我正在寻找一种在网络中设置客户端的方法,到目前为止使用的是 TFTP。在摆弄服务器时,我能够使用类似的东西进行路径遍历GET asdf/../../../../windows/win.ini。对于这个和其他安全考虑我想切换到更安全的东西。据我所知,通过网络设置带有 PXE 的客户端始终使用 DHCP 和 TFTP 来下载映像。我已经看到了在 chrooted 环境中运行 TFTP 服务或过滤端口 69 上的传入流量以使其更安全的可能性。我不太喜欢这个,因为我认为应该有比停用服务或过滤流量更好的方法。完全摆脱 TFTP 也很好。Windows 下还有其他替代方案吗?
答案1
安全隐患是什么?
您是否担心 TFTP 服务器可能遭到黑客攻击,系统可能被滥用?那么chroot解决方案之类的东西将是最有意义的。
您是否担心 TFTP 服务器可能遭到黑客攻击,并且其分发的图像会被修改?那么最好的办法就是以没有文件系统权限的用户身份运行 TFTP 服务器进程,以修改这些图像文件。此外,许多 TFTP 服务器可以以只读模式启动。
或者您担心其他人会将 DHCP 服务器放入您的网络中,然后开始通过 TFTP 向您的客户端分发其自己的映像?那么您可能需要考虑使用 pixie boot 以外的其他解决方案。
您还谈到了过滤流量。我认为过滤是否有意义在很大程度上取决于您的情况。如果您的有效客户端数量有限,您可能可以创建类似可在 iptables 中连接的 IP 白名单之类的东西。否则,如果您有数百万个客户端(例如,ISP 分发调制解调器的 ROM),过滤将更加困难。