如何使用防火墙确保 Linux 服务器的安全

Question

我不知道的基本配置联邦快递，但是既然您提到允许端口，这里有一些想法：

封锁传入流量的端口并不意味着增强安全性。我的意思是，如果你封锁未打开的端口（即没有服务侦听该端口），主要是通过隐蔽性来实现安全性；
阻止传出流量的端口有时可能会阻塞。您不能阻止大于 1024 的端口，因为您将阻止由您的服务器发起的所有传出连接（ssh 客户端、http 客户端、来自您的服务器的 dns 请求，...）；
然后，您可以阻止您的服务器在端口 < 1024 上发起的流量（例如，带有 SYN 标志的 TCP 流量，其源 IP 是您的服务器），以防止已经有权访问您的服务器的攻击者从您的服务器进行通信。但这不是很有用，因为（如上文所述）传出通信可以通过更高的端口范围进行。

但您真正可以做的是通过以下方式减少攻击面：

限制服务器运行的最低限度的服务（即使它不是公开的）。例如，如果你不使用 http 服务器（nginx、apache 等），请将其关闭；
避免安装不受维护的软件；
始终更新软件（以及任何组件，例如 wordpress 核心和插件）
安全 ssh（查看https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html）
- 使用 ssh 密钥代替密码。您还可以设置 2FA
- 将有权访问你的服务器的用户列入白名单
您可以设置端口敲击您的监听端口（例如 ssh）
您可以使用其他工具来帮助您增强安全性（fail2ban，...）

社区可以给你很多其他建议，但不要忘记安全不是一次性的行动，安全是一项永久的行动（更新、日志监控……）。

Answer 1

我不知道的基本配置联邦快递，但是既然您提到允许端口，这里有一些想法：

封锁传入流量的端口并不意味着增强安全性。我的意思是，如果你封锁未打开的端口（即没有服务侦听该端口），主要是通过隐蔽性来实现安全性；
阻止传出流量的端口有时可能会阻塞。您不能阻止大于 1024 的端口，因为您将阻止由您的服务器发起的所有传出连接（ssh 客户端、http 客户端、来自您的服务器的 dns 请求，...）；
然后，您可以阻止您的服务器在端口 < 1024 上发起的流量（例如，带有 SYN 标志的 TCP 流量，其源 IP 是您的服务器），以防止已经有权访问您的服务器的攻击者从您的服务器进行通信。但这不是很有用，因为（如上文所述）传出通信可以通过更高的端口范围进行。

但您真正可以做的是通过以下方式减少攻击面：

限制服务器运行的最低限度的服务（即使它不是公开的）。例如，如果你不使用 http 服务器（nginx、apache 等），请将其关闭；
避免安装不受维护的软件；
始终更新软件（以及任何组件，例如 wordpress 核心和插件）
安全 ssh（查看https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html）
- 使用 ssh 密钥代替密码。您还可以设置 2FA
- 将有权访问你的服务器的用户列入白名单
您可以设置端口敲击您的监听端口（例如 ssh）
您可以使用其他工具来帮助您增强安全性（fail2ban，...）

社区可以给你很多其他建议，但不要忘记安全不是一次性的行动，安全是一项永久的行动（更新、日志监控……）。

相关内容