Configurando corretamente o UFW no Ubuntu Server 10 LTS que possui Nginx, FastCGI e MySQL?

4

Estou desejando que meu firewall no meu novo servidor da web seja tão seguro quanto necessário. Depois que fiz pesquisas para o iptables, me deparei com o UFW (Uncomplicated FireWall). Isso parece uma maneira melhor de configurar um firewall no Ubuntu Server 10 LTS e, como isso faz parte da instalação, parece fazer sentido.

Meu servidor terá Nginx, FastCGI e MySQL. Eu também quero permitir o acesso SSH (obviamente). Então, estou curioso para saber exatamente como devo configurar o UFW e há mais alguma coisa que eu preciso levar em consideração? Depois de fazer uma pesquisa, encontrei um artigo que explica desta forma:

# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload

Tudo isso parece fazer sentido para mim. Mas tudo está correto? Quero confirmar isso com outras opiniões ou conselhos para garantir que eu faça isso no meu servidor.

Muito obrigado!

    
por littlejim84 10.08.2010 / 22:27

2 respostas

1

Use o limite ufw [PORT] em vez de ufw permitir [PORT] para que você possa evitar ataques de força bruta.

   ufw supports connection rate limiting, which is useful  for  protecting
   against  brute-force  login attacks. ufw will deny connections if an IP
   address has attempted to initiate 6 or more connections in the last  30
   seconds.

Abaixo está como eu configuraria o firewall do ufw usando suas regras.

Primeiro, altere a porta SSH em: / etc / ssh / sshd_config

Em seguida, recarregue a configuração: /etc/init.d/ssh reload

Então: ufw default deny

Então: logging do ufw

Então: ufw limit 5555

Então: ufw permite 80 / tcp

Depois de ter todas as suas configurações de regras, ative o ufw: ufw enable

    
por 29.05.2012 / 06:10
0

Eu tomaria muito cuidado com o firewall do SSH sem saber exatamente o que você está fazendo - pode valer a pena tentar o SSH para uma certa rede começar a testar. Não sei quão rápido o LFW entra em vigor ou se afeta as conexões estabelecidas, mas se isso ocorrer com efeito imediato, você definitivamente deve alterar o número da porta do SSH antes de desativar o firewall do que está usando atualmente para conectar. p>     

por 11.08.2010 / 00:22