Quero que meu firewall em meu novo servidor da Web seja tão seguro quanto necessário. Depois de pesquisar sobre o iptables, me deparei com o UFW (Uncomplicated FireWall). Esta parece ser a melhor maneira de configurar um firewall no Ubuntu Server 10 LTS e, visto que faz parte da instalação, parece fazer sentido.
Meu servidor terá Nginx, FastCGI e MySQL. Eu também quero permitir acesso SSH (obviamente). Estou curioso para saber exatamente como devo configurar o UFW e há mais alguma coisa que preciso levar em consideração? Depois de pesquisar, encontrei umartigoisso explica desta forma:
# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload
Tudo isso parece fazer sentido para mim. Mas está tudo correto? Quero respaldar isso com outras opiniões ou conselhos para garantir que farei isso corretamente no meu servidor.
Muito obrigado!
Responder1
Use o limite ufw [PORT] em vez de ufw permitir [PORT] para evitar ataques de força bruta.
ufw supports connection rate limiting, which is useful for protecting
against brute-force login attacks. ufw will deny connections if an IP
address has attempted to initiate 6 or more connections in the last 30
seconds.
Abaixo está como eu configuraria o firewall ufw usando suas regras.
Primeiro altere a porta SSH em: /etc/ssh/sshd_config
Em seguida, recarregue a configuração: /etc/init.d/ssh reload
Então: ufw padrão negar
Então: ufw fazendo logon
Então: limite ufw 5555
Então: ufw permitir 80/tcp
Depois de configurar todas as suas regras, habilite o ufw: ufw enable
Responder2
Eu teria muito cuidado ao desativar o SSH sem saber exatamente o que você está fazendo - pode valer a pena tentar desativar o SSH para uma determinada rede para começar a testar. Não sei com que rapidez o LFW entra em vigor ou se afeta as conexões estabelecidas, mas se isso acontecer com efeito imediato, você definitivamente deve alterar o número da porta do SSH antes de desativar o firewall daquele que está usando atualmente para se conectar.