Firewally jako firewalld a iptables jsou skvělou první linií obrany proti průnikům, ale nejsou bezchybné. Mohou být hacknuti a také trpí občasnými zranitelnostmi. Musíte však mít spuštěný hostitelský firewall. Je to jen jedna z věcí, kterou nainstalujete a nakonfigurujete na každém systému. A před provedením jakékoli práce na vašem systému byste měli nakonfigurovat firewall. Jinými slovy, uzamkněte svůj systém, jakmile bude online.
Jakmile bude váš nový systém spuštěn a zajistíte jej firewallem, je čas vytvořit druhou linii obrany s odpovídajícími položkami v souborech /etc/hosts.allow (hosts.allow) a /etc/hosts. zakázat soubory (hosts.deny). Pokud je firewall z jakéhokoli důvodu zastaven, pak položky hosts.allow a hosts.deny budou nadále chránit váš systém před vniknutím. Je to tato přidaná vrstva, která zvyšuje zabezpečení vašeho systému tím, že poskytuje firewallu zabezpečení proti selhání.
Vytvořte položky ALLOW
Doufám, že jste si přečetli můj článek „Nástroje Sysadmin:Jak používat iptables“. Pokud ne, věnujte prosím několik minut jeho přečtení, než se ponoříte do souborů hosts.allow a hosts.deny, protože článek iptables použiji jako referenci pro vytváření odpovídajících záznamů.
Poznámka:Zde je vhodné uvést, že záznamy provedené v hosts.allow vás mohou uzamknout z vašeho systému, což není to, co chcete. Pokud k tomu dojde, budete muset získat přístup k systémové konzole prostřednictvím KVM, virtuálního KVM, iLO nebo konzoly virtuálního počítače.
Pravidlo SSH z výše uvedeného článku zní: iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT . Toto pravidlo umožňuje libovolnému systému v síti 192.168.1.0/24 připojit se k místnímu systému prostřednictvím SSH. Odpovídající záznam v hosts.allow je:
SSHD: 192.168.1.*
Tato položka umožňuje všem systémům ze sítě 192.168.1.0 připojit se k systému prostřednictvím SSH.
Poznámka:Musíte přidat prázdný řádek na konec souboru hosts.allow, aby fungoval tak, jak byl navržen. Bojoval jsem s tím několik dní a bylo to velmi frustrující.
Soubor hosts.allow se čte před souborem hosts.deny, takže před umístěním čehokoli do souboru hosts.deny umístěte všechny povolené položky do tohoto souboru. Položky DENY můžete umístit do souboru hosts.allow, ale já dávám přednost tomu, aby byly dvě odděleny od sebe. Myslím, že by mě zmátlo mít v souboru hosts.allow oba typy záznamů.
Jakmile provedete změny v souborech hosts.allow a host.deny, budou aktivní. Není potřeba restartovat démona, aby byly aktivní, což je další důvod, proč vás varovat, abyste své záznamy zadávali velmi opatrně, pokud nebydlíte poblíž svého datového centra.
Vytvořte položky DENY
Poté, co vytvoříte všechny vaše iptables odpovídající položky hosts.allow, je čas vytvořit položky hosts.deny. Stejně jako iptables se i soubory hosts.allow a hosts.deny čtou shora dolů, takže na konec souboru hosts.deny přidejte takzvaný záznam DENY ALL.
ALL: ALL
Tento jednoduchý záznam znamená odmítnout všechny protokoly ze všech hostitelů. Pokud chcete odmítnout pouze jeden konkrétní protokol nebo síť, můžete být konkrétnější.
SSHD: ALL #Deny SSH access from all networks but allowing other protocols.
nebo
ALL: 192.168.1.* #Deny all protocols from the 192.168.1.0 network.
nebo
SSHD: 192.168.1.* #Deny SSH access from the 192.168.1.0 network.
Koneckonců
Jak můžete vidět z těchto příkladů a z příkladů uvedených v článku iptables, oba sdílejí podobnosti ve struktuře a chování. Oba jsou čteny shora dolů a položky ALLOW jsou čteny před položkami DENY. Při vytváření záznamů hosts.allow/deny a iptables je třeba pamatovat na to, že si navzájem odpovídají. Pokud jsou v konfliktu, výrazně to zvýší složitost vašeho úsilí o odstraňování problémů. Pro testovací účely vypněte firewall a sledujte chování připojení vašich souborů hosts.allow a hosts.deny.
[ Chcete více o sítích a zabezpečení sítě? Podívejte se na linuxové síťové cheat sheet. ]