web-dev-qa-db-ja.com

ファイアウォールで安全なLinuxサーバーを作成する方法

Linuxサーバーにufwファイアウォールをインストールし、ufwを使用して必要なポートを許可しますが、DOSSyncなどの安全なサーバーを作成するために必要な他のルールはありますか(i 'これについてはわかりません)またはufwで必要なすべての安全なルールが事前定義されていますか?あらゆる種類の攻撃を防ぐ方法と、サーバーのセキュリティのランクを確認するサイトはありますか?

安全なLinuxサーバーを作るための提案をお願いします。

firewalliptablesportufw
1
Nullpointer

ufwの基本的な構成はわかりませんが、ポートの許可について言及したので、ここにいくつかの考えがあります。

  • 着信トラフィックのポートをブロックしても、セキュリティが強化されるわけではありません。つまり、開かれていないポート(つまり、そのポートでリッスンしているサービスがない)をブロックすると、主に隠すことによるセキュリティになります。
  • 発信トラフィックのポートをブロックすると、ブロックされる場合があります。サーバーによって開始されたすべての発信接続(sshクライアント、httpクライアント、サーバーからのdns要求など)をブロックするため、1024を超えるポートをブロックすることはできません。
  • 次に、サーバーが1024未満のポートで開始したトラフィック(例:TCP送信元IPがサーバーであるSYNフラグのあるトラフィック))をブロックして、サーバーに既にアクセスしている攻撃者を防ぐことができます。サーバーから通信するためです。ただし、(前の箇条書きで見たように)発信通信はより高いポート範囲を介して実行できるため、これはあまり役に立ちません。

しかし、実際にできることは、次の方法で攻撃対象領域を減らすことです。

  • サーバーが実行している最小限のサービスに制限します(公開されていない場合でも)。たとえば、httpサーバー(nginx、Apache、..)を使用しない場合は、シャットダウンします。
  • メンテナンスされていないソフトウェアのインストールは避けてください。
  • 常にソフトウェア(およびコンポーネント、例:wordpressコアおよびプラグイン)を更新します
  • 安全なssh( https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html )[.____を見てください。]
    • パスワードの代わりにsshキーを使用します。 2FAを設定することもできます
    • サーバーへのアクセスが許可されているホワイトリストユーザー
  • リスニングポート(例:ssh)をノックするポートを設定できます
  • 他のツールを使用してセキュリティを強化できます(fail2ban、...)

コミュニティがあなたに与えることができる他の多くのアドバイスがありますが、セキュリティはワンショットアクションではなく、セキュリティは永続的なアクションであることを忘れないでください(更新、ログ監視、...)。

2
vera