Quiero que el firewall de mi nuevo servidor web sea tan seguro como debe ser. Después de investigar sobre iptables, me encontré con UFW (Uncomplicated FireWall). Esta me parece una mejor manera de configurar un firewall en Ubuntu Server 10 LTS y, al ver que es parte de la instalación, parece tener sentido.
Mi servidor tendrá Nginx, FastCGI y MySQL. También quiero permitir el acceso SSH (obviamente). Entonces tengo curiosidad por saber exactamente cómo debo configurar UFW y ¿hay algo más que deba tener en cuenta? Después de investigar, encontré unaartículoeso lo explica de esta manera:
# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload
Todo esto parece tener sentido para mí. ¿Pero es todo correcto? Quiero respaldar esto con otras opiniones o consejos para asegurarme de hacerlo correctamente en mi servidor.
¡Muchas gracias!
Respuesta1
Utilice el límite de ufw [PORT] en lugar de permitir ufw [PORT] para poder evitar ataques de fuerza bruta.
ufw supports connection rate limiting, which is useful for protecting
against brute-force login attacks. ufw will deny connections if an IP
address has attempted to initiate 6 or more connections in the last 30
seconds.
A continuación se muestra cómo configuraría el firewall ufw usando sus reglas.
Primero cambie el puerto SSH en: /etc/ssh/sshd_config
Luego recargar la configuración: /etc/init.d/ssh recargar
Entonces: ufw por defecto denegar
Entonces: ufw iniciando sesión
Entonces: límite ufw 5555
Entonces: ufw permite 80/tcp
Una vez que haya configurado todas las reglas, habilite ufw: ufw enable
Respuesta2
Tendría mucho cuidado al desactivar SSH sin saber exactamente lo que estás haciendo; para empezar, podría valer la pena intentar desactivarlo mediante SSH en una determinada red para realizar la prueba. No sé qué tan rápido surte efecto LFW o si afecta las conexiones establecidas, pero si lo hace con efecto inmediato, definitivamente deberías cambiar el número de puerto de SSH antes de desactivar el que estás usando actualmente para conectarte.