Networking
重新啟動對 Internet 開放的伺服器是否安全?
具體來說
我在執行 CentOS 的伺服器上定義了一個 iptables 規則集。我能保證/我能保證/我如何保證當網路上線時(無論是在機器啟動時,還是在重新啟動網路服務後),iptables 規則集已經被應用(如果 iptables 無法啟動或未能應用規則集網路介面將無法啟動)?
(我知道這是一個菜鳥問題,但我從來沒有在偽裝的 DHCP NAT 和防火牆後面的可信網路上執行伺服器,所以……期待菜鳥的菜鳥問題。)
開箱即用,您可以保證 iptables 將按照啟動腳本的順序在界面出現之前啟動。查看每個啟動腳本中的“chkconfig”行,您將看到它在活動時“打開”的執行級別、啟動順序和停止順序。
如果 iptables 規則集未正確應用(或根本沒有),您無法保證不會啟動該界面。
範例:
chkconfig: 2345 08 92
該行聲明相關服務將在執行級別 2、3、4 和 5 中處於活動狀態,並且將從 8 開始並在 92 停止。具有更大“開始”值的任何內容將僅在此腳本完成後啟動,但此腳本出錯被視為完成,不會阻止下游腳本執行。
請注意,此答案適用於 CentOS 6 及更早版本,不一定適用於 CentOS 7。我個人對 7 的研究不足以回答 7 這個問題。