방화벽 발신 연결 규칙의 화이트리스트를 관리하는 실용적인 방법은 무엇입니까?http://security.debian.org(기본적으로 나가는 모든 연결을 차단하는 서버에서)?
내가 이해한 바에 따르면 security.debian.org는 여러 미러 IP에 대한 CNAME이며 방화벽 규칙에서는 IP 주소(호스트 이름이 아님)만 사용하는 것이 좋습니다.
지금은 내가 발견한 방화벽(ufw) 아웃바운드 규칙에 security.debian.org에 새로 확인된 IP를 추가하기만 하면 됩니다. 그러나 이는 번거롭고 자동 apt-get 업데이트를 허용하지 않습니다.
누구든지 더 나은 접근 방식을 제안할 수 있습니까?
추신: 다음 페이지가 어느 정도 관련이 있지만 해결책을 제공하지는 않습니다.http://www.debian.org/doc/manuals/securing-debian-howto/ap-fw-security-update.en.html
답변1
실제 해결책은 모든 DNS 확인 작업을 확인하는 것입니다. 모든 활동을 기록하기 위해 (로컬) DNS 서버(제한된 시스템에서 사용)를 얻을 수 있다면, security.debian.org에 대한 모든 쿼리를 grep하고, 결과를 IP 목록과 비교하고, 방화벽을 업데이트하여 In을 방지할 수 있습니다. 지적재산권이 새로운 경우. 첫 번째 연결 시도에는 속도가 충분히 빠르지 않을 수 있지만 문제가 발생하지는 않습니다.
또 다른 접근 방식은 이 FQDN(DNS 서버 내부 또는 내부)의 정적 확인을 구성 /etc/hosts하고 구성된 주소만 허용하는 것입니다. 때때로 이 FQDN을 외부에서 확인하고 필요한 경우 로컬 구성을 업데이트합니다.