苍穹服务器端口安全加固
1 业务背景
客户对苍穹系统进行安全扫描,发现中间件、数据库等服务有安全漏洞,需进行安全加固。
2 解决方案
打开linux的防火墙,对所有苍穹主机进行IP白名单设置,允许苍穹所有主机之间互相访问,限制非苍穹主机访问。
3 具体实践
使用以下命令修改,在每台苍穹主机上执行
#!/bin/bash #请详细阅读 #防火墙启动后才能使用该脚步 systemctl start firewalld #因为启动防火墙可能会导致无法访问的风险,所以需要提前发苍穹停机维护声明 #修改后请仔细验证苍穹可用性 #注意还要放行gpaas、nginx端口,主要用于用户访问使用 #如果需要快速恢复,关闭防火墙即可 systemctl stop firewalld #验证苍穹可用成功后,设置防火墙开机自动启动 systemctl enable firewalld #k8s增加加下面规则 #k8s安装时pod_CIDR,在高级配置里面有pod地址信息,默认是172.27.0.0/16 firewall-cmd --permanent --zone=trusted --add-source=172.27.0.0/16 #k8s安装时svc_CIDR,在高级配置里面有svc地址信息,默认是172.29.0.0/16 firewall-cmd --permanent --zone=trusted --add-source=172.29.0.0/16 #苍穹所有机器的IP自行添加替换,机器信息和数量以项目实际地址信息为准 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.212 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.213 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.173 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.93 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.37 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.194 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.247 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.89 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.90 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.49 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.50 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.80 firewall-cmd --permanent --zone=trusted --add-source=172.28.1.147 #使防火墙规则生效 firewall-cmd --reload |
运行后效果是苍穹所有服务器不允许其他非苍穹主机访问
对于nginx机器需额外开放苍穹和mc的访问端口(如果有SSL加密,可增加443端口):
用户需要访问苍穹和MC地址,默认80、8090
#端口自行替换 firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=8090/tcp --permanent |
对于gpaas机器需额外开放端口进行访问
#端口自行替换 firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=443/tcp --permanent |
对于有安装keepalived的主机(如nginx、MDD、K8S),如果配置上面规则后若出现脑裂(客户交换机禁用了组播模式),可以修改keepalived模式变成单播,如果还不行可以添加如下规则: 【可选项】
firewall-cmd --add-rich-rule='rule protocol value="vrrp" accept' --permanent |
4 防火墙删除规则命令示例
删除端口示例:firewall-cmd --zone=public --remove-port=8090/tcp --permanent
删除地址信任示例: firewall-cmd --permanent --zone=trusted --remove-source=172.28.1.212
苍穹服务器端口安全加固
本文2024-09-23 01:14:06发表“云苍穹知识”栏目。
本文链接:https://wenku.my7c.com/article/kingdee-cangqiong-144644.html
相关文章
- 鼎捷EAI整合規範文件V3.1.07 (集團).pdf
- 鼎捷OpenAPI應用場景說明_基礎資料.pdf
- 鼎捷OpenAPI應用場景說明_財務管理.pdf
- 鼎捷T100 API設計器使用手冊T100 APIDesigner(V1.0).docx
- 鼎新e-GoB2雲端ERP B2 線上課程E6-2應付票據整批郵寄 領取.pdf
- 鼎新e-GoB2雲端ERP B2 線上課程A4使用者建立權限設定.pdf
- 鼎新e-GoB2雲端ERP B2 線上課程C3會計開帳與會計傳票.pdf
- 鼎新e-GoB2雲端ERP B2 線上課程E6-1應付票據.pdf
- 鼎新e-GoB2雲端ERP B2 線上課程A5-1進銷存參數設定(初階篇).pdf
- 鼎新e-GoB2雲端ERP B2 線上課程D2帳款開帳與票據開帳.pdf
