通过白名单iptables限制ip规避漏洞-创新互联

前因：

创新互联建站专注于瑶海网站建设服务及定制，我们拥有丰富的企业做网站经验。热诚为您提供瑶海营销型网站建设，瑶海网站制作、瑶海网页设计、瑶海网站官网定制、微信小程序开发服务，打造瑶海网络公司原创品牌,更为您提供瑶海网站排名全网营销落地服务。

系统扫描出两个漏洞。1：数据库oracle漏洞。2：openssh漏洞。

linux操作系统 redhat4.7企业版，oracle11g

解决思路：

1 oracle补丁一般是收费的，而且漏洞对数据库其实没有太多影响，不建议打补丁。

2 升级openssh，但是操作系统版本是在太老了。客户要求升级ssh到最新8.3版本，且不说4.7的操作系统支不支持8.3的ssh，即使支持，升级ssh也需要依赖zlib、ssl、perl、gcc等。

后来在自己虚拟机上安装了redhat4.8，最终ssh8.3升级成功，另一篇文章介绍。

解决方法：

通过添加白名单，允许指定ip访问1521和22，规避扫描

编辑 vi /etc/sysconfig/iptables

#新建报名单
-N whitelist

#两个ip允许访问1521
-A INPUT -p tcp -s 73.XX.XX.137 --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 137.XX.XX.0/24 --dport 1521 -j ACCEPT #因为互联网访问汇总成网闸，是0-24的网段
#一个ip允许访问22
-A INPUT -p tcp -s 73.XX.XX7.137 --dport 22 -j ACCEPT

-A INPUT -p tcp -j whitelist
-A INPUT -p udp -j whitelist

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug 7 08:51:17 2020

保存后重启

service iptables restart

网站题目：通过白名单iptables限制ip规避漏洞-创新互联
分享URL：https://www.cdcxhl.com/article20/dsdojo.html

成都网站建设公司_创新互联，为您提供外贸建站、虚拟主机、App设计、云服务器、外贸网站建设、用户体验

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容