OUTPUT 的默认策略

OUTPUT 的默认策略

将 OUTPUT 策略设置为 ACCEPT 是否存在安全风险?

所讨论的机器是托管一些网站、git 存储库、jabber 服务器和邮件的 VPS。

答案1

“风险”在于机器上的任何进程都被允许发起网络连接并发送网络数据包。

这意味着服务器上没有任何东西可以阻止任何用户(无论合法与否),也没有任何进程可能尝试连接您自己的网络或整个互联网中的任何其他联网设备。

通常这不是什么大问题,首先限制传入流量被认为是远程系统的责任,并且您可能已经在网络的关键点上制定了防火墙策略。

将默认策略设置为其他任何内容(例如 REJECT),意味着您需要明确授权所有合法流量,这需要彻底了解您的系统以及服务器上运行的所有应用程序和依赖项。这通常意味着相当大的管理负担。

好处当然是可以减轻错误配置的应用程序的潜在影响,可能会使滥用系统变得更加困难,尽管在彻底受到攻击的系统上,攻击者总是可以简单地关闭软件防火墙……

从安全角度来看,这当然非常简单,任何未明确允许的内容都将被拒绝。这在对安全要求严格的环境中非常有意义,例如在专用防火墙上,在多用途服务器上这样做可能非常困难。

答案2

设置输出策略不会阻止入侵尝试,但它可能有助于抵御能够登录机器的恶意或毫无头绪的用户。它还可能有助于减轻攻击的影响,尤其是机器人攻击。

例如,你可能处于这样一种情况:你必须允许一些你并不真正信任的用户访问你的计算机 - 你认为他们不是恶意的,而是无能的。(比如我的一个客户,他想为他 16 岁的儿子建立一个单独的目录来托管他自己的网站,他必需的他的儿子有 ssh 访问权限。或者你的老板坚持让你给新实习生 ssh 访问权限。或者......)。他们没有 root 访问权限(而且他们不够聪明,无法使用一些本地用户获取 root 漏洞),因此他们实际上无法造成太大的破坏,但阻止所有输出流量至少可以防止他们安装 TeamViewer 或类似的软件,这些软件会从内部打开连接以允许其他 IP 连接。

此外,如果您的服务器以某种方式成为僵尸网络的一部分,丢弃出站数据包可防止机器人从您的服务器发送垃圾邮件和 DDOS 攻击。当然,当机器人安装时,损害已经造成,但至少您无需支付带宽费用。如果您要从您的服务器发送邮件,请使用专用邮件主机并允许该主机的 25 端口仅有的;机器人通常不会聪明到通过这个邮件主机发送垃圾邮件。

我会记录输出并拒绝它,并每周检查一次日志(或每天一次,或使用监控程序检查日志文件的大小增加,或...取决于您的要求)。这可以帮助您 a) 找出您应该解除阻止的内容,以防应用程序有被阻止的有效请求,以及 b) 如果您在 OUTPUT 日志中看到大量断开的连接,则可确定您是否已被黑客入侵。

相关内容