Linux ファイアウォールに関する質問

Question 1

リスニングプロセスがなかったため、リスニングポートがありませんでした。Ubuntu は、デフォルトのインストールではこの点で優れた機能を果たします。リスニングポートを必要とするプロセスは、通常、デフォルトで localhost (127.0.0.1) を使用します。これにより、リモートシステムからの直接アクセスが防止されます。
Apache や SSH サーバーなどのアプリケーションは、リモートサーバーからの接続をリッスンすることが想定されています。Apache には、アクセスを保護するための独自の ACL リストがあります。SSH サーバーは、その構成に加えて、hosts.allow ファイルと hosts.deny ファイルを使用して保護できます。MySQL や PostressSQL などのアプリケーションは、デフォルトで localhost でリッスンする必要があります。他のシステムからアクセスする必要がある場合は、リスナーの設定を変更する必要があります。通常、アクセスを保護するためのメカニズムが 1 つ以上あります。
このメカニズムをサポートするアプリケーションにはhosts.allow/hosts.denyを使用してください。次のようなファイアウォールビルダーを使用すると、ショアウォール安全なファイアウォールを構築することは役に立ちます。各アプリケーションの独自のセキュリティメカニズムを理解することは、メカニズムの深みを構築するのに役立ちます。logcheck などのツールは、ログを監視し、確認する必要がある可能性のあるイベントの一部を通知します。私は Munin を使用してシステムを監視し、場合によっては問題を警告します。これは、システムの使用状況の監視とグラフ化に使用していた以前の Nagion と MRTG に代わるものです。
telnet が動作している場合は、サービスを停止することでポートを閉じることができます。本当に必要な場合を除き、telnet パッケージを削除して ssh-server に置き換えてください。ほとんどの telnet サーバーは、アクセスを制限するために hosts.allow/hosts.deny の使用をサポートしています。これは、inetd または xinetd で実行されるアプリケーションにも適用されます。MySQL と PostgreSQL は、サーバー外部からの直接アクセスから保護されている 127.0.0.1 のみを listen する必要があります。

私の通常の Shorewall ファイアウォール構成は、サーバー上のインターフェイスの数 (またはアクセスゾーン: NET、LAN、DMZ) の例の構成から始まります。ゾーンがインターフェイスやルーターを共有する場合、セキュリティが本来よりも低くなる可能性があることに注意してください。その後、必要に応じてルールを調整します。

デフォルトの送信アクセスポリシーを無効にすることがよくあります。これらは、必要なポート (DNS、NTP、SMTP など) での送信アクセスを許可するルールに置き換えられます。

Answer

リスニングプロセスがなかったため、リスニングポートがありませんでした。Ubuntu は、デフォルトのインストールではこの点で優れた機能を果たします。リスニングポートを必要とするプロセスは、通常、デフォルトで localhost (127.0.0.1) を使用します。これにより、リモートシステムからの直接アクセスが防止されます。
Apache や SSH サーバーなどのアプリケーションは、リモートサーバーからの接続をリッスンすることが想定されています。Apache には、アクセスを保護するための独自の ACL リストがあります。SSH サーバーは、その構成に加えて、hosts.allow ファイルと hosts.deny ファイルを使用して保護できます。MySQL や PostressSQL などのアプリケーションは、デフォルトで localhost でリッスンする必要があります。他のシステムからアクセスする必要がある場合は、リスナーの設定を変更する必要があります。通常、アクセスを保護するためのメカニズムが 1 つ以上あります。
このメカニズムをサポートするアプリケーションにはhosts.allow/hosts.denyを使用してください。次のようなファイアウォールビルダーを使用すると、ショアウォール安全なファイアウォールを構築することは役に立ちます。各アプリケーションの独自のセキュリティメカニズムを理解することは、メカニズムの深みを構築するのに役立ちます。logcheck などのツールは、ログを監視し、確認する必要がある可能性のあるイベントの一部を通知します。私は Munin を使用してシステムを監視し、場合によっては問題を警告します。これは、システムの使用状況の監視とグラフ化に使用していた以前の Nagion と MRTG に代わるものです。
telnet が動作している場合は、サービスを停止することでポートを閉じることができます。本当に必要な場合を除き、telnet パッケージを削除して ssh-server に置き換えてください。ほとんどの telnet サーバーは、アクセスを制限するために hosts.allow/hosts.deny の使用をサポートしています。これは、inetd または xinetd で実行されるアプリケーションにも適用されます。MySQL と PostgreSQL は、サーバー外部からの直接アクセスから保護されている 127.0.0.1 のみを listen する必要があります。

私の通常の Shorewall ファイアウォール構成は、サーバー上のインターフェイスの数 (またはアクセスゾーン: NET、LAN、DMZ) の例の構成から始まります。ゾーンがインターフェイスやルーターを共有する場合、セキュリティが本来よりも低くなる可能性があることに注意してください。その後、必要に応じてルールを調整します。

デフォルトの送信アクセスポリシーを無効にすることがよくあります。これらは、必要なポート (DNS、NTP、SMTP など) での送信アクセスを許可するルールに置き換えられます。

Question 2

1.) いつでも確認することができますiptables -Lこの出力はファイアウォールがないことを意味します:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

2.) はい、インターフェース (eth0 など) の入力チェーン内のポートを許可し、その他すべてをドロップします。

他にも次のようなことをする必要があります:

ヌル
クリスマス (SYN+FIN+ACK)
シンフィン

重要なsysctlオプションを設定することを忘れないでください

3.) 簡単な方法:

ファイアウォール:http://easyfwgen.morizot.net/gen/
脅威に関する情報を提供するログ分析ツール
プロアクティブなチェックを行うその他のツール（例：fail2ban）
マシンの状態を通知する監視ツール（例：zabbix、nagios）

4.) 次のコマンドを入力します

root@host:~# netstat -npl | grep LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1417/telnet

興味深いのは、telnetの後の1417（プロセス番号）です。キル -9 1417

ただし、殺すものには注意してください。

それを強制終了したくない場合は、ファイアウォールを使用してこのポートの使用を拒否することができます...

Answer