IPTables - Eu realmente preciso disso? [duplicado]

Navegue suas respostas
7

Eu tenho um pequeno servidor com WEB + FTP. Eu verifiquei as portas e apenas 80 + 21 estão abertas.

Então, agora a questão é: eu realmente preciso do iptables? Essas duas portas devem ser abertas para todos e as outras já estão fechadas. Eu não acho que uma pessoa poderia abrir as portas sem um controle de raiz (de fora do servidor). Então, o iptables é útil para mim?

    
por Dail 02.05.2011 / 01:35

4 respostas

10

Se eu entendi sua pergunta, você não tem nenhuma regra de iptables e está perguntando se realmente precisa dela se as únicas portas abertas que você tem são aquelas de serviços em execução ativos, está correto?

Resposta curta: sim, você deve ter um conjunto de regras iptables em funcionamento em seu servidor, mesmo que as únicas portas abertas sejam os serviços que você deseja executar lá. Lembre-se também de manter as regras e adicionar / remover serviços adicionados ou removidos do servidor.

Resposta longa e exemplificada: Teoricamente, você não precisaria disso, mas segurança significa tornar a vida do invasor mais difícil. Suponha que seu servidor tenha um script que contenha um bug e alguém o explore e injete um servidor de shell remoto (até mesmo um simples netcat fará). Se o servidor não tiver um firewall em suas conexões frontais ou de bloqueio local, o invasor poderá se conectar a esse shell explorado. Se você adicionar regras iptables corretas e em funcionamento, o invasor não poderá se conectar (porque iptables bloqueou qualquer tráfego que não esteja nas portas permitidas).

Mesmo se você tiver um firewall na frente de seus servidores, um script básico do iptables é uma boa prática, como eu disse, seu trabalho é adicionar camadas de segurança ( Defesa em profundidade ) por isso, se uma camada falhar, outras ainda estarão atrasadas no ataque.

    
por 02.05.2011 / 02:05
4

Não, você não precisa para ter as regras iptables .

No entanto, você deseja tê-los por vários motivos:

  • Tornar mais difícil para as pessoas fazer um portscanning
  • Detectar tentativas de força bruta
  • Filtrar contra ataques

Veja meu Wiki da comunidade, "Dicas e truques do IPTables" . Você pode encontrar alguma inspiração lá.

    
por 02.05.2011 / 04:52
2

Sim. Pelo menos muito , ele abrirá a porta 20 adequadamente para que o FTP ativo funcione. Além disso, impedirá conexões com programas hostis que iniciem um servidor em sua máquina.

    
por 02.05.2011 / 01:37
2

O Iptables deve estar sempre sendo executado em todos os servidores públicos, mesmo que haja um firewall de fornecedor entre você e a Internet. A principal coisa a lembrar com toda a segurança do computador é que todos os sistemas podem ser explorados a menos que sejam desligados. Com isso em mente, você está tentando colocar barreiras no caminho de qualquer invasor.

Como o coredump mencionou em sua resposta, o Iptables pode ajudar a impedir que um programa de exploração do espaço do usuário seja executado em uma porta alta, a partir da aceitação de conexões. Também é possível impedir que o seu host converse com segmentos de rede específicos, se necessário, com a cadeia OUTPUT. Além disso, você pode evitar que muitos ataques TCP sejam executados em seu sistema usando o módulo de estado e permitindo apenas pacotes relacionados por padrão, permitindo apenas "novos" pacotes para seu servidor web e ftp.

    
por 02.05.2011 / 03:15

Tags

Uma VM pode funcionar melhor quando apenas dois núcleos em vez de quatro núcleos são apresentados a ela? O que é isso (hardware do servidor)?