内容纲要
概要描述
本文提供一种修复安全扫描漏洞的解决方案,只要针对的是特定端口的漏洞;
详细说明
由于客户环境经常会涉及漏洞扫描,漏洞的分类繁多,难以做到及时对漏洞进行针对性修复,对于很多端口,只涉及集群内通信,禁止从集群外访问即可达到修复目的。
开启iptables以及清理之前的默认规则(如果之前有配置,请忽略这步)
若之前没有开启过, 需要先开启iptables
service iptables start
清除filter表里INPUT链的所有默认规则
iptables -t filter -F INPUT
备份与恢复
修改 iptables 之前,集群内每个节点先执行备份:
iptables-save >/root/iptables.bak
如果需要恢复,集群内每个节点执行:
iptables-restore /root/iptables.bak
添加路由
对漏洞端口做策略,下面以 2181 端口为例
- 禁止所有ip地址访问2181
iptables -I INPUT -p tcp --dport 2181 -j DROP
- 允许172.22.39.7,172.22.39.8,172.22.39.9(集群中的所有节点:8180页面>管理>节点 页面中的所有节点ip,包括本机)访问2181,ip 以逗号隔开
另外需要注意的是这里的 ip 必须包含 localhost 以及 127.0.0.1
iptables -I INPUT -s localhost,127.0.0.1,172.22.39.7,172.22.39.8,172.22.39.9 -ptcp --dport 2181 -j ACCEPT
保存及重启iptables
保存iptables
service iptables save
重启防火墙
service iptables restart