A tűzfal egyfajta hálózati biztonsági eszköz, amely előre meghatározott szabálykészlete szerint szabályozza a bejövő és kimenő hálózati forgalmat. Használhatunk tűzfalat más biztonsági intézkedésekkel együtt, hogy megvédjük szervereinket a hackerek támadásaitól és támadásaitól.
A tűzfal kialakítása lehet dedikált hardver vagy a gépünkön futó szoftver. A CentOS 6 rendszeren az alapértelmezett tűzfalprogram az iptables.
Ebben a cikkben bemutatom, hogyan állíthat be egy alapvető iptables tűzfalat a Vultr "WordPress on CentOS 6 x64" alkalmazáson alapul, amely blokkolja az összes forgalmat, kivéve a web-, SSH-, NTP-, DNS- és ping-szolgáltatásokat. Ez azonban csak egy előzetes konfiguráció, amely kielégíti az általános biztonsági igényeket. Kifinomultabb iptables konfigurációra lesz szüksége, ha további igényei vannak.
Megjegyzés :
Ha IPv6-címet ad hozzá a szerveréhez, akkor az ip6tables szolgáltatást is be kell állítania. Az ip6tables konfigurálása nem tartozik a cikk hatókörébe.
A CentOS 6-tól eltérően az iptables már nem az alapértelmezett tűzfalprogram a CentOS 7-en, és a tűzfal nevű program váltotta fel. Ha a CentOS 7 használatát tervezi, a tűzfalat a tűzfal segítségével kell beállítania.
Frissen telepítsen egy kiszolgálópéldányt a Vultr „WordPress on CentOS 6 x64” alkalmazással, majd jelentkezzen be root felhasználóként.
Feltételezem, hogy ez a szerver csak WordPress blogot fog tárolni, és nem lesz használva routerként, és nem nyújt más szolgáltatásokat (pl. levelezés, FTP, IRC stb.).
Itt a következő szolgáltatásokra van szükségünk:
Az összes többi felesleges port blokkolva lesz.
Az Iptables szabálylistával szabályozza a forgalmat. Amikor hálózati csomagokat küldenek a szerverünkre, az iptables az egyes szabályok alapján egymás után megvizsgálja azokat, és ennek megfelelően intézkedik. Ha egy szabály teljesül, a többi szabály figyelmen kívül marad. Ha nem teljesülnek a szabályok, az iptables az alapértelmezett házirendet fogja használni.
Az összes forgalom INPUT, OUTPUT és FORWARD kategóriába sorolható.
Most állítsuk be az iptables szabályait igényeinknek megfelelően. Az összes következő parancsot az SSH-terminálról rootként kell bevinni.
Ellenőrizze a meglévő szabályokat:
iptables -L -n
Törölje ki az összes létező szabályt:
iptables -F; iptables -X; iptables -Z
Mivel az iptables konfigurációjának módosításai azonnal életbe lépnek, ha rosszul konfigurálja az iptables szabályokat, előfordulhat, hogy a rendszer letiltja a hozzáférést a szerverhez. A következő paranccsal megakadályozhatja a véletlen leállásokat. Ne felejtse [Your-IP-Address]el saját nyilvános IP-címére vagy IP-címtartományára cserélni (például 201.55.119.43 vagy 201.55.119.0/24).
iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT
Engedélyezze az összes loopback (lo) forgalmat, és csökkentse az összes forgalmat 127.0.0.0/8-ra, kivéve a lo:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT
Néhány gyakori támadás blokkolása:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
Minden létrehozott bejövő kapcsolat elfogadása:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
HTTP és HTTPS bejövő forgalom engedélyezése:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
SSH kapcsolatok engedélyezése:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
NTP-kapcsolatok engedélyezése:
iptables -A INPUT -p udp --dport 123 -j ACCEPT
DNS-lekérdezések engedélyezése:
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
Ping engedélyezése:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Végül állítsa be az alapértelmezett házirendeket:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
A fent végrehajtott változtatások mindegyike hatályba lépett, de nem véglegesek. Ha nem mentjük őket merevlemezre, a rendszer újraindítása után elvesznek.
Mentse el az iptables konfigurációját a következő paranccsal:
service iptables save
A változtatásaink a fájlba kerülnek /etc/sysconfig/iptables. A fájl szerkesztésével áttekintheti vagy módosíthatja a szabályokat.
Ha konfigurációs hiba miatt le van tiltva a szerverről, bizonyos kerülő megoldásokkal továbbra is visszanyerheti hozzáférését.
iptables -Faz összes iptables szabályt. Ezután újra beállíthatja a szabályokat.Más rendszert használ? A Plesk egy szabadalmaztatott webtárhely-vezérlőpult, amely lehetővé teszi a felhasználók számára, hogy adminisztrálják személyes és/vagy ügyfeleik webhelyeit, adatbázisait
A Squid egy népszerű, ingyenes Linux-program, amely lehetővé teszi továbbítási webproxy létrehozását. Ebben az útmutatóban megtudhatja, hogyan telepítheti a Squid-et a CentOS rendszerre, hogy megfordítsa
Bevezetés A Lighttpd az Apache forkja, amely sokkal kevésbé erőforrás-igényes. Könnyű, innen kapta a nevét, és meglehetősen egyszerű a használata. Telepítés
A VULTR a közelmúltban változtatásokat hajtott végre a saját oldalukon, és most már mindennek jól kell működnie, ha a NetworkManager engedélyezve van. Ha szeretné letiltani
Az Icinga2 egy hatékony felügyeleti rendszer, és mester-kliens modellben használva helyettesítheti az NRPE-alapú felügyeleti ellenőrzések szükségességét. A mester-kliens
Más rendszert használ? Az Apache Cassandra egy ingyenes és nyílt forráskódú NoSQL adatbázis-kezelő rendszer, amelyet úgy terveztek, hogy biztosítsa a méretezhetőséget,
Más rendszert használ? A Microweber egy nyílt forráskódú drag and drop CMS és online bolt. A Microweber forráskódja a GitHubon található. Ez az útmutató megmutatja neked
Más rendszert használ? A Vanilla forum egy nyílt forráskódú, PHP-ben írt fórumalkalmazás. Ez egy teljesen testreszabható, könnyen használható, és támogatja a külsőt
Más rendszert használ? A Mattermost egy nyílt forráskódú, saját üzemeltetésű alternatívája a Slack SAAS üzenetküldő szolgáltatásnak. Más szóval, a Mattermost segítségével kb
Mire lesz szüksége Egy Vultr VPS legalább 1 GB RAM-mal. SSH hozzáférés (root/adminisztrátori jogosultságokkal). 1. lépés: A BungeeCord telepítése Először is
A Plesk vezérlőpult nagyon szép integrációt kínál a Lets Encrypt számára. A Lets Encrypt egyike az egyetlen SSL-szolgáltatónak, amely teljes tanúsítványt ad ki
A Lets Encrypt egy tanúsító hatóság, amely ingyenes SSL-tanúsítványokat biztosít. A cPanel ügyes integrációt épített ki, így Ön és ügyfele
Más rendszert használ? A Concrete5 egy nyílt forráskódú CMS, amely számos megkülönböztető és hasznos funkciót kínál, hogy segítse a szerkesztőket a tartalom egyszerű létrehozásában.
Más rendszert használ? A Review Board egy ingyenes és nyílt forráskódú eszköz a forráskód, a dokumentáció, a képek és még sok más áttekintésére. Ez egy web alapú szoftver
Ebből az útmutatóból megtudhatja, hogyan állíthat be HTTP-hitelesítést egy CentOS 7 rendszeren futó Nginx webszerverhez. Követelmények A kezdéshez szüksége lesz a következőre:
Más rendszert használ? A GoAccess egy nyílt forráskódú webnapló-elemző. Használhatja naplók valós idejű elemzésére akár a terminálon, akár a
A YOURLS (Your Own URL Shortener) egy nyílt forráskódú URL-rövidítő és adatelemző alkalmazás. Ebben a cikkben a telepítés folyamatával foglalkozunk
Más rendszert használ? Bevezetés Az ArangoDB egy nyílt forráskódú NoSQL adatbázis, amely rugalmas adatmodellt kínál dokumentumokhoz, grafikonokhoz és kulcsértékekhez. Ez
Bevezetés Az /etc/ könyvtár kritikus szerepet játszik a Linux rendszer működésében. Ennek az az oka, hogy szinte minden rendszerkonfiguráció
Sok rendszergazda nagy mennyiségű kiszolgálót kezel. Ha a fájlokhoz különböző szervereken keresztül kell hozzáférni, mindegyikbe külön-külön kell bejelentkezni kb
Ez az oktatóanyag végigvezeti Önt a Vultrs rendszerekkel kompatibilis Windows ISO létrehozásának folyamatán. Itt megtanulhatja az <<strong>>Windows ISO<<strong>> előállításának lépéseit az NTLite segítségével.
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
