今天早上我收到 ISP 的一封信,说我的 Ubuntu 服务器 (13.10) 可以用作“开放 DNS 解析器”。他们提出了 3 种可能的解决方案来解决这个问题:
- 限制对递归服务器的访问
- 授权服务器不允许实现递归
- 可以使用防火墙来限制对服务器的访问
所以我做了一些研究并发现(通过http://www.openresolver.jp/en/),我的服务器确实存在漏洞。但问题是,根据我的行踪,我从未在机器上安装过 DNS 服务器。
读了更多内容后,我发现 DNSMasq 是默认安装的,人们建议对其进行保护,但我找不到任何配置文件。当我运行 时ps aux | grep dnsmasq
,我确实得到了:
server 21966 0.0 0.0 8172 952 pts/1 S+ 09:09 0:00 grep --color=auto dnsmasq
另外,我感觉我的 OpenVPN 服务可能与此有关。即使我禁用了 OpenVPN 服务,我的服务器仍然容易受到攻击。
如果有人能提供任何提示或建议,让我的服务器安全,并关闭或保护负责的服务,我将不胜感激。如果我无法解决这个问题,我的 ISP 就会断开我的网络连接。
答案1
如果您的服务器上没有为互联网上的其他用户提供任何服务,则只需sudo ufw enable
。您可以使用 查看防火墙的状态sudo ufw status
。这将使您的防火墙应用程序默认拒绝所有入站流量的策略。这还将阻止“打开 DNS 解析器”在没有控制的情况下与互联网通信
答案2
我可以通过取消选中路由器上默认打开的选项来解决这个问题。在我禁用“启用 DNS 中继”选项后,我通过了以下测试:http://openresolver.com/。