Debian 机器在端口 80 和 443 上运行 Web 服务,并且 iptables 被配置为仅允许来自白名单 IP 地址的 Web 流量。
第二个 Debian 机器(未列入白名单)正在使用 nmap 对 Web 服务器运行端口扫描,并正确显示所有端口都已关闭,但是,nmap 扫描结果有时包括以下内容:
sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, X.X.X.X, 16) => Operation not permitted
Offending packet: TCP X.X.X.X:53268 > X.X.X.X:443 S ttl=43 id=46849 iplen=44 seq=955188003 win=1024 <mss 1460>
扫描结果中从未提及端口 80 - 只有端口 443。
为什么端口 443(而不是端口 80)暴露给 nmap?
Debian 系统上的路由表是如何填充的?我知道ip route可以使用命令系列手动操作路由表,但是路由表最初是如何在系统启动时填充的,以及在什么情况下更新路由表?
我rsync --rsh "ssh"用来推镜子。在镜像上设置必要的文件系统权限需要在镜像rsync上以 root 权限运行。但是,镜像文件位于单个层次结构下,我希望rsync只允许访问该层次结构,而不允许访问镜像上的其他任何内容。
我将如何允许rsync设置权限同时限制访问?
是否可能有一些组合rsync --rsh "???"和command="???"选项authorized_keys可以解决问题?该rsync命令已经在使用专用键authorized_keys。
或者有没有办法rsync以非特权用户身份连接,被监禁,然后获得设置文件系统权限的访问权限?监禁进程很容易,但允许远程rsync获得权限似乎很困难,并且允许被监禁的进程获得任何权限似乎有风险。(当然,现在这个过程有根,任何程度的限制都是一种改进,即使只是为了减轻事故。)
我管理着许多 Debian 服务器,通常会跟踪 Debian 稳定存储库,但偶尔会从 Debian 测试存储库或第三方来源安装。出于审计目的,在每台机器上,对于当前安装的所有软件包,我想将已安装的软件包版本与特定存储库(即 Debian 稳定存储库)中的软件包版本进行比较。
使用 aptitude 搜索模式,我可以识别 Debian 稳定存储库中可用或不可用的已安装软件包:
aptitude search "?installed?origin(Debian)?archive(stable)"
aptitude search "?installed?not(?origin(Debian)?archive(stable))"
但是对于 Debian 稳定存储库中可用的软件包,我无法确定安装的版本是否与存储库中的版本匹配。
我想可能可以使用 apt pinning 强制降级:
Package: *
Pin: release n=stable, o=Debian
Pin-Priority: 1001
然后使用空运行模式检查哪些包会受到影响:
apt-get update
apt-get --dry-run upgrade
但是要降低使用 apt pinning 超过 1000 个的风险,需要对 apt 进行单独配置,这似乎比需要的复杂得多。
未来的一种可能性是建立一个私有存储库,并且只从 Debian 稳定存储库或私有存储库安装。然后,如果可以从私有存储库获得一个包,则可以假设(出于审计目的)它没有从 Debian 稳定存储库安装。只要从不手动安装软件包,它就可以很好地工作。但是对于一个简单的命令来说,设置一个私有存储库似乎有点矫枉过正。
有没有更好的方法来审核包版本?或者更好的是,审计包签名?