首页 服务器运维 正文

宝塔面板提示inet_interfaces未设置为127.0.0.1

摘要

宝塔面板安全安全风险提示inet_interfaces未设置为127.0.0.1,现在我们就来研究一下宝塔面板安全风险提示inet_interfaces未设置为127.0.0.1的修复方案。

今天新购了一台腾讯云轻量服务器,用来部署Docker服务,但在修复风险点的时候,安全风险提示inet_interfaces未设置为127.0.0.1,按照宝塔官方的说法看的我是云里雾里而且还报错,现在我们就来研究一下宝塔面板安全风险提示inet_interfaces未设置为127.0.0.1的修复方案。

一、安全风险提示inet_interfaces未设置为127.0.0.1

宝塔面板的风险提示里,官方提示:inet_interfaces 未设置为 127.0.0.1(/etc/postfix/main.cf),按照官方说法应该是编辑/etc/postfix/main.cf,增加设置 inet_interfaces 为 127.0.0.1。

二、宝塔解决方案

设置:postconf -e 'inet_interfaces = 127.0.0.1' 

inet_interfaces 未设置为 127.0.0.1(/etc/postfix/main.cf)

三、正确修复方案

通过SSH工具登录你的服务器,然后按照流程依次复制粘贴如下命令

1、写入配置

postconf -e 'inet_interfaces = 127.0.0.1'

2、验证配置

postconf inet_interfaces

3、启动 Postfix(未运行无法 reload,直接 start)

systemctl start postfix

4、设置开机自启(可选)

systemctl enable postfix

5、查看监听端口确认仅本地监听

ss -tulpn | grep 25

输出仅包含127.0.0.1:25代表修复成功

补充:启动报错排查

若启动失败,查看日志:

journalctl -u postfix

四、inet_interfaces答疑

(一)inet_interfaces 控制 Postfix 邮件服务监听的网卡地址:

1、默认配置常为 all / 0.0.0.0,代表监听服务器所有公网 / 内网 IP 的 25 端口;

2、外网任何人都能连接你的 25 端口发送邮件,带来三大高危风险:

垃圾邮件转发(开放中继):黑客利用你的服务器群发垃圾邮件,服务器 IP 会被全球反垃圾邮件黑名单封禁,后续正常发信全部失败;

暴力破解:外网持续爆破邮件账户,窃取账号;

漏洞利用:Postfix 若存在远程漏洞,外网可直接攻击提权、入侵服务器。

(二)设置 inet_interfaces = 127.0.0.1 的意义

1、仅允许本机程序(本地网站、脚本、系统组件)调用 Postfix 发邮件;

2、拒绝所有外网、内网其他服务器连接 25 端口;

3、满足绝大多数服务器需求:仅本地程序发告警、验证码邮件,不需要对外提供邮件接收 / 转发服务;

4、关闭公网暴露面,彻底杜绝开放中继、远程攻击风险,是服务器基线安全加固标准项。

(三)补充说明

如果你需要外部客户端(电脑、其他服务器)连接发信,不能只填 127.0.0.1,需指定内网 IP;

纯单机自用、仅本地程序发邮件场景,该配置是最优安全方案。

评论
更换验证码
友情链接