security.debian.orgのufwファイアウォールルール

security.debian.orgのufwファイアウォールルール

ファイアウォール発信接続ルールのホワイトリストを管理する実用的な方法は何ですか?http://security.debian.org(デフォルトで発信するすべての接続をブロックするサーバーから)?

私が理解しているように、security.debian.orgは複数のミラーIPのCNAMEであり、ファイアウォールルールではIPアドレス(ホスト名ではない)のみを使用することをお勧めします。

今、私が見つけたファイアウォール(ufw)アウトバウンドルールにsecurity.debian.orgに新しく確認されたIPを追加するだけです。ただし、これは面倒で、自動 apt-get 更新を許可しません。

誰でもより良いアプローチを提案できますか?

PS:次のページはある程度関連していますが、解決策を提供していません。http://www.debian.org/doc/manuals/securing-debian-howto/ap-fw-security-update.en.html

答え1

実際の解決策は、すべてのDNS検証タスクを確認することです。すべてのアクティビティを記録するために(ローカル)DNSサーバー(制限されたシステムで使用)を取得できる場合は、security.debian.orgに対するすべてのクエリをgrepし、結果をIPリストと比較し、ファイアウォールを更新してInを防ぐできます。知的財産権が新しい場合。最初の接続試行には十分に高速ではない可能性がありますが、問題は発生しません。

もう1つのアプローチは、このFQDN(DNSサーバーの内部または内部)の静的検証を設定し、設定された/etc/hostsアドレスのみを許可することです。場合によっては、この FQDN を外部で確認し、必要に応じてローカル構成を更新します。

関連情報