Egal welche Linux-Distribution Sie verwenden, Sie müssen sie mit einer iptables-basierten Firewall schützen.
Aha! Sie haben Ihren ersten Linux-Server eingerichtet und können loslegen! Ist es? Gut, warte.
Standardmäßig ist Ihr Linux-System nicht sicher genug vor Angreifern. Sicher, es ist viel sicherer als Windows XP, aber das bedeutet nicht viel.
Um Ihr Linux-System wirklich sicher zu machen, müssen Sie Linodes Server Security Guide befolgen.
Im Allgemeinen müssen Sie zunächst die Dienste deaktivieren, die Sie nicht benötigen. Dazu müssen Sie natürlich zunächst wissen, welche Netzwerkdienste Sie nutzen.
Mit dem Shell-Befehl können Sie herausfinden, um welche Dienste es sich handelt:
netstat -tulpn
netstat teilt Ihnen mit, welche Dienste ausgeführt werden und welche Ports diese Dienste verwenden. Wenn Sie einen Dienst oder Port nicht benötigen, sollten Sie ihn deaktivieren. Sofern Sie beispielsweise keine Website betreiben, muss weder ein Apache- oder Nginx-Server ausgeführt werden, noch muss Port 80 oder 8080 geöffnet sein.
Kurz gesagt: Wenn Sie sich nicht sicher sind, schalten Sie es einfach zuerst aus.
Auf einem einfachen Linux-Server ohne zusätzliche Änderungen werden SSH, RPC und NTPdate auf ihren öffentlichen Ports ausgeführt. Fügen Sie kein altes und unsicheres Shell-Programm wie Telnet hinzu, sonst vertreibt der alte Treiber Ihren Linux-Sportwagen, ohne dass Sie es merken. Vielleicht mochten Sie Telnet in den 1980er Jahren als Backup-Anmeldung für Ihren SunOS-Rechner, aber das ist schon lange vorbei.
Für SSH sollten Sie RSA-Schlüssel und Fail2Ban zur Absicherung verwenden. Sofern Sie RPC nicht benötigen, deinstallieren Sie es. Wenn Sie nicht wissen, dass Sie es nicht benötigen, brauchen Sie es nicht.
Genug der Sperrung; sprechen wir über die Sperrung des eingehenden Datenverkehrs mithilfe von iptables.
Es gibt keine Regeln, wenn Sie einen Linux-Server starten. Das bedeutet, dass jeglicher Verkehr erlaubt ist. Das ist natürlich schlecht. Daher müssen Sie Ihre Firewall rechtzeitig einrichten.
Iptables ist ein Shell-Tool zum Festlegen von Netzwerkrichtlinienregeln für Netfilter, der Standard-Firewall unter Linux-Systemen, die eine Reihe von Regeln verwendet, um Datenverkehr zuzulassen oder zu verbieten. Wenn jemand versucht, eine Verbindung zu Ihrem System herzustellen – und manche Leute versuchen das ständig und lassen sich nie entmutigen – prüft iptables, ob diese Anfragen mit einer Liste von Regeln übereinstimmen. Wenn keine Regel zutrifft, wird die Standardaktion ausgeführt.
Der Standardvorgang sollte darin bestehen, die Verbindung zu „trennen“, was bedeutet, dass diese beabsichtigten Eindringlinge gesperrt werden. Und es lässt sie nicht wissen, was mit diesen Netzwerkuntersuchungen los ist. (Sie können den Link auch „ablehnen“, aber dadurch werden sie auch darüber informiert, dass Sie eine aktive Linux-Firewall haben. Im Moment gilt: Je weniger Informationen Fremde in unsere Systeme gelangen können, desto besser. Zumindest denke ich das.)
Jetzt können Sie iptables verwenden, um Ihre Firewall einzurichten. Ich habe das bereits getan. Wie zuvor fuhr ich mit dem Fahrrad zur sechs Meilen entfernten Arbeit und es ging auf beiden Seiten bergauf. Und jetzt fahre ich dorthin.
Dies ist eigentlich eine Metapher für meine Verwendung von FirewallD in Fedora-Distributionen und UFW (Uncomplicated Firewall) in Debian-Distributionen. Dies sind benutzerfreundliche Shell-Frontends für iptables. Eine geeignete Verwendung finden Sie in den folgenden Linode-Anleitungen: FirewallD und UFW.
Das Festlegen dieser Regeln ist im Wesentlichen so, als würde man auf Ihrem Server ein „Zutritt verboten“-Schild anbringen. Benutze es.
Aber seien Sie nicht zu aufgeregt und schließen Sie alle Links. Zum Beispiel:
sudo ufw default deny incoming
Sieht nach einer guten Idee aus. Vergessen Sie nicht, es verbietet alle Links, auch Ihre!
Großartig, genau das macht es. Dies bedeutet, dass auch SSH-Anmeldungen deaktiviert werden. Dies bedeutet, dass Sie sich nicht mehr auf Ihrem neuen Server anmelden können. Wow!
Wenn Sie jedoch einen Fehler machen, werden versehentlich weitere Links gesperrt. Sie sehen, der erfahrene Fahrer wird auch von Ihnen blockiert.
Genauer gesagt ist dies kein Einzelphänomen, das bei Ihnen oder Ihrem Server auftritt. Natürlich sind Sie nicht die National Security Agency (NSA), die täglich über 300 Millionen Angriffsversuchen ausgesetzt ist. Aber dem Angriffsskript ist es egal, wer Sie sind. Es wird lediglich kontinuierlich nach Servern mit bekannten Schwachstellen im Netzwerk gesucht. An einem normalen Tag würde mein eigener kleiner Server Hunderten von Angriffen ausgesetzt sein.
Das ist es, worauf warten Sie noch? Machen Sie weiter und stärken Sie Ihre Netzwerkdienste. Installieren Sie FirewallD oder UFW, um Ihren Server zu härten. Sie werden dazu bereit sein.
Das obige ist der detaillierte Inhalt vonEntdecken Sie, wie Sie Ihren Linux-Server schützen können. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
