web-dev-qa-db-ja.com

Nginx、FastCGI、MySQLを搭載したUbuntu Server 10 LTSでUFWを正しく設定しますか?

新しいWebサーバーのファイアウォールを必要なだけ安全にしたいと思っています。 iptablesの調査を行った後、UFW(Uncomplicated FireWall)に出くわしました。これは、Ubuntu Server 10 LTSにファイアウォールをセットアップするためのより良い方法のように見え、それがインストールの一部であることを確認すると、理にかなっているようです。

私のサーバーには、Nginx、FastCGI、MySQLが搭載されています。また、SSHアクセスを許可したい(明らかに)。だから私はUFWをどのように設定すべきか正確に知りたいのですが、他に考慮しなければならないことはありますか?調査を行った後、私はそれをこのように説明する 記事 を見つけました:

# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload

これはすべて私には理にかなっているようです。しかし、それはすべて正しいですか?サーバー上でこれを正しく実行できるように、他の意見やアドバイスでこれをバックアップしたいと思います。

どうもありがとう!

4
littlejim84

総当たり攻撃を防ぐために、ufw allow [PORT]の代わりにufwlimit [PORT]を使用してください。

   ufw supports connection rate limiting, which is useful  for  protecting
   against  brute-force  login attacks. ufw will deny connections if an IP
   address has attempted to initiate 6 or more connections in the last  30
   seconds.

以下は、ルールを使用してufwファイアウォールを設定する方法です。

最初にSSHポートを変更します:/ etc/ssh/sshd_config

次に、構成をリロードします:/etc/init.d/ssh reload

次に:ufw default deny

次に:ufwログオン

次に:ufw limit 5555

次に:ufw allow 80/tcp

すべてのルールを設定したら、ufwを有効にします。ufwenable

1
Hawk

私はあなたが何をしているのか正確に知らずにSSHをファイアウォールで遮断することに非常に注意するでしょう-テストを始めるために特定のネットワークのためにSSHをオフにすることを試みる価値があるかもしれません。 LFWがどのくらいの速さで有効になるか、または確立された接続に影響するかどうかはわかりませんが、すぐに有効になる場合は、現在接続に使用しているものをファイアウォールでオフにする前に、SSHのポート番号を必ず変更する必要があります。

0
James L