温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

通过白名单iptables限制ip规避漏洞

发布时间:2020-08-10 15:07:14 来源:ITPUB博客 阅读:218 作者:家有ORACLE老公 栏目:建站服务器

前因:

系统扫描出两个漏洞。1:数据库oracle漏洞。2:openssh漏洞。

linux操作系统 redhat4.7企业版,oracle11g

解决思路:

1 oracle补丁一般是收费的,而且漏洞对数据库其实没有太多影响,不建议打补丁。

2 升级openssh,但是操作系统版本是在太老了。客户要求升级ssh到最新8.3版本,且不说4.7的操作系统支不支持8.3的ssh,即使支持,升级ssh也需要依赖zlib、ssl、perl、gcc等。

后来在自己虚拟机上安装了redhat4.8,最终ssh8.3升级成功,另一篇文章介绍。

解决方法:

通过添加白名单,允许指定ip访问1521和22,规避扫描

编辑 vi /etc/sysconfig/iptables

#新建报名单
-N whitelist

#两个ip允许访问1521
-A INPUT -p tcp -s 73.XX.XX.137  --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 137.XX.XX.0/24 --dport 1521 -j ACCEPT            #因为互联网访问汇总成网闸,是0-24的网段
#一个ip允许访问22
-A INPUT -p tcp -s 73.XX.XX7.137  --dport 22 -j ACCEPT

-A INPUT -p tcp -j whitelist
-A INPUT -p udp -j whitelist

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug  7 08:51:17 2020

保存后重启

service iptables restart

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI