ファイアウォール発信接続ルールのホワイトリストを管理する実用的な方法は何ですか?http://security.debian.org(デフォルトで発信するすべての接続をブロックするサーバーから)?
私が理解しているように、security.debian.orgは複数のミラーIPのCNAMEであり、ファイアウォールルールではIPアドレス(ホスト名ではない)のみを使用することをお勧めします。
今、私が見つけたファイアウォール(ufw)アウトバウンドルールにsecurity.debian.orgに新しく確認されたIPを追加するだけです。ただし、これは面倒で、自動 apt-get 更新を許可しません。
誰でもより良いアプローチを提案できますか?
PS:次のページはある程度関連していますが、解決策を提供していません。http://www.debian.org/doc/manuals/securing-debian-howto/ap-fw-security-update.en.html
答え1
実際の解決策は、すべてのDNS検証タスクを確認することです。すべてのアクティビティを記録するために(ローカル)DNSサーバー(制限されたシステムで使用)を取得できる場合は、security.debian.orgに対するすべてのクエリをgrepし、結果をIPリストと比較し、ファイアウォールを更新してInを防ぐできます。知的財産権が新しい場合。最初の接続試行には十分に高速ではない可能性がありますが、問題は発生しません。
もう1つのアプローチは、このFQDN(DNSサーバーの内部または内部)の静的検証を設定し、設定された/etc/hosts
アドレスのみを許可することです。場合によっては、この FQDN を外部で確認し、必要に応じてローカル構成を更新します。