Namestite Plesk na CentOS 7
Uporaba drugega sistema? Plesk je lastniška nadzorna plošča spletnega gostitelja, ki uporabnikom omogoča upravljanje svojih osebnih in/ali strank spletnih mest, baz podatkov
Nastavite požarni zid IPTables na CentOS 6
Uvod
Požarni zid je vrsta omrežnega varnostnega orodja, ki nadzoruje vhodni in odhodni omrežni promet v skladu s svojim vnaprej določenim naborom pravil. Za zaščito naših strežnikov pred hekerskimi napadi in napadi lahko uporabimo požarni zid skupaj z drugimi varnostnimi ukrepi.
Zasnova požarnega zidu je lahko namenska strojna oprema ali programska oprema, ki se izvaja na našem stroju. V CentOS 6 je privzeti program požarnega zidu iptables.
V tem članku vam bom pokazal, kako nastaviti osnovni požarni zid iptables na podlagi aplikacije Vultr "WordPress na CentOS 6 x64", ki bo blokiral ves promet razen spletnih, SSH, NTP, DNS in storitev ping. Vendar je to le predhodna konfiguracija, ki zadovoljuje splošne varnostne potrebe. Če imate dodatne zahteve, bi potrebovali bolj izpopolnjeno konfiguracijo iptables.
Opomba :
Če svojemu strežniku dodate naslov IPv6, morate nastaviti tudi storitev ip6tables. Konfiguriranje ip6tables je izven obsega tega članka.
Za razliko od CentOS 6 iptables ni več privzeti program požarnega zidu v CentOS 7 in je bil nadomeščen s programom, imenovanim požarni zid. Če nameravate uporabljati CentOS 7, boste morali nastaviti požarni zid s pomočjo požarnega zidu.
Predpogoji
Na novo razmestite primerek strežnika z aplikacijo Vultr "WordPress on CentOS 6 x64", nato se prijavite kot root.
1. korak: določite storitve in vrata, ki se uporabljajo na vašem strežniku
Predvidevam, da bo ta strežnik gostil samo blog WordPress in ne bo uporabljen kot usmerjevalnik ali zagotavljal drugih storitev (na primer pošte, FTP, IRC itd.).
Tukaj potrebujemo naslednje storitve:
- HTTP (TCP na vratih 80)
- HTTPS (TCP na vratih 443)
- SSH (TCP na vratih 22 privzeto, se lahko spremeni iz varnostnih razlogov)
- NTP (UDP na vratih 123)
- DNS (TCP in UDP na vratih 53)
- ping (ICMP)
Vsa druga nepotrebna vrata bodo blokirana.
2. korak: Konfigurirajte pravila iptables
Iptables nadzoruje promet s seznamom pravil. Ko so omrežni paketi poslani na naš strežnik, jih bo iptables pregledal z uporabo vsakega zaporednega pravila in ustrezno ukrepal. Če je pravilo izpolnjeno, bodo ostala pravila prezrta. Če ni izpolnjeno nobeno pravilo, bo iptables uporabil privzeto politiko.
Ves promet je mogoče kategorizirati kot INPUT, OUTPUT in NAPREJ.
- INPUT promet je lahko običajen ali zlonameren, dovoljen je treba selektivno.
- OUTPUT promet se običajno šteje za varnega in ga je treba dovoliti.
- Promet NAPREJ je neuporaben in ga je treba blokirati.
Zdaj pa konfigurirajmo pravila iptables glede na naše potrebe. Vse naslednje ukaze je treba vnesti iz terminala SSH kot root.
Preverite obstoječa pravila:
iptables -L -n
Izbrišite vsa obstoječa pravila:
iptables -F; iptables -X; iptables -Z
Ker bodo spremembe konfiguracije iptables začele veljati takoj, če napačno konfigurirate pravila iptables, boste morda blokirani iz svojega strežnika. Naključne blokade lahko preprečite z naslednjim ukazom. Ne pozabite zamenjati [Your-IP-Address]s svojim javnim naslovom IP ali obsegom naslovov IP (na primer 201.55.119.43 ali 201.55.119.0/24).
iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT
Dovoli ves promet z zanko (lo) in spusti ves promet na 127.0.0.0/8, razen lo:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT
Blokirajte nekaj pogostih napadov:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
Sprejmi vse vzpostavljene dohodne povezave:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Dovoli vhodni promet HTTP in HTTPS:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Dovoli povezave SSH:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Dovoli povezave NTP:
iptables -A INPUT -p udp --dport 123 -j ACCEPT
Dovoli DNS poizvedbe:
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
Dovoli ping:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Končno nastavite privzete pravilnike:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
3. korak: Shranite konfiguracije
Vse spremembe, ki smo jih naredili zgoraj, so začele veljati, vendar niso trajne. Če jih ne shranimo na trdi disk, bodo izgubljeni, ko se sistem znova zažene.
Shranite konfiguracijo iptables z naslednjim ukazom:
service iptables save
Naše spremembe bodo shranjene v datoteki /etc/sysconfig/iptables. Pravila lahko pregledate ali spremenite tako, da uredite to datoteko.
Rešitve za nenamerno blokiranje
Če ste zaradi konfiguracijske napake blokirani dostop do strežnika, lahko še vedno znova pridobite dostop z nekaterimi rešitvami.
- Če še niste shranili svojih sprememb pravil iptables, lahko znova zaženete strežnik iz vmesnika spletnega mesta Vultr, nato pa bodo vaše spremembe izbrisane.
- Če ste shranili spremembe, se lahko prijavite v svoj strežnik prek konzole prek vmesnika spletnega mesta Vultr in vnesete,
iptables -Fda izbrišete vsa pravila iptables. Potem lahko znova nastavite pravila.
Kako namestiti Squid Proxy na CentOS
Squid je priljubljen brezplačen program za Linux, ki vam omogoča ustvarjanje spletnega proxyja za posredovanje. V tem priročniku boste videli, kako namestiti Squid na CentOS, da vas obrne
Kako namestiti Lighttpd (LLMP Stack) na CentOS 6
Uvod Lighttpd je razdelek Apache, katerega namen je biti veliko manj intenziven vir. Je lahek, od tod tudi njegovo ime, in je precej preprost za uporabo. Namestite
Konfiguriranje statičnega omrežja in IPv6 na CentOS 7
VULTR je pred kratkim naredil spremembe na svoji strani in zdaj bi moralo vse delovati v redu iz škatle z omogočenim NetworkManagerjem. Če želite onemogočiti
Spreminjanje Icinga2 za uporabo modela Master/Client na CentOS 6 ali CentOS 7
Icinga2 je zmogljiv sistem za spremljanje in če se uporablja v modelu glavni-odjemalec, lahko nadomesti potrebo po nadzornih pregledih, ki temeljijo na NRPE. Glavni naročnik
Kako namestiti Apache Cassandra 3.11.x na CentOS 7
Uporaba drugega sistema? Apache Cassandra je brezplačen in odprtokodni sistem za upravljanje baz podatkov NoSQL, ki je zasnovan tako, da zagotavlja razširljivost, visoko
Kako namestiti Microweber na CentOS 7
Uporaba drugega sistema? Microweber je odprtokodna povleci in spusti CMS in spletna trgovina. Izvorna koda Microweber gostuje na GitHubu. Ta vodnik vam bo pokazal
Kako namestiti Mattermost 4.1 na CentOS 7
Uporaba drugega sistema? Mattermost je odprtokodna alternativa sporočilni storitvi Slack SAAS, ki jo gosti sami. Z drugimi besedami, z Mattermostom si pribl
Ustvarjanje omrežja strežnikov Minecraft z BungeeCord na Debian 8, Debian 9 ali CentOS 7
Kaj potrebujete Vultr VPS z vsaj 1 GB RAM-a. SSH dostop (z root/administrativnimi pravicami). 1. korak: Namestitev BungeeCord Najprej najprej
Omogočamo šifriranje na Plesku
Nadzorna plošča Plesk ima zelo lepo integracijo za Lets Encrypt. Lets Encrypt je eden edinih ponudnikov SSL, ki izdaja potrdila v celoti
Namestite MariaDB 10 na CentOS 6
V času pisanja je MariaDB 10.1 razvojna različica MariaDB. Temelji na MariaDB 5.5 in vključuje funkcije, prenesene nazaj iz MySQL 5.6. Ther
Omogoča šifriranje na cPanelu
Lets Encrypt je certifikacijski organ, ki je namenjen brezplačnemu zagotavljanju certifikatov SSL. cPanel je zgradil lepo integracijo za vas in vašo stranko
Kako namestiti Concrete5 na CentOS 7
Uporaba drugega sistema? Concrete5 je odprtokodni CMS, ki ponuja številne značilne in uporabne funkcije za pomoč urednikom pri preprosti izdelavi vsebine.
Kako namestiti pregledno ploščo na CentOS 7
Uporaba drugega sistema? Review Board je brezplačno in odprtokodno orodje za pregledovanje izvorne kode, dokumentacije, slik in še veliko več. Gre za spletno programsko opremo
Nastavite preverjanje pristnosti HTTP z Nginxom na CentOS 7
V tem priročniku se boste naučili, kako nastaviti preverjanje pristnosti HTTP za spletni strežnik Nginx, ki deluje na CentOS 7. Zahteve Za začetek boste potrebovali
Kako namestiti YOURLS na CentOS 7
YOURLS (Your Own URL Shortener) je odprtokodna aplikacija za krajšanje URL-jev in analitiko podatkov. V tem članku bomo obravnavali postopek namestitve
Kako namestiti in konfigurirati ArangoDB na CentOS 7
Uporaba drugega sistema? Uvod ArangoDB je odprtokodna baza podatkov NoSQL s prilagodljivim podatkovnim modelom za dokumente, grafe in ključe-vrednosti. je
Uporaba Etckeeperja za nadzor različic /etc
Uvod Imenik /etc/ igra ključno vlogo pri delovanju sistema Linux. Razlog za to je skoraj vsaka sistemska konfiguracija
Zakaj bi morali uporabljati SSHFS? Kako namestiti oddaljeni datotečni sistem s SSHFS na CentOS 6
Številni sistemski skrbniki upravljajo velike količine strežnikov. Ko je treba do datotek dostopati prek različnih strežnikov, se prijavite v vsakega posebej ca
Nastavitev strežnika Half Life 2 na CentOS 6
Ta vadnica bo obravnavala postopek namestitve igralnega strežnika Half Life 2 na sistem CentOS 6. 1. korak: Namestitev predpogojev Za nastavitev ou
Vzpon strojev: aplikacije AI v resničnem svetu
Umetna inteligenca ni v prihodnosti, tukaj je prav v sedanjosti. V tem blogu preberite, kako so aplikacije umetne inteligence vplivale na različne sektorje.
DDOS napadi: kratek pregled
Ste tudi vi žrtev DDOS napadov in ste zmedeni glede načinov preprečevanja? Preberite ta članek, če želite rešiti svoja vprašanja.
Ste se kdaj vprašali, kako hekerji zaslužijo denar?
Morda ste že slišali, da hekerji zaslužijo veliko denarja, a ste se kdaj vprašali, kako zaslužijo takšen denar? razpravljajmo.
Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.
Ali želite videti revolucionarne izume Googla in kako so ti izumi danes spremenili življenje vsakega človeka? Nato preberite v blogu in si oglejte Googlove izume.
Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?
Koncept samovozečih avtomobilov, ki zapeljejo na ceste s pomočjo umetne inteligence, so sanje, ki jih imamo že nekaj časa. A kljub številnim obljubam jih ni nikjer. Preberite ta blog, če želite izvedeti več…
Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?
Ker se znanost hitro razvija in prevzame veliko naših prizadevanj, se povečuje tudi tveganje, da se podvržemo nerazložljivi singularnosti. Preberite, kaj bi za nas lahko pomenila singularnost.
Razvoj shranjevanja podatkov – Infografika
Metode shranjevanja podatkov so se lahko razvijale od rojstva podatkov. Ta blog pokriva razvoj shranjevanja podatkov na podlagi infografike.
Funkcionalnosti slojev referenčne arhitekture velikih podatkov
Preberite blog, če želite na najpreprostejši način spoznati različne plasti v arhitekturi velikih podatkov in njihove funkcionalnosti.
6 neverjetnih prednosti pametnih naprav za dom v našem življenju
V tem digitalno vodenem svetu so pametne naprave za dom postale ključni del življenja. Tukaj je nekaj neverjetnih prednosti pametnih naprav za dom o tem, kako naredijo naše življenje vredno življenja in poenostavijo.
Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje
Pred kratkim je Apple izdal macOS Catalina 10.15.4 dopolnilno posodobitev za odpravo težav, vendar se zdi, da posodobitev povzroča več težav, ki vodijo do opečenja računalnikov Mac. Preberite ta članek, če želite izvedeti več
