4 votos

¿Correcta configuración de UFW en Ubuntu Server 10 LTS que tiene Nginx, FastCGI y MySQL?

Estoy queriendo conseguir mi firewall en mi nuevo servidor web para ser tan seguro como tiene que ser. Después de hacer la investigación para iptables, me encontré con UFW (Uncomplicated FireWall). Esto parece una mejor manera para mí para configurar un firewall en Ubuntu Server 10 LTS y viendo que es parte de la instalación, parece tener sentido.

Mi servidor tendrá Nginx, FastCGI y MySQL en él. También quiero permitir el acceso SSH (obviamente). Así que tengo curiosidad por saber exactamente cómo debo configurar UFW y ¿hay algo más que deba tener en cuenta? Después de hacer la investigación, he encontrado un artículo que lo explica así:

# turn on ufw
ufw enable
# log all activity (you'll be glad you have this later)
ufw logging on
# allow port 80 for tcp (web stuff)
ufw allow 80/tcp
# allow our ssh port
ufw allow 5555
# deny everything else
ufw default deny
# open the ssh config file and edit the port number from 22 to 5555, ctrl-x to exit
nano /etc/ssh/sshd_config
# restart ssh (don't forget to ssh with port 5555, not 22 from now on)
/etc/init.d/ssh reload

Todo esto parece tener sentido para mí. Pero, ¿es todo correcto? Quiero respaldar esto con cualquier otra opinión o consejo para asegurarme de que hago esto bien en mi servidor.

Muchas gracias.

0 votos

Si aún no lo has hecho, te sugeriría desactivar la autenticación por contraseña en sshd_config y utilizar pares de claves para la autenticación sin contraseña. He eliminado cualquier intento de fuerza bruta SSH que se registran en contra de mis servidores web haciendo esto.

0 votos

Echa un vistazo a Config Server Firewall también. Es, con diferencia, el cortafuegos más sencillo y con más funciones que he utilizado :)

0 votos

¿No tendría sentido limitar también el acceso al puerto 80? ufw allow 80/tcp => ufw allow 80/tcp

1voto

Hawk Puntos 87

Utilice ufw limit [PORT] en lugar de ufw allow [PORT] para evitar ataques de fuerza bruta.

   ufw supports connection rate limiting, which is useful  for  protecting
   against  brute-force  login attacks. ufw will deny connections if an IP
   address has attempted to initiate 6 or more connections in the last  30
   seconds.

A continuación se muestra cómo configuraría ufw firewall utilizando sus reglas.

Primero cambie el puerto SSH en: /etc/ssh/sshd_config

A continuación, Vuelva a cargar la configuración: /etc/init.d/ssh reload

Entonces: ufw default deny

Entonces: ufw logging on

Entonces: ufw limit 5555

Entonces: ufw allow 80/tcp

Una vez que tengas todas tus reglas configuradas activa ufw: ufw enable

0voto

James L Puntos 4068

Yo tendría mucho cuidado con la desactivación de SSH sin saber exactamente lo que estás haciendo - podría valer la pena tratar de SSH fuera de una determinada red para empezar a probar. No sé qué tan rápido LFW tiene efecto o si afecta a las conexiones establecidas, pero si lo hace con efecto inmediato, entonces definitivamente debe cambiar el número de puerto de SSH antes de firewall fuera el que está utilizando actualmente para conectarse.

0 votos

@james-lawrie No estoy seguro de entender esto. ¿No es UFW simplemente una interfaz para iptables? Por lo que yo sé, es simplemente una interfaz más fácil de usar para el iptables subyacente, pero ¿es iptables esencial por debajo? ¿Si estoy configurando las cosas correctas en UFW, entonces iptables se configurará como si yo mismo modificara el iptables? ayuda.ubuntu.com/comunidad/UFW

0 votos

Si, pero cambia el puerto ssh primero, prueba si funciona, luego activa el firewall ufw o iptables, para que no te bloqueen.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X