CentOS 6.x
Член ИТ-группы хотел бы запустить iperf3 на общедоступном сервере с целью запуска проверок подключения по запросу из любого места (без ограничений на IP-адрес удаленного источника).
Представляет ли это какие-либо серьезные проблемы с безопасностью? Сам сервер изолирован от остальной сети, и я заметил, что другие люди размещают публичные серверы iperf ... но я все еще осторожен.
Предполагая, что это несколько «безопасно», есть ли какие-то конкретные конфигурации, которые мы должны реализовать? Например, запустить iperf3 под отдельной учетной записью службы или запустить iperf на нестандартном порту?
Да, это достаточно безопасно. Люди делают это все время, и они, как правило, чувствительны к проблемам сетевой безопасности.
iperf3 - это переработанная версия оригинального программного обеспечения iperf, которая подверглась более тщательной проверке, чем исходный пакет, а iperf3 был создан в то время, когда сетевая безопасность действительно имеет значение. Разработчики iperf3 исправляют ошибки, и я считаю, что Fedora / EPEL только что выпустила обновление 3.x месяц назад.
Тем не менее, все программное обеспечение содержит ошибки, и публичные серверы время от времени будут подвергаться атакам. На вашем сервере iperf следует использовать стандартные методы безопасности. Патч, брандмауэр, отключение брандмауэра ненужных портов из общедоступных сетей, мониторинг сети и т. Д. Я использовал пакеты от EPEL, потому что знаю, что они были протестированы сообществом EPEL.
Старайтесь избегать запуска сетевых демонов с правами root. В CentOS 6 я считаю, что RPM создает пользователя iperf и прослушивает непривилегированные порты. Вы можете попробовать запустить эту службу в chrooted jail, Linux или docker-контейнере, если вы особенно любите приключения.
Отказ от ответственности: iperf3 поддерживается моими коллегами из ESnet / Национальной лаборатории Лоуренса Беркли. Могу заверить вас, что эти люди очень озабочены безопасностью. Компьютерная защита очень необходима в Национальных лабораториях.
Если да, то все нормально.