Межсетевой экран сокета домена Unix

Question

У меня проблема с моим сервером Debian. Возможно, на моем веб-сервере есть какой-то уязвимый скрипт, который запускается от пользователя www-data. У меня также есть samba с установленным winbind, и samba присоединяется к домену Windows.

Так что, вероятно, этот уязвимый скрипт позволяет хакеру взломать контроллер домена через доменный сокет winbind unix.

На самом деле у меня много таких строк в netstat -a:

unix 3 [] STREAM CONNECTED 509027 / var / run / samba / winbindd_privileged / pipe

А наши журналы DC содержат большое количество зарегистрированных аутентификационных сообщений от учетных записей root или guest.

Как я могу ограничить доступ моих апачей к winbind? У меня была идея использовать какой-то брандмауэр для сокетов IPC. Возможно ли это?

Answer 1

Доменные сокеты Unix используют файловую систему для конечных точек, поэтому вы можете использовать права доступа к файлам POSIX или ACL для ограничения доступа.

На самом деле здесь уже дан ответ: Домен AF_UNIX - зачем использовать только локальные имена файлов?

Answer 2

Вы не можете брандмауэр AF_UNIX сокеты.Я ожидаю, что настоящая проблема заключается в том, что некоторая форма входа на ваш веб-сервер допускает попытки перебора и должна как-то ограничиваться скоростью (максимальное количество попыток, тайм-ауты и т. Д.).