#ubuntu #ssh #firewall #iptables
#ubuntu #ssh #брандмауэр #iptables
Вопрос:
Я хочу защитить свой сервер, приняв SSH-порт на свой IP-адрес, используя внутреннюю ip-таблицу. Я хочу знать, это хорошее решение? Что произойдет, если я потеряю свой IP-адрес и не смогу подключиться к SSH? Я потеряю свой сервер?
Комментарии:
1. Здесь есть несколько вопросов, которые вы можете задать отдельно. Заголовок в его нынешнем виде («Блокировать SSH-порт в Ubuntu») наводит на мысль о проблеме брандмауэра. На это легко ответить: да, у вас должен быть брандмауэр; и, что касается подразумеваемого дополнительного вопроса: да, блокировка стандартного SSH-порта может предотвратить определенное количество попыток на вашем сервере. Это может быть полезной частью ваших методов обеспечения безопасности, но этого недостаточно в качестве политики безопасности:-)
Ответ №1:
sudo iptables -A ВВОД -j ОТБРАСЫВАЕТ
sudo iptables -L
Цепной ВВОД (политика ПРИНИМАЕТ)
целевой прот opt источник назначение
ПРИНИМАЕТ все — где угодно где угодно состояние СВЯЗАНО, УСТАНОВЛЕНО
ОТБРАСЫВАЕТ tcp — где угодно где угодно tcp dpt: ssh
ПРИНИМАЕТ tcp — где угодно где угодно tcp dpt: www
ОТБРАСЫВАЕТ все — где угодно где угодно
Комментарии:
1. это запрос на уничтожение? : D
2. Правильно. Измените DROP на ACCEPT, чтобы открыть его. Затем измените исходный столбец, если вы хотите ограничить, кто может подключаться с помощью ssh.
Ответ №2:
SSH очень полезен — если он вам нужен, вы уже это знаете. Если вы не знаете, нужно ли вам или нет, действуйте осторожно.
Самая базовая политика SSH может включать следующее:
- Используйте нестандартный порт
- Используйте ключи, защищенные паролем, а не системные пароли
- Не разрешать вход в систему с правами root
- Используйте системную службу, такую как DenyHosts или правила брандмауэра, чтобы блокировать атаки и порт с использованием грубой силы (OpenBSD
pfимеет простые в использовании политики грубой силы). - Внимательно прочитайте документацию по конфигурации вашего сервера и обеспечьте упреждающую защиту
- Если между вами и вашим соединением есть маршрутизатор или брандмауэр, попробуйте добавить временные ограничения доступа (вы входите в систему в 3 часа ночи … тогда зачем это разрешать?)
- … и т.д. (Я добавлю больше элементов, как я их помню)
Что касается сохранения вашего IP-адреса… да, если у вас нет общедоступного способа доступа к вашему серверу, вы его «потеряете». Вам нужно будет использовать динамическую службу DNS IP (например noip.com ) или скрипт, который обновляет общедоступный адрес электронной почты вашим обновленным IP-адресом при его изменении.
Если вы хотите обновлять свой внутренний iptables адрес каждый раз, когда меняется ваш общедоступный адрес, вам нужно будет перечитать свой набор правил, добавив / изменив правило, включив в него новый адрес, а затем отправив сигнал iptables на перечитывание его таблиц или замену правила для доступа по SSH по этому адресу. В некоторых приложениях брандмауэра это можно сделать, отправив сигнал ( SIGHUP ), при iptables этом вы можете указать правило для изменения, а затем запустить его в качестве аргумента iptables -R .
Проверьте iptables документацию для получения подробной информации о сбросе, цепочке, таблицах и других увлекательных развлечениях с брандмауэром.