我正在尝试加强 Linux Web 服务器的安全性。它有一个带有默认规则集的硬件防火墙,我注意到两条令我担心的规则:
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
这些是服务器提供商为 Linux 网络和邮件服务器设置的默认规则的一部分,但我对此表示质疑,因为如果攻击者只是使用 UDP 协议并从其终端的端口 53 或端口 123 执行此操作,它似乎允许连接到服务器上的所有端口。
我尝试研究它,但仍然感到困惑。删除这些规则是否安全(这会影响服务器的运行吗)或者如果保留这些规则,是否会使服务器非常脆弱,因为它显然允许 UDP 连接到服务器上的所有端口?
答案1
UDP 53 用于 DNS,UDP 123 用于 NTP。我认为,如果您不需要从外部访问这些服务,则删除这些是安全的。
我甚至建议阻止端口,123因为旧的 NTP 服务器存在问题,有时会导致它们被用于 DDoS 攻击。
答案2
大多数防火墙规则都有其应用的方向,这两条规则可能适用于离开的数据包而不是进入的数据包。因此,它们可能只允许出站 DNS(端口 53)和 NTP(端口 123)数据包。
大多数防火墙会跟踪一些状态信息,然后允许响应数据包从相同的远程 IP:端口返回到本地 IP:端口。
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321