У меня есть веб-сервер, на котором запущены плексы, и меня каждый день атакуют. Я настроил брандмауэр, и есть несколько предопределенных служб, таких как www, ftp и т. Д.
Я планирую заблокировать все порты, кроме порта www и порта PLESK. Например, когда мне понадобится доступ по ftp или ssh, я открою порты в PLESK, а затем начну работать.
Это хорошо, или есть некоторые недостатки в этом.
Я не уверен в некоторых портах, например SMTP, POP3, IMAP, DNS. Могу ли я закрыть эти порты, или в этом нет необходимости.
С вами, вероятно, все будет в порядке, но, возможно, вам лучше оставить дыру для вашего IP-адреса на случай, если что-то пойдет не так. Вы также можете убедиться, что не блокируете соединения с 127.0.0.1, так как это IP-адрес localhost и может быть необходимо, чтобы внутренние службы подключались к самим себе, чтобы все работало должным образом (это зависит от того, какой тип материала у вас есть работает в системе).
Что касается упомянутых вами портов, вот что это такое, вы можете закрыть их, если не используете их:
SMTP: электронная почта (сервер на сервер или входящая) (необходимо для приема электронной почты, если этот сервер получает электронную почту для вашего домена)
POP3: почтовые клиенты (необходимы, если к этому серверу подключены почтовые клиенты)
IMAP: почтовые клиенты (необходимы, если к этому серверу подключены почтовые клиенты)
DNS: службы доменных имен (необходимы, если этот сервер является основным для доменов, которые он размещает)
Удачи,
--джед
Разумным подходом было бы запретить все подключения по умолчанию, и открывать порты только тогда, когда они продемонстрировал необходимость для какой-то уважительной цели.
Однако будьте осторожны, чтобы не быть слишком невосприимчивым к запросам пользователей: убедитесь, что, когда любой пользователь запрашивает открытие порта, запрос пользователя рассматривается быстро, наглядно и серьезно чтобы все пользователи видели, иначе вы просто получите базу пользователей, работающую над списком блокировки, туннелируя через порты, которые вы открываете.
почему бы не открыть ssh только для вашего диапазона IP ... таким образом, если plesk выйдет из строя, вы не заблокированы ..
Кроме того, вы можете использовать ssh-ключи, чтобы сделать его еще более безопасным и запретить вход по паролю.