Вопрос: Могу ли я безопасно заблокировать все порты на моем сервере?


У меня есть веб-сервер, на котором работает pleks, и каждый день атакуют. Я настроил брандмауэр, и есть некоторые предопределенные службы, такие как www, ftp и т. Д.

Я планирую заблокировать все порты, кроме порта www и порта PLESK. Когда мне нужен ftp или ssh-доступ, например, я открою порты в PLESK и начну работать.

Это хорошая вещь, чтобы сделать или есть некоторые недостатки в этом.

Есть некоторые порты, о которых я не уверен, например SMTP, POP3, IMAP, DNS. Могу ли я закрыть эти порты или нет необходимости делать это.


4
2018-03-23 04:42


Источник




Ответы:


Вы, вероятно, будете в порядке, но вам может быть лучше оставить дыру для вашего IP, на случай, если что-то пойдет не так. Вы также можете убедиться, что вы не блокируете соединения с 127.0.0.1, так как это IP-адрес локального хоста и может потребоваться, чтобы внутренние службы подключались к себе, чтобы поддерживать работоспособность (это зависит от того, какой тип материала у вас есть работает в системе).

Что касается портов, о которых вы упоминаете, вот что это такое, вы можете закрыть их, если вы их не используете:

SMTP: электронная почта (сервер к серверу или входящий) (необходимо принять электронную почту, если этот сервер получает электронную почту для вашего домена)

POP3: клиенты электронной почты (необходимы, если на этом сервере есть почтовые клиенты, которые подключаются к нему)

IMAP: клиенты электронной почты (необходимы, если на этом сервере есть почтовые клиенты, которые подключаются к нему)

DNS: службы доменных имен (необходимые, если этот сервер действует, являются первичными для доменов, на которых он находится)

Удачи,

--jed


7
2018-03-23 04:51



Спасибо вам за быстрый ответ. Это была моя догадка, но я просто попросил. У меня есть службы, поэтому внутренние порты не блокируются. Один вопрос. «оставив отверстие для вашего IP». Вы имеете в виду ip сервера, или вы имеете в виду удаленную систему, которую я использую для входа на сервер. IP-адреса удаленных компьютеров, которые я использую, всегда разные, поэтому для меня это не вариант. И вы можете объяснить, как оставить дыру для самого сервера. Может ли сервер подключиться к самому себе? - Saif Bechan
Я имел в виду IP-адрес системы, с которой вы подключаетесь, когда вы блокируете все порты. На всякий случай, если что-то пойдет не так, когда вы сделаете изменения, которые хотите получить, чтобы исправить их. Да, серверы могут подключаться к себе, и многие из них (например, если у вас есть веб-сервер, на котором запущено приложение, использующее mysql или какую-либо другую базу данных, веб-сервер будет обращаться к базе данных по сетевому соединению с и из 127.0.0.1 ). Вот почему я также рекомендую вам не случайно отключить этот тип трафика. Приветствия, --jed - Jed Daniels


Разумным подходом было бы запретить все подключения по умолчанию, и только открывать порты, когда они продемонстрировали необходимость для определенной цели.

Остерегайтесь быть слишком невосприимчивым к пользовательским запросам: убедитесь, что когда любой пользователь попросит открыть порт, чтобы просьба пользователя берется незамедлительно, заметно и серьезно для всех пользователей, чтобы увидеть, иначе вы просто закончите работу с базой данных, работающей вокруг списка блоков, путем туннелирования через открытые порты.


3
2018-03-23 05:45





почему бы не открыть ssh только для вашего IP-диапазона .. таким образом, если сбой plesk вы не заблокированы.

Кроме того, вы можете использовать ssh-ключи, чтобы сделать его еще более безопасным и запретить вход в систему.


0
2017-09-16 13:16