Как сделать безопасный сервер Linux с брандмауэром

Question

Как сделать безопасный сервер Linux с брандмауэром

Я установил ufw брандмауэр на сервере Linux и разрешить необходимые порты, используя UFW, но есть ли какие-либо другие правила, чтобы сделать безопасный сервер, как DOS, Sync или любые другие (я понятия не имею об этом), или все необходимые безопасные правила предварительно определены в UFW? Как предотвратить любую атаку и должен ли какой-либо сайт проверять уровень безопасности моего сервера?

Пожалуйста, дайте мне предложение сделать безопасный сервер Linux.

1

firewall iptables port ufw

Источник

Nullpointer 14 июн '17 в 10:47

1 ответ

Другие вопросы по тегам firewall iptables port ufw

vera 14 июн '17 в 13:55 2017-06-14 13:55 · Answer 1 · 2017-06-14 13:55

Я не знаю базовую конфигурацию ufw, однако, поскольку вы упомянули о разрешении портов, вот несколько соображений:

блокировка портов для входящего трафика не означает повышения безопасности. Я имею в виду, что если вы блокируете порт, который не открыт (т. Е. Ни один сервис не прослушивает этот порт), то это в основном безопасность по незаметности;
блокирование портов для исходящего трафика может иногда блокировать. Вы не можете заблокировать порты> 1024, так как вы заблокируете все исходящие соединения, инициированные вашим сервером (ssh-клиент, http-клиент, DNS-запросы с вашего сервера, ...);
Затем вы можете заблокировать трафик, инициируемый вашим сервером через порты < 1024 (например, трафик TCP с флагом SYN, исходный IP которого является вашим сервером), чтобы не дать злоумышленнику, который уже имеет доступ к вашему серверу, обмениваться данными с вашего сервера. Но это было бы не очень полезно, поскольку (как видно из предыдущего пункта) исходящая связь может осуществляться через более широкий диапазон портов.

Но что вы действительно можете сделать, так это уменьшить поверхность атаки:

ограничить до минимума услуг, на которых работает ваш сервер (даже если он не является публичным). Например, закройте ваш http-сервер (nginx, apache, ..), если вы его не используете;
избегать установки неустановленного программного обеспечения;
всегда обновлять программное обеспечение (и любые компоненты, например, ядро WordPress и плагины)
безопасный ssh (посмотрите на https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html)
- используйте ключи ssh вместо паролей. Вы также можете настроить 2FA
- пользователи из белого списка, которым предоставлен доступ к вашему серверу
вы можете настроить стук портов на слушающих портах (например, ssh)
Вы можете использовать другие инструменты, чтобы помочь вам повысить безопасность (fail2ban,...)

Сообщество может дать вам много других советов, но не забывайте, что безопасность - это не одноразовое действие, а безопасность - это постоянное действие (обновления, мониторинг журналов,...).