Я хочу, чтобы мой брандмауэр на моем новом веб-сервере был настолько безопасным, насколько это необходимо. После исследования iptables я наткнулся на UFW (Uncomplicated FireWall). Похоже, для меня это лучший способ настроить брандмауэр на Ubuntu Server 10 LTS, и, видя, что это часть установки, это кажется логичным.
На моем сервере будут Nginx, FastCGI и MySQL. Я также хочу иметь доступ по SSH (очевидно). Так что мне любопытно точно знать, как мне настроить UFW и что еще мне нужно принять во внимание? Проведя исследование, я обнаружил статья это объясняет это так:
# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload
Мне кажется, все это имеет смысл. Но все ли правильно? Я хочу подкрепить это любыми другими мнениями или советами, чтобы убедиться, что я делаю это прямо на моем сервере.
Большое спасибо!
Используйте ограничение ufw [PORT] вместо ufw allow [PORT], чтобы вы могли предотвратить атаки методом грубой силы.
ufw supports connection rate limiting, which is useful for protecting
against brute-force login attacks. ufw will deny connections if an IP
address has attempted to initiate 6 or more connections in the last 30
seconds.
Ниже описано, как настроить брандмауэр ufw, используя ваши правила.
Сначала измените порт SSH в: / etc / ssh / sshd_config
Затем перезагрузите конфигурацию: /etc/init.d/ssh reload
Тогда: ufw default deny
Затем: вход в систему ufw
Тогда: предел ufw 5555
Затем: ufw allow 80 / tcp
После того, как вы настроили все свои правила, включите ufw: ufw enable
Я был бы очень осторожен при отключении брандмауэра от SSH, не зная точно, что вы делаете - возможно, для начала стоит попробовать отключить его для определенной сети для начала тестирования. Я не знаю, насколько быстро LFW вступает в силу и влияет ли он на установленные соединения, но если он вступает в силу немедленно, вам определенно следует изменить номер порта SSH, прежде чем отключать брандмауэр от того, который вы сейчас используете для подключения.