Понедельник, 23.12.2024, 18:33
# FreeBSD ГлавнаяРегистрацияВход
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Мои статьи [167]
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
 Каталог статей 
Главная » Статьи » Мои статьи

Защита сервера на FreeBSD стандартными средствами
ервый пост в 2011 году будет посвящен вышеуказанной теме. Думаю, что проблема весьма актуальная, так что комментарии приветствуются, как и советы по улучшению безопасности. И так, ниже хотелось бы затронуть настройку rc.firewall и конфиг демона sshd.

С необходимостью настройки rc.firewall мы столкнулись после слишком большого поедания трафика сервером. И решили заняться фильтрацией по определенным портам: 21, 22, 25, 80, 100 и 3306.

21 - ftp, 22 - ssh, 25 и 100 - почта, 80 - интернет, 3306 - mysql.

Пакеты по остальным лазейкам было решено закрыть и оставить доступ лишь с домашних ip-адресов. Соответственно, были созданы следующие правила и в итоге конфиг получился следующим:

/etc/rc.firewall

ipfw='/sbin/ipfw -q'

${ipfw} flush

${ipfw} add 100 allow tcp from ваш_ip_адрес to me 22

${ipfw} add 100 allow tcp from ваш_другой_ip_адрес to me 22

${ipfw} add 100 deny tcp from any to me 22

${ipfw} add 200 allow tcp from ваш_ip_адрес to me 21

${ipfw} add 200 allow tcp from ваш_другой_ip_адрес to me 21

${ipfw} add 200 deny tcp from any to any 21

${ipfw} add 300 allow tcp from any to any 25

${ipfw} add 400 allow tcp from any to any 100

${ipfw} add 500 allow tcp from any to any 80

${ipfw} add 500 allow udp from any to any 80

${ipfw} add 600 allow tcp from ваш_ip_адрес to me 3306

${ipfw} add 600 allow tcp from ваш_другой_ip_адрес to me 3306

${ipfw} add 600 deny tcp from any to me 3306

${ipfw} add 65000 allow tcp from any to any

Что же мы тут понаписали?

Разберем на примере вот этой строки: add 100 allow tcp from ваш_ip_адрес to me 22.

add 100 - добавляем правило и номер (номер может быть любым)

allow (deny) tcp - разрешаем (запрещаем) пакеты протокола

from ваш_ip_адрес to me - откуда и куда идут пакеты

22 - интересующий нас порт

Для остальных строк все по аналогии.

Перейдем теперь к настройке sshd. Данный конфиг лежит здесь: /etc/ssh/sshd_config. Более подробно о каждой строке конфигурации ты можешь прочитать тут, а для чтения оригинала воспользуйся командой man sshd_config. Мы же попробуем заострить твое внимание лишь на основных (ключевых) моментах.

Port 22 - здесь можно изменить номер порта, 22-ым он является по умолчанию.

LoginGraceTime 2m - сколько времени будет иметь пользователь для авторизации на ввод логин и пароля.

PermitRootLogin no - можно ли пользователю root логиниться по ssh-соединению.

MaxAuthTries 6 - максимальное количество попыток авторизации.

MaxSessions 10 - максимальное количество активных сессий.

AllowUsers - здесь можно задать определенных пользователей, которые будут иметь доступ через ssh.

Изменяя данные параметры, ты сможешь более тонко настроить защиту своего сервера.

Категория: Мои статьи | Добавил: Admin (18.04.2011)
Просмотров: 1177 | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Copyright MyCorp © 2024Сделать бесплатный сайт с uCoz