ssh白名单_通过白名单iptables限制ip规避漏洞

前因：

系统扫描出两个漏洞。1：数据库oracle漏洞。2：openssh漏洞。

linux操作系统 redhat4.7企业版，oracle11g

解决思路：

1 oracle补丁一般是收费的，而且漏洞对数据库其实没有太多影响，不建议打补丁。

2 升级openssh，但是操作系统版本是在太老了。客户要求升级ssh到最新8.3版本，且不说4.7的操作系统支不支持8.3的ssh，即使支持，升级ssh也需要依赖zlib、ssl、perl、gcc等。

后来在自己虚拟机上安装了redhat4.8，最终ssh8.3升级成功，另一篇文章介绍。

解决方法：

通过添加白名单，允许指定ip访问1521和22，规避扫描

编辑

vi

/etc/sysconfig/iptables

#新建报名单

-N whitelist

#两个ip允许访问1521

-A INPUT -p tcp -s 73.XX.XX.137  --dport 1521 -j ACCEPT

-A INPUT -p tcp -s 137.XX.XX.0/24 --dport 1521 -j ACCEPT

#因为互联网访问汇总成网闸，是0-24的网段

#一个ip允许访问22

-A INPUT -p tcp -s 73.XX.XX7.137  --dport 22 -j ACCEPT

-A INPUT -p tcp -j whitelist

-A INPUT -p udp -j whitelist

-A INPUT -m state --