最近有台服务器被安全部门扫出存在java反序列化的漏洞,修复建议是:
升级Commons-Collections.jar到最新版本,官方下载地址:
http://commons.apache.org/proper/commons-collections/download_collections.cgi
注:升级后请做好相关功能测试。
检查了这个jar包后,发现这个服务器上的应用和最新版无法兼容。于是想到使用iptables把外网访问这个端口的权限给禁用掉
# Generated by iptables-save v1.4.8 on Sat Jun 15 23:23:13 2013
*filter
:INPUT ACCEPT [35:6316]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [17:1648]
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j REJECT
COMMIT
# Completed on Sat Jun 15 23:23:13 2013

iptables-resore rules.txt后

防火墙服务开机自启动
chkconfig iptables on

防火墙规则开启自启动
service iptables save
会把规则保存到/etc/sysconfig/iptables文件中,重启会自动读取

Categories: 感悟 Tags: