我正在为 Linux 上的服务器程序设计安全策略。我希望保留一个 TCP 端口号(例如 8888),仅供该程序的可执行文件监听。然后,我可以将程序文件转为 nosudo 用户的 rx,并只允许端口 8888 进入,防火墙上不允许任何端口出站。(也可能将 SSH 转为允许)。木马无法欺骗该程序并劫持端口 8888,或自动连接到黑客的服务器。
这样三者合一,黑客除了程序本身的漏洞外,没有其他可攻击的漏洞。最近有消息称,华硕服务器被黑客入侵,并通过虚假更新将木马安装到多台华硕电脑上,进一步证明了这一政策的必要性。
但是我还没有找到像 ufw 或 SELinux 这样的应用程序来强制执行 TCP 端口保留策略。有办法实现吗?