endurecimento do meu servidor de lâmpadas. Eu preciso de um firewall?

Navegue suas respostas
1

Estou configurando meu primeiro servidor Lamp no Debian Linux (Lenny). Eu sou um completo newb então por favor perdoe minha ignorância.

Estou tentando proteger o servidor e acabei de remover todas as portas abertas desnecessárias usando a saída netstat. Eu tenho apenas 2 portas abertas que são as portas http e mysql.

Se eu só tenho essas duas portas abertas, isso significa que elas são as únicas duas pelas quais alguém / alguma coisa pode lançar um ataque na minha máquina? Preciso configurar um firewall se essas forem as duas únicas portas abertas? Obviamente, no futuro, eu precisarei abrir outras portas para coisas como ssh etc.

Obrigado

    
por elduderino 24.07.2010 / 21:22

2 respostas

5

  1. você realmente precisa acessar o acesso remoto ao mysql? talvez você possa limitá-lo um pouco ou talvez o acesso mysql sobre localhost / loopback seja suficiente?

  2. você limitou as conexões OUTGOING? mesmo se você tiver algum software vulnerável que limita as conexões de saída, você ajudará a impedir o download de carga útil potencialmente prejudicial.

regras sugeridas: 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -F
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s your.trusted.ip.address -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

quando você precisar executar atualizações do sistema: 

iptables -I OUTPUT -j ACCEPT

quando terminar: 

iptables -D OUTPUT -j ACCEPT
    
por 24.07.2010 / 21:30
0

É algo a considerar.

Ter um firewall no local ou nessa caixa ou antes que possa ser útil na linha. E se você quiser banir um usuário abusivo do seu serviço? Em vez de se preocupar com a implementação disso no seu aplicativo, você pode fazer isso com o iptables. Mesmo com a prevenção contra inundações SYN.

E quanto à limitação de taxa de largura de banda? Isso também pode ser útil na estrada.

Por fim, não se esqueça de alguns dos truques redirecionamentos que você pode realizar se decidir coloque um proxy entre seus usuários e seu servidor da web.

    
por 25.07.2010 / 19:35

Tags

Servidor Linux - banco de dados de produção de backup assinatura dkim está falhando (de acordo com o spamassassin) e preciso de detalhes para resolvê-lo