Terokai cara melindungi pelayan Linux anda

Tidak kira pengedaran Linux yang anda gunakan, anda perlu melindunginya dengan tembok api berasaskan iptables.

Aha! Anda telah menyediakan pelayan Linux pertama anda dan bersedia untuk digunakan! Betul ke? Baik, tunggu.

Secara lalai, sistem Linux anda tidak cukup selamat daripada penyerang. Sudah tentu, ia jauh lebih selamat daripada Windows XP, tetapi itu tidak bermakna.

Untuk menjadikan sistem Linux anda benar-benar selamat, anda perlu mengikuti Linode Panduan Keselamatan Pelayan.

Secara amnya, anda mesti mematikan perkhidmatan yang tidak anda perlukan terlebih dahulu. Sudah tentu, untuk melakukan ini, anda perlu terlebih dahulu mengetahui perkhidmatan rangkaian yang anda gunakan.

Anda boleh menggunakan arahan shell untuk mengetahui perkhidmatan mana:

netstat -tulpn

netstat akan memberitahu anda perkhidmatan yang sedang dijalankan dan port yang digunakan oleh perkhidmatan tersebut. Jika anda tidak memerlukan perkhidmatan atau port, anda harus mematikannya. Sebagai contoh, melainkan anda menjalankan tapak web, anda tidak memerlukan pelayan Apache atau Nginx berjalan, dan anda juga tidak perlu membuka port 80 atau 8080.

Pendek kata, kalau tak pasti, matikan dulu.

Pada pelayan Linux yang ringkas tanpa sebarang perubahan tambahan, anda akan melihat SSH, RPC dan NTPdate berjalan pada port awam mereka. Jangan tambahkan program shell lama dan tidak selamat seperti telnet, jika tidak pemandu lama akan menghalau kereta sukan Linux anda tanpa anda sedari. Mungkin anda menyukai telnet sebagai log masuk sandaran ke mesin SunOS anda pada tahun 1980-an, tetapi itu sudah lama berlalu.

Untuk SSH, anda harus menggunakan kekunci RSA dan Fail2Ban untuk pengerasan. Melainkan anda memerlukan RPC, nyahpasangnya - jika anda tidak tahu anda tidak memerlukannya, anda tidak memerlukannya.

Cukup tentang mengunci; mari kita bercakap tentang mengunci trafik masuk menggunakan iptables.

Tiada peraturan apabila anda memulakan pelayan Linux. Ini bermakna semua lalu lintas dibenarkan. Sudah tentu ini buruk. Oleh itu, anda perlu menyediakan tembok api anda tepat pada masanya.

Iptables ialah alat shell yang digunakan untuk menetapkan peraturan dasar rangkaian untuk netfilter ialah tembok api lalai di bawah sistem Linux. Ia menggunakan satu set peraturan untuk membenarkan atau melarang trafik. Apabila seseorang cuba menyambung ke sistem anda - dan sesetengah orang mencuba ini sepanjang masa dan tidak pernah putus asa - iptables menyemak untuk melihat sama ada permintaan tersebut sepadan dengan senarai peraturan. Jika tiada peraturan dipadankan, ia mengambil tindakan lalai.

Operasi lalai adalah untuk "Menggugurkan" sambungan, yang bermaksud melarang penceroboh yang dimaksudkan ini. Dan ia tidak memberitahu mereka apa yang berlaku dengan siasatan rangkaian ini. (Anda juga boleh "Menolak" pautan, tetapi itu juga akan memberitahu mereka bahawa anda mempunyai tembok api Linux yang sedang berjalan. Buat masa ini, semakin sedikit maklumat yang orang asing boleh masuk ke dalam sistem kami, lebih baik. Sekurang-kurangnya, saya fikir begitu)

Kini, anda boleh menggunakan iptables untuk menyediakan tembok api anda. Saya sudah melakukan ini. Seperti sebelum ini, saya menunggang basikal saya ke tempat kerja enam batu jauhnya dan ia menanjak di kedua-dua belah pihak. Dan sekarang, saya memandu ke sana.

Ini sebenarnya metafora untuk penggunaan FirewallD saya dalam pengedaran Fedora dan UFW (Uncomplicated Firewall) dalam pengedaran Debian. Ini adalah hujung hadapan shell yang mudah digunakan untuk iptables. Anda boleh mendapatkan penggunaan yang sesuai dalam panduan Linode berikut: FirewallD dan UFW.

Pada asasnya menetapkan peraturan ini adalah seperti meletakkan tanda "tidak masuk" pada pelayan anda. gunakannya.

Tetapi jangan terlalu teruja dan tutup semua pautan. Contohnya:

sudo ufw default deny incoming

Nampak seperti idea yang bagus. Jangan lupa, ia melarang semua pautan, termasuk pautan anda!

Hebat, itulah yang dilakukannya. Ini bermakna ia juga melumpuhkan log masuk SSH. Ini bermakna anda tidak lagi boleh log masuk ke pelayan baharu anda. Wah!

Namun, jika anda tersilap, lebih banyak pautan akan dilarang secara tidak sengaja. Anda lihat, pemandu veteran itu juga disekat oleh anda.

Atau, lebih tepat lagi, ini bukan fenomena terpencil yang dialami oleh anda atau pelayan anda. Sudah tentu, anda bukan Agensi Keselamatan Negara (NSA) yang tertakluk kepada lebih 300 juta percubaan serangan setiap hari. Tetapi skrip serangan tidak peduli siapa anda. Ia hanya memeriksa secara berterusan untuk pelayan yang mempunyai kelemahan yang diketahui dalam rangkaian. Pada hari biasa pelayan kecil saya sendiri akan terkena ratusan serangan.

Itu sahaja, apa tunggu lagi? Teruskan dan keraskan perkhidmatan rangkaian anda. Pasang FirewallD atau UFW untuk mengeraskan pelayan anda. Anda akan sanggup melakukannya.

Atas ialah kandungan terperinci Terokai cara melindungi pelayan Linux anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!