如果我的服务器配置良好,为什么需要防火墙?

Modified on: Wed, 30 Oct 2019 00:00:02 +0800

我为我工作的公司管理一些基于云的(VPS)服务器。

服务器是运行LAMP堆栈/入站数据收集(rsync)的最小ubuntu安装。数据很大但不是个人,财务或类似的东西(即不那么有趣)

显然,人们一直在询问如何配置防火墙等。

我使用一堆方法来保护服务器,例如(但不限于)

  • 非标准端口上的ssh;没有密码输入,只有来自已知ips的已知ssh密钥才能登录等
  • https和受限制的shell(rssh)通常只来自已知的密钥/ ips
  • 服务器是最小的,最新的并且经常打补丁
  • 使用像rkhunter,cfengine,lynis denyhosts等来监控

我对unix sys admin有丰富的经验。我有信心我知道我在设置中做了什么。我配置/ etc文件。我从来没有感到迫切需要安装像防火墙这样的东西:iptables等。

暂时搁置VPS的物理安全问题。

Q&我无法确定我是否天真,或者fw可能提供的增量保护值得学习/安装的努力以及服务器上的额外复杂性(包,配置文件,可能的支持等)。

迄今为止(触摸木头)我从来没有遇到任何安全方面的问题,但我也不会满足于此。

作者:Community,Aitch

最佳答案

我注意到你已经把几个不同的守护进程做了很好的工作,而且从你所说的内容来看,我认为你不太可能通过已经获得的服务让自己陷入麻烦之中。这仍然会让你处于“允许一切被允许的状态,除了我禁止的状态”状态,并且你无法通过在守护进程后搜寻守护进程并逐一保护它们而退出该状态。

默认情况下配置为 DENY ANY ANY 的防火墙会将您带到“除了允许的一切之外禁止一切”操作模式,而且我发现他们多年来都更好。

现在,如果合法用户在您的系统上拥有合法的shell,她可以决定运行一些本地非特权守护程序来代理互联网的Web请求,或者在端口4662上启动文件共享,或者意外打开一个监听器使用-g与ssh端口隧道,不了解它的作用;或者sendmail安装可能会让您在端口587上运行MUA,尽管您在端口25上保护MTA sendail所做的所有工作都未正确配置;或者一百零一件事可能发生,绕过你的谨慎和周到的安全只是因为当你仔细考虑要禁止什么时他们不在身边。

你知道我的观点吗?目前,你已经付出了很多努力来保护你所知道的所有事情,听起来他们不会咬你。可能会咬你的是你现在不知道或者甚至不知道的事情。

默认为 DENY ANY ANY 的防火墙是系统管理员说的方式如果出现新内容并在此服务器上打开网络监听器,没有人能够与之交谈直到我明确许可

作者:,MadHatter

相关问答

添加新评论