CentOS 6.x
IT 团队成员希望在可公开访问的服务器上运行 iperf3,以便从任何地方运行按需连接检查(对远程源 IP 不受限制)。
这会带来任何重大的安全问题吗?服务器本身与网络的其余部分隔离,我注意到其他人正在托管公共 iperf 服务器……但我仍然很谨慎。
假设它有点“安全”,我们应该实施哪些特定配置?例如,在单独的服务帐户下运行 iperf3 或在非标准端口上运行 iperf?
答案1
是的,这相当安全。人们经常这样做,而且他们往往是对网络安全问题敏感的人。
iperf3 是原始 iperf 软件的重写版,比原始软件包受到的审查更多,而且 iperf3 是在网络安全真正重要的时候创建的。iperf3 开发人员确实修复了错误,我相信 Fedora/EPEL 一个月前刚刚发布了 3.x 更新。
话虽如此,所有软件都有错误,公共服务器也会时不时受到攻击。您的 iperf 服务器应采用标准安全措施。补丁、防火墙、考虑用防火墙关闭公共网络的不必要端口、网络监控等。我使用了 EPEL 的软件包,因为我知道它们已经过 EPEL 社区的测试。
尽量避免以 root 身份运行网络守护程序。在 CentOS 6 上,我相信 RPM 会创建一个 iperf 用户并监听非特权端口。如果您特别喜欢冒险,可以尝试在 chrooted jail 或 Linux 或 docker 容器中运行此服务。
免责声明:iperf3 由我的 ESnet / Lawrence Berkeley 国家实验室的同事维护。我可以向你保证这些人非常注重安全。国家实验室的计算机防御非常必要。
答案2
- 您是否确定该服务器上没有敏感数据?
- 您是否 100% 确定它对您的其余服务器完全没有访问权限?
如果两个问题的答案都是肯定的,那么就可以了。