Я хочу, чтобы мой брандмауэр на моем новом веб-сервере был настолько безопасным, насколько это необходимо. После того, как я провел исследование iptables, я наткнулся на UFW (Uncomplicated FireWall). Это выглядит как лучший способ для меня настроить брандмауэр на Ubuntu Server 10 LTS, и, учитывая, что это часть установки, это кажется разумным.
На моем сервере будут установлены Nginx, FastCGI и MySQL. Я также хочу разрешить доступ по SSH (очевидно). Поэтому мне интересно узнать, как именно мне следует настроить UFW и есть ли что-то еще, что мне нужно учесть? После проведения исследований я нашелстатьякоторый объясняет это следующим образом:
# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload
Мне кажется, что все это имеет смысл. Но все ли это правильно? Я хочу подкрепить это любыми другими мнениями или советами, чтобы убедиться, что я делаю это правильно на своем сервере.
Большое спасибо!
решение1
Используйте ufw limit [PORT] вместо ufw allow [PORT], чтобы предотвратить атаки методом перебора.
ufw supports connection rate limiting, which is useful for protecting
against brute-force login attacks. ufw will deny connections if an IP
address has attempted to initiate 6 or more connections in the last 30
seconds.
Ниже описано, как я бы настроил брандмауэр UFW, используя ваши правила.
Сначала измените порт SSH в: /etc/ssh/sshd_config
Затем перезагрузите конфигурацию: /etc/init.d/ssh reload
Затем: ufw по умолчанию отклонить
Затем: вход в систему ufw
Тогда: предел ufw 5555
Затем: ufw разрешить 80/tcp
После настройки всех правил включите UFW: ufw enable
решение2
Я бы был очень осторожен с отключением SSH с помощью брандмауэра, не зная точно, что вы делаете - возможно, стоит попробовать отключить SSH для определенной сети, чтобы начать тестирование. Я не знаю, как быстро LFW вступает в силу или влияет ли он на установленные соединения, но если это происходит немедленно, то вам определенно следует изменить номер порта SSH, прежде чем вы отключите брандмауэр от того, который вы в данный момент используете для подключения.