020 年 7 月 21 日。 https://www.cisecurity.org/cis-benchmarks/
在本文档注释第 3.5.1.4 节中,我引用:
“确保环回流量已配置(自动)
描述:
配置环回接口以接受流量。配置所有其他接口以拒绝流向环回网络的流量(对于 IPv4 为 127.0.0.0/8,对于 IPv6 为::1/128)。
理由:
环回流量是在计算机上的进程之间生成的,通常对系统的运行至关重要。环回接口是唯一可以看到环回网络(IPv4 为 127.0.0.0/8,IPv6 为 ::1/128)流量的地方,所有其他接口都应忽略该网络上的流量,作为反欺骗措施。”
然后它继续说道,我引用:
“补救措施:
执行以下命令,实现环回规则:
ufw allow in on lo
ufw allow out from lo
ufw deny in from 127.0.0.0/8
ufw deny in from ::1
注意到我尝试过使用 sudo,并且我确实了解 ufw 是 iptables 等的前面,但是仅有的上面的以下命令失败:
ufw allow out from lo
随着错误“错误:源地址错误”。
我知道“lo”指的是环回地址。
我做错了什么或者这里有语法错误?
答案1
您的教程有错误。
从手册页:
ufw [--dry-run] [rule] [delete] [insert NUM] allow|deny|reject|limit [in|out[on INTERFACE]][log|log-all] [proto PROTOCOL][from ADDRESS[port PORT | app APPNAME ]] [to ADDRESS [port PORT | app APPNAME ]] [comment COMMENT]
使用:
ufw allow out on lo