Διαμόρφωση τείχους προστασίας (βελτιστοποίηση ασφάλειας διακομιστή)
Σχέδιο ασφαλείας: Ανοιχτή θύρα 80 22 και ανοιχτός βρόχος (διεύθυνση βρόχου 127.0.0.1)
# iptables –P ΕΙΣΟΔΟΣ ΑΠΟΔΟΧΗ
# iptables – ΑΠΟΔΟΧΗ ΕΞΟΔΟΥ P
# iptables –P ΠΡΟΣ ΤΑ ΕΜΠΡΟΣ ΑΠΟΔΟΧΗ
Τα παραπάνω βήματα είναι για να αποτρέψετε τη διάρρηξη όλων των αιτημάτων από την απομακρυσμένη σύνδεση, εάν λειτουργεί εξ αποστάσεως πριν από την εκκαθάριση όλων των κανόνων.
Στη συνέχεια, καταργήστε την επιλογή των ενσωματωμένων κανόνων του διακομιστή και των κανόνων που ορίζονται από το χρήστη:
# iptables –F
# iptables -Χ
Ανοίξτε τη θύρα ssh για απομακρυσμένη σύνδεση:
# iptables –A ΕΙΣΟΔΟΣ –p tcp –dport 22 –j ΑΠΟΔΟΧΗ
Στη συνέχεια, κλείστε τα αιτήματα INPUT και FORWARD:
# iptables – P ΣΤΑΣΗ ΕΙΣΟΔΟΥ
# iptables –P ΕΜΠΡΟΣ ΤΑ ΕΜΠΡΟΣ ΠΤΩΣΗ
Στη συνέχεια, ρυθμίστε έναν βρόχο έτσι ώστε ένα πακέτο όπως το ping 127.0.0.1 να μπορεί να περάσει. Η php θα χρησιμοποιήσει αυτόν τον κανόνα αργότερα,
Nginx για να ορίσετε τη διεύθυνση πρόσβασης php-fpm: http://127.0.0.1:9000 Αυτός ο κανόνας χρησιμοποιείται
# iptables –A INPUT –i lo –j ΑΠΟΔΟΧΗ
Στη συνέχεια, ρυθμίστε το να επιτρέπετε σε άλλα μηχανήματα να κάνουν ping στο μηχάνημα ή να μην το επιτρέπουν, θα είναι ασφαλέστερο να μην το επιτρέπετε.
# iptables –A ΕΙΣΟΔΟΣ –p icmp –j ΑΠΟΔΟΧΗ
Στη συνέχεια, ανοίξτε τη θύρα υπηρεσίας web 80
# iptables –A ΕΙΣΟΔΟΣ –p tcp –dport 80 –j ΑΠΟΔΟΧΗ
Ρυθμίσεις τελευταίας αποθήκευσης:
# iptables-αποθήκευση
# Επανεκκίνηση της υπηρεσίας iptables
Σε αυτό το σημείο, όλες οι εξωτερικές θύρες εκτός από την 22 80 έχουν κλείσει και ο διακομιστής μπορεί να στείλει εξερχόμενα αιτήματα μέσω οποιασδήποτε θύρας, αλλά τα εξωτερικά αιτήματα μπορούν να εισέλθουν στο εσωτερικό μόνο μέσω των θυρών 80 και 22.
|
Δημοσιεύτηκε στις 3/11/2014 4:04:29 μ.μ.
|
|
|
