Tűzfal konfigurálása (szerverbiztonsági optimalizálás)
Biztonsági terv: Nyisd ki a 80 22-es port és nyitja a hurkot (127.0.0.1 körcím)
# iptables –P INPUT ACCEPT
# iptables –P KIMENET ELFOGADÁS
# iptables –P ELŐRE ELFOGADNI
A fenti lépések célja, hogy megakadályozzák, hogy a távoli kapcsolat minden kérésen áttörjön, ha távolról működtetik, mielőtt minden szabályt megtisztítanának.
Ezután töröld a szerver beépített szabályait és a felhasználó által definiált szabályokat:
# iptables –F
# iptables -X
Nyisd ki az ssh portot távoli összekapcsoláshoz:
# iptables –A INPUT –p tcp –dport 22 –j ACCEPT
Ezután zárd be a INPUT és FORWARD kéréseket:
# iptables –P INPUT DROP
# iptables –P ELŐRE ESÉS
Ezután állíts be egy hurkot, hogy egy olyan csomag, mint a ping 127.0.0.1, áthaladhasson. A php később ezt a szabályt fogja használni,
Nginx a php-fpm hozzáférési cím beállításához: http://127.0.0.1:9000 Ezt a szabályt használják
# iptables –A INPUT –i lo –j ACCEPT
Ezután állítsd be, hogy más gépek is pingelhessék a gépet, vagy nem engedélyezik, biztonságosabb lesz nem engedélyezni.
# iptables –A INPUT –p icmp –j ACCEPT
Ezután nyissa meg a 80-as webszolgáltatás portot
# iptables –A INPUT –p tcp –dport 80 –j ACCEPT
Utolsó mentési beállítások:
# iptables-save
# Szolgáltatás iptables újraindítása
Ekkor az összes külső port, kivéve a 22 80-at, lezárva, és a szerver bármely porton keresztül küldhet kimenő kéréseket, de a külső kérések csak a 80-as és 22-es portokon keresztül léphetnek be a belső térbe.
|
Közzétéve 2014. 11. 03. 16:04:29
|
|
|
