當伺服器都架設好之後就要來談一談安全上的管理了。
如果你是用固定IP架設伺服器的話,有空可以看看相關log檔,
整個網路都是滿滿的惡意使用者在try你的主機漏洞啊。
Centos8.1自帶firewalld跟iptables這些安全防護方面的應用,
這裡先使用較為簡單,命名規則也較為好記的firewalld。
啟動程式執行指令 systemctl start firewalld
開機就啟動執行指令 systemctl enable firewalld
列出目前允許的規則,執行指令 firewall-cmd --list-services
預設如下,ssh有被開放,不然遠端使用者就慘了:
底下開始把相關服務打開,讓外界可以使用:
開啟 http 跟 https 網頁伺服器,執行
firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
開啟網路芳鄰samba服務,執行
firewall-cmd --add-service=samba --permanent
開啟網路芳鄰DNS服務,執行
firewall-cmd --add-service=dns --permanent
開啟NTP服務,執行
firewall-cmd --add-service=ntp --permanent
開啟FTP服務,執行
firewall-cmd --add-service=ftp --permanent
開啟POP3服務,執行
firewall-cmd --add-service=pop3 --permanent
開啟imap服務,執行
firewall-cmd --add-service=imap --permanent
開啟mysql服務,執行
firewall-cmd --add-service=mysql --permanent
開啟EMAIL服務,執行
firewall-cmd --add-service=smtp --permanent
設定好之後firewall並不會自動啟動剛才的設定,必須執行
firewall-cmd --reload
設定重新載入之後才會生效。
列出看一下開啟了哪些服務, firewall-cmd --list-services
相關服務都已經開啟。
註1:要移除相關服務只要將add改成remove即可。例如要禁止NTP服務對外開啟:firewall-cmd --remove-service=ntp --permanent
註2:--permanent永久生效,沒有此參數重啟後失效。
列出所有開啟的服務跟poers,指令 firewall-cmd --list-all
禁止特定IP或IP區段存取
這是為什麼要開啟防火牆的主要原因了,從log檔中可以看到某些特定ip在做惡意的侵入與操作,
此時可以用firewall來擋掉這些IP。指令:
firewall-cmd firewall-cmd --add-rich-rule 'rule family="ipv4" source address="92.118.38.66" reject' --permanent
ban IP區段,把IP加上遮罩:
firewall-cmd firewall-cmd --add-rich-rule 'rule family="ipv4" source address="92.118.38.0/24" reject' --permanent
指令 firewall-cmd --list-all 可以看到加入的IP生效了:
可以將討厭的IP加入reject名單中。
留言列表
Ardiuno (5)
