Linuxシステムのサーバにファイアウォールを設定する方法
ファイアウォールは、出入りポートのフィルタリングと暴力法の使用を阻止するログイン試行に役立ちます。CSF(Config Server Firewall)という強力なファイアウォールを使う傾向があります。iptablesを使用し、管理が容易で、コマンドの入力が苦手なユーザーにwebインタフェースを提供しています。
CSFをインストールするには、まずサーバにログインし、このディレクトリに切り替えます。
コードのコピーcd /usr/local/src/
次にroot権限で次のコマンドを実行します。
コードのコピーwget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csfsh install.sh
インストーラの完了を待って、CSFのプロファイルを編集するだけです。
コードのコピー/etc/csf/csf.conf
デフォルトではCSFはテストモードで動作します。TESTINGの値を0に設定することで、productモードに切り替えます。
コードのコピーTESTING = "0"
次に設定するのは、サーバ上で許可されているポートです。csf.confで次のセクションにナビゲートし、必要に応じてポートを変更します。
コードのコピー
#インバウンドを許可するTCPポート
TCP_IN = "20,21,25,53,80,110,143,443,465,587,993,995,16543"#アウトバウンドを許可するTCPポート
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,16543"
#インバウンドを許可するUDPポートUDP_IN = "20,21,53"
#アウトバウンドを許可するUDPポート
#tracerouteリクエストの発行を許可するには、33434:33523ポート範囲をリストに追加します。UDP_OUT = "20,21,53,113,123"
必要に応じて1つずつ設定し、必要なポートだけを使用することをお勧めします。設定がポートを広範囲に設定しないようにしてください。また、不安全なサービスを使用する不安全なポートも避けてください。例えば、デフォルトのSMTPポート25の代わりに、ポート465および587のみが電子メールを送信することを許可する。(LCTT訳注:あなたのメールサーバがSMTPSをサポートすることを前提としています)
重要:カスタムsshポートを許可することを忘れないでください。IPアドレスがファイアウォールを通過することを許可し、決して遮断されないことが重要です。IPアドレスは次のファイルに定義されます。
コードのコピー