我对防火墙有一些一般性的问题,我认为这里的社区可以帮助我。
1) 所以我最近安装了 Ubuntu 服务器准系统。我检查了开放端口,没有开放端口,这很好。这是因为安装了防火墙还是因为没有安装应用程序?
2) 我安装了一些应用程序(Apache、postgres、ssh、Java 应用程序等)。在这些应用程序之间,我最终打开了一些端口(约 10 个)。现在我有了需要打开的所有端口的列表。那么,我该如何保护它们呢?[这是正确的问题吗?流程是否像这样,安装防火墙 -> 允许所述所需端口 -> 使用 IPtables 规则拒绝其余端口]
这将对互联网开放。托管低流量电子商务网站。
3) 您认为对我来说,确保服务器安全最简单的方法是什么?[维护成本低/简单。有没有什么开源“软件”可以让我的生活更轻松?]
4) 最后,在上述开放端口 [2] 中,我需要关闭 2 个端口,因为它们是 telnet 端口。我可以关闭这些端口而不安装“防火墙”吗?
感谢大家的帮助,圣诞快乐!!!!!!
答案1
- 您没有监听端口,因为您没有监听进程。Ubuntu 在默认安装中在这方面做得很好。那些需要监听端口的进程通常默认使用 localhost (127.0.0.1)。这可以防止远程系统直接访问。
- Apache 和 SSH 服务器等应用程序需要监听来自远程服务器的连接。Apache 有自己的 ACL 列表来保护访问。除了配置之外,还可以使用 hosts.allow 和 hosts.deny 文件保护 SSH 服务器。默认情况下,MySQL 和 PostressSQL 等应用程序应在本地主机上监听。如果您需要从其他系统访问,则需要更改其监听器配置。它们通常会有一种或多种保护访问的机制。
- 对于支持此机制的应用程序,请使用 hosts.allow/hosts.deny。使用防火墙构建器,例如岸墙构建安全防火墙很有帮助。了解每个应用程序自身的安全机制有助于深入了解您的机制。像 logcheck 这样的工具可以监控您的日志并通知您可能需要检查的一些事件。我使用 Munin 来监控我的系统,在某些情况下会提醒我出现问题。这取代了以前使用 Nagion 和 MRTG 来监控和绘制系统使用情况。
- 如果您正在运行 telnet,则可以通过停止服务来关闭端口。除非您确实需要它,否则请删除 telnet 包并将其替换为 ssh-server。大多数 telnet 服务器支持使用 hosts.allow/hosts.deny 来限制访问。这也适用于在 inetd 或 xinetd 下运行的应用程序。MySQL 和 PostgreSQL 应该只监听 127.0.0.1,因为它是安全的,不会从服务器外部直接访问。
我通常的 Shorewall 防火墙配置从服务器上接口数量的示例配置开始(或访问区域:NET、LAN、DMZ)。请注意,如果区域共享接口和/或路由器,则安全性可能会低于应有的水平。然后我根据需要调整规则。
我经常禁用任何默认的出站访问策略。这些策略被替换为允许在所需端口(DNS、NTP、SMTP 等)上进行出站访问的规则。
答案2
1.)你可以随时检查iptables -L此输出代表没有防火墙:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2.) 是的,只需允许接口(即 eth0)上的输入链中的端口并放弃其他所有内容。
你还应该做一些其他的事情,例如:
- 无效的
- 圣诞节 (SYN+FIN+ACK)
- 同步结束
不要忘记设置重要的 sysctl 选项
3.)简单的方法:
- 防火墙:http://easyfwgen.morizot.net/gen/
- 日志分析工具,可告知您有关威胁
- 其他进行主动检查的工具(例如 fail2ban)
- 监控工具,告知你机器的状态(例如 zabbix、nagios)
4.)输入以下命令
root@host:~# netstat -npl | grep LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1417/telnet
有趣的数字是 telnet 后面的 1417(进程号)。使用以下命令将其终止杀死-9 1417
但要小心你杀死的东西!
如果您不想杀死它,您可以使用防火墙来拒绝使用该端口......
答案3
1) 您可以(自己检查)安装 ssh,然后尝试查看另一台计算机上是否使用 nmap 显示端口 22 已打开。 2) 这是一个大问题。您必须确切知道要为您的服务提供何种保护…… 3) ? 4) 关闭 inetd 服务