管理防火墙传出连接规则白名单的实用方法是什么http://security.debian.org(在默认情况下阻止所有传出连接的服务器上)?
我的理解是 security.debian.org 是多个镜像 IP 的 CNAME,建议在防火墙规则中仅使用 IP 地址(而不是主机名)。
目前,我只需将新解析到 security.debian.org 的 IP 添加到我发现的防火墙 (ufw) 出站规则中即可。然而,这很麻烦,并且不允许自动 apt-get 更新。
有人能建议更好的方法吗?
PS:我发现以下页面有些相关,但没有提供解决方案:http://www.debian.org/doc/manuals/securing-debian-howto/ap-fw-security-update.en.html
答案1
真正的解决方案是检查所有 DNS 解析操作。如果您可以使(本地)DNS 服务器(由受限系统使用)记录所有活动,那么您可以 grep 对 security.debian.org 的所有查询,将结果与您的 IP 列表进行比较,并更新防火墙,以防万一知识产权是新的。对于第一次连接尝试来说,这可能不够快,但不会引起问题。
另一种方法是配置此 FQDN 的静态解析(在 DNS 服务器中/etc/hosts或在 DNS 服务器中)并仅允许配置的地址。您有时会在外部解析此 FQDN,并在必要时更新本地配置。