Назад | Перейти на главную страницу

Насколько безопасно размещать общедоступный сервер iperf3?

CentOS 6.x

Член ИТ-группы хотел бы запустить iperf3 на общедоступном сервере с целью запуска проверок подключения по запросу из любого места (без ограничений на IP-адрес удаленного источника).

Представляет ли это какие-либо серьезные проблемы с безопасностью? Сам сервер изолирован от остальной сети, и я заметил, что другие люди размещают публичные серверы iperf ... но я все еще осторожен.

Предполагая, что это несколько «безопасно», есть ли какие-то конкретные конфигурации, которые мы должны реализовать? Например, запустить iperf3 под отдельной учетной записью службы или запустить iperf на нестандартном порту?

Да, это достаточно безопасно. Люди делают это все время, и они, как правило, чувствительны к проблемам сетевой безопасности.

iperf3 - это переработанная версия оригинального программного обеспечения iperf, которая подверглась более тщательной проверке, чем исходный пакет, а iperf3 был создан в то время, когда сетевая безопасность действительно имеет значение. Разработчики iperf3 исправляют ошибки, и я считаю, что Fedora / EPEL только что выпустила обновление 3.x месяц назад.

Тем не менее, все программное обеспечение содержит ошибки, и публичные серверы время от времени будут подвергаться атакам. На вашем сервере iperf следует использовать стандартные методы безопасности. Патч, брандмауэр, отключение брандмауэра ненужных портов из общедоступных сетей, мониторинг сети и т. Д. Я использовал пакеты от EPEL, потому что знаю, что они были протестированы сообществом EPEL.

Старайтесь избегать запуска сетевых демонов с правами root. В CentOS 6 я считаю, что RPM создает пользователя iperf и прослушивает непривилегированные порты. Вы можете попробовать запустить эту службу в chrooted jail, Linux или docker-контейнере, если вы особенно любите приключения.

Отказ от ответственности: iperf3 поддерживается моими коллегами из ESnet / Национальной лаборатории Лоуренса Беркли. Могу заверить вас, что эти люди очень озабочены безопасностью. Компьютерная защита очень необходима в Национальных лабораториях.

  • Вы убедились, что на этом сервере нет конфиденциальных данных?
  • Вы на 100% уверены, что у него абсолютно нулевой доступ к остальным вашим серверам?

Если да, то все нормально.