postgresql - 如何确认 Ubuntu VM 上的 PostgreSQL 正在与外部服务器通信以进行更新

问题描述

我在客户的 VMware 系统上安装了一个 Ubuntu VM。最近，客户的 IT 告知我们，他的防火墙一直在检测到对我们 VM 的内部 IP 地址（来自 87.238.57.227）的潜在端口扫描。他问这是否是我们 VM 上已知软件包更新过程的一部分。

他向我们发送了一个防火墙输出，我们可以在其中看到端口扫描的几个实例，但也有我们的 Ubuntu VM 实例试图在端口 37258 上与外部服务器进行通信（这被防火墙丢弃了）。

根据 google 查询，外部 IP 地址的主机名是“feris.postgresql.org”，ASN 指向一家名为 Redpill-Linpro 的欧洲公司。据我所知，他们提供 IT 咨询服务，专门研究开源软件（例如安装在我们 VM 上的 PostgreSQL）。不过，我以前从未听说过它们，也不知道为什么我们的 VM 会与它们通信，反之亦然。我也不确定我是否正确解释了 IP 查找信息：https ://ipinfo.io/87.238.57.227

我正在寻找一种方法来确认或反驳这只是我们的 VM ping 标准 postgres 更新。如果是这种情况，我想限制这种行为。我们更愿意手动执行这些类型的更新，并将 VM 外部的通信限制为我们的应用程序功能所必需的。

更新

我向 Redpill 的滥用帐户发送了一封电子邮件。他们迅速回应说，服务器不应该对任何人进行端口扫描，如果出现这种情况，那就有问题了。

该服务器是为apt.postgresql.org以及其他 postgres 下载站点提供服务的机器集群的一部分。我认为我们没有安装任何类似 ansible 或 puppet 的东西会自动检查更新，但我会调查以确保。我想知道 Ubuntu 是否使用可用软件包的数量来更新 MOTD 是否可以解释为什么我们的 VM 试图访问外部 postgres 服务器？

滥用代表说无论如何应该只有来自VM的传出连接，而不是传入连接。他要求提供一些额外的信息，所以我会继续与他沟通并尝试相应地更新这篇文章

标签： postgresqlubuntufirewallport-scanning