Ověřeno a testováno 11. 1. 16
Úvod
V tomto tutoriálu se budeme zabývat tím, jak provést některé základní změny IPTables, které výrazně pomohou zabezpečit váš server. To se provádí na čerstvé instalaci CentOS 6.5 64bit v našem cloudu Atlantic.Net.
Zamknutí serveru CentOS pomocí IPTables
Použití vestavěného CentOS IPTables je skvělý způsob, jak zaručit bezpečný virtuální privátní server, protože je již nainstalován a spuštěn při vytvoření serveru. Chcete-li to ověřit, stačí spustit níže uvedený postup a zkontrolovat stav tabulek IPT a vytiskne se aktuální sady pravidel.
service iptables status
Pokud nespouštíte jako root, jednoduše přidejte sudo na začátek. V tomto návodu k zabezpečení budeme pokračovat, jako byste byli uživatelem root.
Chcete-li upravit své IPTables, musíte nejprve přejít do jeho konfiguračního souboru. V tomto příkladu používáme vi, ale můžete použít libovolný editor, který se vám líbí.
vi /etc/sysconfig/iptables
Ukázka /etc/sysconfig/iptables
Měli byste získat stránku, která vypadá jako výše. První věc, kterou chceme udělat, je, pokud máte vlastní port SSH (měli byste, pokud jste postupovali podle návodu Změna portu SSH v CentOS (odkaz) nebo jste jej sami změnili), změnit řádek, který uvádí:
--dport 22
být:
--dport yourcustomSSHport
Podle našeho příkladu ve výukovém programu pro vlastní port SSH výše by řádek měl znít:
-A INPUT -m state -state NEW -m tcp -p tcp --dport 3389 -j ACCEPT
Pokud nemáte vlastní port SSH, můžete to ignorovat, ale měli byste přemýšlet o jeho přidání! Dále chceme vzít sekci, která říká:
:INPUT ACCEPT [0:0] and :FORWARD ACCEPT [0:0]
a řekni:
:INPUT DROP [0:0] and :FORWARD DROP [0:0]
To znamená, že IPTables má zablokovat a přerušit veškerý provoz, který nesměřuje na porty, které určíte pro povolení. Tím zabráníte tomu, aby se lidé pokoušeli proniknout do služeb, které máte spuštěné, pokud tyto porty neotevřete veřejnosti.
A to je vše! Váš server je nyní bezpečnější jednoduše změnou několika věcí v IPTables. Aby se změny projevily, budete muset soubor uložit a ukončit a poté spustit:
service iptables restart
To způsobí, že vaše nová pravidla okamžitě vstoupí v platnost a zůstanou zachována i po restartu. Pokud chcete více omezit své IPtables, konkrétně přístup k SSH, můžete pro každou IP adresu, která by měla být povolena, provést následující. To zahrnuje úpravu pravidla SSH a přidání dalších. Tam, kde je uvedeno pravidlo SSH, které jsme identifikovali dříve, jej chcete změnit na:
-A INPUT -s IPADDR –m tcp –p tcp --dport 3389 –j ACCEPT
Kde IPADDR je vaše IP adresa, kterou chcete mít SSH přístup k vašemu serveru. Pokud jste nenastavili vlastní port SSH, chtěli byste, aby zůstal 22 a ne 3389.
Chcete-li povolit konkrétní porty, řekněme pro webový přístup k vašemu webu, vše, co musíte udělat, je znát/najít port, na kterém služba běží (nebo jste jej nakonfigurovali), a jeho protokol (TCP nebo UDP) a povolit jej. Například přístup k webu:
-A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
A nyní má internet přístup k webhostingu, který provozujete.
Mějte na paměti, že při přidávání nových pravidel do sekcí INPUT nebo FORWARD je skvělým zvykem držet nová pravidla sjednocená s podobnými pravidly. INPUTs se INPUTs a FORWARDs s FORWARDs. Budete se také chtít ujistit, že všechna pravidla, která přidáte a která povolují nový port, budou uvedena NAD všemi příkazy odmítnutí pro danou sadu pravidel. Pokud jsou uvedeny za řádky odmítnutí, pravidla se neprojeví.
Chcete-li vidět výstup toho, co IPTables dělá a blokuje svými pravidly, můžete spustit níže. Vytiskne pravidla, která máte, a vše, co je paketově moudré o přerušení připojení nebo jejich povolení.
iptables -L -vn
Chcete-li zjistit, co znamenají všechny segmenty IPTables a více informací o nich, podívejte se prosím do naší sekce IPTables (odkaz).
Poznámka *Pokud se uzamknete, můžete k serveru vždy přistupovat prostřednictvím našeho prohlížeče VNC na cloudovém portálu*
Děkujeme, že jste postupovali podle tohoto návodu. Podívejte se prosím na náš blog, kde najdete řadu článků a návodů, včetně dalších příspěvků souvisejících s IPTables, jako je How to:Basic IPTables File Configuration and How to:Basic IPTables Troubleshooting; a zvažte vedoucí na trhu hostitelský server VPS od Atlantic.Net.