Linux машин, як відомо, дуже безпечною. Дослідження показали, що Linux був розроблений в безпеці. Тим не менш, незважаючи на всі функції безпеки, які приходять разом з встановленням Linux, вам потрібно налаштувати ці функції правильно зробити їх роботу за вас. Я проведе вас через процес створення одного з інструментів, які допоможуть забезпечити Вашу машину - брандмауер. Ми будемо використовувати IPTABLES брандмауер для цього заходу. Я припускаючи, що ви використовуєте сервер Red Hat Enterprise Linux 4, або аналогічної. Тим не менше, більшість з кроків повинно працювати на інших дистрибутивів Linux, як добре. У цій статті ми розглянемо налаштування брандмауера на Linux сервер Apache Web-сервер, FTP і SSH.
Давайте спочатку подивимося, які порти цих додатків використовувати і які з них повинні мати відкритих портів в брандмауері.
Apache Web-сервер працює на порту 80 за замовчуванням. Apache збирається на сервер всі наші веб-контенту на даному порту, тому нам необхідно зберегти цей порт відкрити по брандмауеру. SSH служба працює на порту 22. Ми повинні мати можливість віддалено підключатися до нашого серверу для роботи, тому тримати її відкритою. FTP працює на порту 21 і воно також має потребу в порту повинні бути відкриті для спілкування.
Далі, переконайтеся, що у вас є IPTABLES встановлена. Виконати цю команду в якості кореневого користувача:
# Об. / Хв-QA | Grep IPTABLES
Якщо у вас є IPTABLES встановлена система повинна надати вам варіант IPTABLES у вас встановлена. У випадку, якщо ви не ви можете спробувати що-небудь подібне до наступного щоб отримати його, і запустити його:
# Ням встановити IPTABLES
# / И т.д. / init.d / IPTABLES початок
Для того, щоб перевірити, які з конфігурація IPTABLES даний час працює з:
# IPTABLES-лист
Ланцюжок INPUT (політика ACCEPT)
цільової прот вибирати джерело призначення
Ланцюг вперед (політика ACCEPT)
цільової прот вибирати джерело призначення
Бесіду OUTPUT (політика ACCEPT)
цільової прот вибирати джерело призначення
Ця команда перераховує всі правила брандмауера, які були встановлені в даний час. Я буду діяти в припущенні, що у вас немає яких-небудь правил брандмауера у вашому IPTABLES конфігурації. Давай зараз настроїти брандмауер, щоб відкрити повідомлення на порти 80 для вашого веб-сервера, 22 по SSH, і порт 21 для FTP. Ми також впевнені в тому, що ми блок повідомлення будь-якого порту, крім зазначених.
Ось скрипт конфігурації брандмауера сценарій. Створіть новий файл та назвіть його iptable-firewall.sh. Необхідно скопіювати наступний текст у нього:
#! / BIN / ш
БУДЬ-ЯКИЙ = "0 / 0"
OPEN_PORTS = "21 22 80"IPTABLES-P INPUT ACCEPT
IPTABLES-P FORWARD ACCEPT
IPTABLES-P OUTPUT ACCEPTФлеш # (-F) всі конкретні правила
IPTABLES-F INPUT
IPTABLES-F ВПЕРЕД
IPTABLES-F OUTPUTв порту в $ OPEN_PORTS
робити
IPTABLES-A INPUT-I eth0-P TCP-S $ БУДЬ-ЯКИЙ-D $ БУДЬ-ЯКИЙ-порт призначення $ Порт-синьо-J ACCEPT
IPTABLES-A INPUT-I eth1-P TCP-S $ БУДЬ-ЯКИЙ-D $ БУДЬ-ЯКИЙ-порт призначення $ Порт-синьо-J ACCEPT
готовоIPTABLES-A INPUT-I eth1-С ICMP-S $ БУДЬ-ЯКИЙ-D $ БУДЬ-ЯКИЙ-J ACCEPT
# Дозволити будь-які пов'язані з ними / створені з'єднання
IPTABLES-A INPUT-I eth0-м державою стану ESTABLISHED, RELATED-J ACCEPT
IPTABLES-A INPUT-I eth1-м державою стану ESTABLISHED, RELATED-J ACCEPT# Убіл все інше
IPTABLES-A INPUT-I eth0-J DROP
IPTABLES-A INPUT-I eth1-J DROP# Записати на завантажувальний
IPTABLES-збережіть> / ETC / sysconfig / IPTABLES
Тепер збережіть файл вище, надавати його виконуваним дозволів, а потім запустити його:
# Chmod + X iptable-firewall.sh
#. / Iptable-firewall.sh
Тепер перевірте ваш брандмауер правил:
# IPTABLES-лист
Всі правила брандмауера тепер має бути встановлена. Ваш сервер тепер в безпеці. Для того, щоб робити які-небудь зміни або доповнення в цей набір правил, змінювати рядок, де OPEN_PORTS параметр визначений, і додати або видалити порти вигляді списку. Не забудьте запустити скрипт ще раз після внесення будь-яких змін до нього.
Якщо все це в командному рядку матеріал має ви трохи хитрий, див підручник Як налаштувати Firestarter - простий у використанні Linux Брандмауер - Яка має простий у використанні графічний інтерфейс.
0 comments… (0 коментарі ... Додати зараз )
Залишити коментар