CentOS 6.x
IT团队成员希望在可公开访问的服务器上运行iperf3,以便从任何地点运行按需连接检查(对远程源IP没有限制)。
这是否会带来重大的安全隐患? 服务器本身与networking的其他部分是隔离的,我注意到其他人正在托pipe公共iperf服务器…但我仍然很谨慎。
假设它有点“安全”,是否有我们应该实现的具体configuration? 例如,在单独的服务帐户下运行iperf3,或者在非标准端口上运行iperf?
是的,这是相当安全的。 人们总是这样做,他们往往是对networking安全问题敏感的人。
iperf3是原来的iperf软件的改写,并且接受了更多的原始软件包的审查,iperf3是在networking安全确实重要的时候创build的。 iperf3开发人员修复bug,我相信Fedora / EPEL在一个月前刚发布了3.x更新。
也就是说,所有的软件都有bug,公共服务器会不时受到攻击。 iperf服务器上应该使用标准的安全措施。 修补程序,防火墙,考虑防止公共networking不必要的端口,networking监控等。我使用EPEL的软件包,因为我知道他们已经被EPEL社区testing过了。
尽量避免以root身份运行networking守护进程。 在CentOS 6上,我相信RPM会创build一个iperf用户并监听非特权端口。 如果你感觉特别冒险,你可以尝试在chroot监狱里运行这个服务,或者在Linux或docker容器中运行这个服务。
免责声明: iperf3由ESnet / Lawrence Berkeley国家实验室的同事维护 。 我可以向你保证,这些人是非常安全的。 计算机防御在国家实验室是非常必要的。
如果对两者都是,那么没关系。