Ait*_*tch 59 security vps firewall configuration
我为我工作的公司管理一些基于云的 (VPS) 服务器。
服务器是运行 LAMP 堆栈/入站数据收集 (rsync) 位的最小 ubuntu 安装。数据很大但不是个人的、财务的或类似的东西(即不是那么有趣)
显然,在这里人们永远在询问配置防火墙之类的问题。
我使用了很多方法来保护服务器,例如(但不限于)
我有丰富的 unix sys admin 经验。我相信我知道我在我的设置中做什么。我配置 /etc 文件。我从来没有觉得有必要安装防火墙之类的东西:iptables 等。
暂时搁置 VPS 的物理安全问题。
问?我无法决定我是天真还是 fw 可能提供的增量保护值得学习/安装以及服务器上的额外复杂性(包、配置文件、可能的支持等)。
迄今为止(触摸木头)我从未遇到过任何安全问题,但我也不对此自满。
Mad*_*ter 89
我注意到您在绑定几个不同的守护进程方面做得很好,从您所说的情况来看,我认为您不太可能通过已经保护的那些服务让自己遇到麻烦。这仍然使您处于“除了我禁止的之外,一切都被允许”的状态,并且您无法通过追捕一个又一个守护进程并一个接一个保护它们来摆脱这种状态。
配置为DENY ANY ANY 的防火墙默认情况下的会将您移动到“除了允许的之外,一切都被禁止”的操作模式,多年来我发现它们更好。
现在,给定一个合法用户在你的系统上有一个合法的 shell,她可以决定运行一些本地的非特权守护进程来代理互联网的 web 请求,或者在端口 4662 上开始文件共享,或者不小心使用 -g 打开一个监听器使用 ssh 端口隧道,不了解它的作用;或者 sendmail 安装可能会让您在端口 587 上运行 MUA,尽管您已经完成了在端口 25 上保护 MTA sendail 的所有工作,但该端口配置不正确;或者一百零一件事情可能会绕过您的谨慎和周到的安全措施,仅仅是因为当您仔细考虑要禁止什么时它们不在身边。
你明白我的意思吗?目前,你已经付出了很多努力来保护你所知道的所有东西,听起来它们不会咬你。可能会咬你的是你不知道的东西,或者现在根本不存在的东西。
默认为DENY ANY ANY 的防火墙是系统管理员的说法,如果出现新的东西并在此服务器上打开网络侦听器,则在我明确授予之前,没有人能够与之交谈。
lui*_*nal 15
最小特权原则。防火墙可帮助您实现目标。纵深防御原则。防火墙也可以帮助您到达那里。任何设计良好的配置都以一种或另一种方式明确依赖于这两者。
另一件事是,您的服务器很可能是商品硬件,或专门用于处理在标准服务器操作系统(Unix、NT、Linux)上运行的服务器软件的硬件。也就是说,他们没有专门的硬件来有效地处理和过滤传入的流量。您是否希望您的服务器处理每一个可能的多播、ICMP 数据包或端口扫描?
很可能您想要的是让您的服务器物理处理仅对某些端口(80、443、您的 ssl 端口、您的典型 oracle 1521 端口、您的 rsync 端口等)的请求。是的,您当然在您的服务器上设置了软件防火墙。服务器仅侦听这些端口。但是您的 NIC 仍将首当其冲地承受不需要的流量(无论是您组织中的恶意流量还是正常流量)。如果您的 NIC 受到攻击,那么通过您的服务器的网络路径(以及可能在您的服务器和内部客户端之间以及到其他内部服务器和服务。)
不仅您的 NIC 受到攻击,您的软件防火墙也将被使用,因为它必须检查它获得的每个数据包或数据报。
另一方面,防火墙,特别是子网边缘的防火墙(或将您的子网与外部世界分开)往往是专门为处理这种类型的卷而构建的专用硬件。
您可以用 M 个防火墙包围 N 个服务器(N >> M)。并且您将防火墙硬件设置为转储任何不指向特定端口的内容。端口扫描、ICMP 和其他废话都被淘汰了。然后根据服务器的特定功能微调服务器中的软件防火墙。
现在您刚刚降低(但并未消除)完全停电的可能性,将其降低为网络分区或最坏的部分故障。因此,您提高了系统抵御攻击或错误配置的能力。
没有防火墙,因为您的服务器有防火墙,就像在因大雾而以 120 英里/小时的速度行驶时系好安全带一样安全。它不会那样工作。
| 归档时间: |
|
| 查看次数: |
7257 次 |
| 最近记录: |