pierwsze - Zgadzam się z @vartec na dławienie „Raczej następnie blokując go udusić go używać limitu iptables -m. "co najmniej część rozwiązania.
Mogę jednak podać kolejny powód, dla którego nie należy blokować wyjścia z portu 80 przez cały czas. Jeśli masz włączone automatyczne aktualizacje zabezpieczeń, serwer nie może nawiązać połączenia PPA przez port 80, aby zainicjować aktualizację zabezpieczeń. Jeśli więc masz ustawione automatyczne aktualizacje zabezpieczeń, nie będą one działać. Na ubuntu auto-aktualizacji zabezpieczeń są włączone w 14.04 LTS z:
sudo apt-get install unattended-upgrades update-notifier-common && \
sudo dpkg-reconfigure -plow unattended-upgrades
(then select "YES")
Więcej wdzięku rozwiązań byłoby ansibl skrypty otwarcia portu automatycznie, ewentualnie modyfikując reguły grupy zabezpieczeń AWS poprzez CLI oprócz iptables jeśli ciebie są w AWS. Wolę chwilowo modyfikować moje reguły wychodzące za pośrednictwem interfejsu AWS zainicjowanego przez skrytkę. Wymusza to rejestrowanie aktualizacji w moich dziennikach systemu AWS S3, ale nigdy nie pojawia się w dziennikach na samym serwerze.Ponadto serwer, który inicjuje aktualizację, nie musi nawet znajdować się w prywatnej podsieci ACL.
Może zrobić jedno i drugie? Musisz czasem obliczać, że atak ma polegać na przekazywaniu wewnętrznego adresu IP w podsieci, więc warto podwoić wydajność, zachowując jednocześnie możliwość automatyzacji tworzenia kopii zapasowych i aktualizacji zabezpieczeń.
Mam nadzieję, że to pomoże. Jeśli nie, odpowiedz i podaj więcej przykładów kodu, aby były bardziej szczegółowe i dokładne. #bądź bezpieczny !
Chodzi o umożliwienie serwerowi WWW inicjowania wychodzących połączeń HTTP (port 80) do innych serwerów w Internecie. Na przykład możesz mieć stronę PHP, na której znajduje się widget pogody. Ten skrypt musiałby zażądać danych pogodowych z zewnętrznej usługi internetowej. –
ah ok, Myślałem, że masz na myśli blokowanie portu 80 jako portu inicjującego. Jeśli to zablokujesz, nie będziesz mógł załadować apisa i podobnej rzeczy z innych stron. Prawdopodobnie możesz dodać witryny, którym ufasz, do swoich zasad. Ale powiedziałbym, że blokowanie portu 80 zasadniczo nie ma większego sensu. – evildead
z innego punktu widzenia, jeśli serwer zostanie zhakowany i zablokujesz ten ruch, nie może załadować kodu z innych witryn. Ale kto gwarantuje, że haker/robot/cokolwiek używa portu 80 na jego życzenie :) – evildead