使用 CIS 的 Ubuntu 20.04.x 錯誤 確保配置了環回流量 UFW 安全配置
我現在才使用 Linux 大約八個月。我主要對正在發生的事情有所了解,但是當您回答時,請假設我遠非專家。
我一直在嘗試編寫一個可以在 Ubuntu 20.04.x Server LTS 初始安裝後執行的鎖定腳本。到目前為止,一切都很好。
我一直在使用文件 CIS_Ubuntu_Linux_20.04.pdf。
這是由網際網路安全中心編寫的 CIS Ubuntu Linux 20.04 LTS Benchmark v1.0.0 - 07-21-2020。 https://www.cisecurity.org/cis-benchmarks/
在本文件註釋第 3.5.1.4 節中,我引用:
“確保配置環回流量(自動)
描述:
配置環回介面以接受流量。將所有其他介面配置為拒絕到環回網路的流量(IPv4 為 127.0.0.0/8,IPv6 為 ::1/128)。
理由:
環回流量是在機器上的程序之間生成的,通常對系統的執行至關重要。環回介面是唯一可以看到環回網路(IPv4 為 127.0.0.0/8,IPv6 為 ::1/128)流量的地方,所有其他介面都應忽略此網路上的流量作為反欺騙措施。”
然後它繼續說,我引用:
“整治:
執行以下命令實現環回規則:
ufw allow in on lo ufw allow out from lo ufw deny in from 127.0.0.0/8 ufw deny in from ::1注意到我已經嘗試過使用 sudo,並且我知道 ufw 是 iptables 等的前端,但只有上面的以下命令失敗:
ufw allow out from lo出現錯誤**‘ERROR: Bad source address’**。
我知道“lo”是指環回地址。
我做錯了什麼還是這裡有語法錯誤?
您的教程有錯誤。
從手冊頁:
ufw [--dry-run] [rule] [delete] [insert NUM] allow|deny|reject|limit [in|out[on INTERFACE]][log|log-all] [proto PROTOCOL][from ADDRESS[port PORT | app APPNAME ]] [to ADDRESS [port PORT | app APPNAME ]] [comment COMMENT]利用:
ufw allow out on lo