Назад | Перейти на главную страницу

Правильно настраиваете UFW на Ubuntu Server 10 LTS с Nginx, FastCGI и MySQL?

Я хочу, чтобы мой брандмауэр на моем новом веб-сервере был настолько безопасным, насколько это необходимо. После исследования iptables я наткнулся на UFW (Uncomplicated FireWall). Похоже, для меня это лучший способ настроить брандмауэр на Ubuntu Server 10 LTS, и, видя, что это часть установки, это кажется логичным.

На моем сервере будут Nginx, FastCGI и MySQL. Я также хочу иметь доступ по SSH (очевидно). Так что мне любопытно точно знать, как мне настроить UFW и что еще мне нужно принять во внимание? Проведя исследование, я обнаружил статья это объясняет это так:

# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload

Мне кажется, все это имеет смысл. Но все ли правильно? Я хочу подкрепить это любыми другими мнениями или советами, чтобы убедиться, что я делаю это прямо на моем сервере.

Большое спасибо!

Используйте ограничение ufw [PORT] вместо ufw allow [PORT], чтобы вы могли предотвратить атаки методом грубой силы.

   ufw supports connection rate limiting, which is useful  for  protecting
   against  brute-force  login attacks. ufw will deny connections if an IP
   address has attempted to initiate 6 or more connections in the last  30
   seconds.

Ниже описано, как настроить брандмауэр ufw, используя ваши правила.

Сначала измените порт SSH в: / etc / ssh / sshd_config

Затем перезагрузите конфигурацию: /etc/init.d/ssh reload

Тогда: ufw default deny

Затем: вход в систему ufw

Тогда: предел ufw 5555

Затем: ufw allow 80 / tcp

После того, как вы настроили все свои правила, включите ufw: ufw enable

Я был бы очень осторожен при отключении брандмауэра от SSH, не зная точно, что вы делаете - возможно, для начала стоит попробовать отключить его для определенной сети для начала тестирования. Я не знаю, насколько быстро LFW вступает в силу и влияет ли он на установленные соединения, но если он вступает в силу немедленно, вам определенно следует изменить номер порта SSH, прежде чем отключать брандмауэр от того, который вы сейчас используете для подключения.