我和很多人一样,收到一封电子邮件,说要更新我的 RDS 实例以使用新的 rds-ca-2019 证书进行 SSL 连接(以前是 rds-ca-2015,将于 2020 年 3 月 5 日到期)。他们关于该过程的文档有点稀少,并且说诸如“更新您的数据库应用程序以使用新的 SSL/TLS 证书”之类的内容。和“将证书导入您的操作系统。” 没有关于客户端所需更改的更多详细信息。
当我最初设置时,我没有安装任何证书,而是使用了 vanilla Ubuntu 18.04 EC2 映像。RDS 实例设置为使用 rds-ca-2015,当我使用 psql 连接到 RDS 时,它报告说它正确使用了 TLSv1.2。如果我查看操作系统中安装的根证书,我会发现编号为 1 到 4 的 4 个“Amazon Root CA”证书。这些证书要到 2038 年和 2040 年才会过期。
所以,我的问题有两部分:
我试图通过调整 iptables 以不跟踪 TCP 连接的状态来提高我的服务器的性能。我正在查看本指南:http : //cotdp.com/2011/07/nginix-on-a-256mb-vm-slice-24000-tps/
但是,如果我执行以下任何操作,似乎所有传出连接都被切断了:
删除此规则: INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
添加这些:
iptables -t raw -I OUTPUT -j NOTRACK iptables -t raw -I PREROUTING -j NOTRACK
在进行任何更改后立即使“ping google.com”返回有关无法找到“google.com”的错误(即DNS停止解析)。
以下是在启动时加载的规则,但随后由 fail2ban 添加其他规则:
*筛选 -A 输入 -i lo -j 接受 -一个输入!-i lo -d 127.0.0.0/8 -j 拒绝 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A 输出 -j 接受 -A 输入 -p icmp -j 接受 -A 输入 -p tcp --dport ssh -j 接受 -A 输入 -p tcp …