Jak zainstalować Anchor CMS na CentOS 7 LAMP VPS
Używasz innego systemu? Anchor CMS to bardzo prosty i niezwykle lekki, darmowy i otwarty system zarządzania treścią (CMS) Blog Engine, który
Skonfiguruj zaporę IPTables na CentOS 6
Wprowadzenie
Zapora ogniowa jest rodzajem narzędzia bezpieczeństwa sieci, które kontroluje przychodzący i wychodzący ruch sieciowy zgodnie ze wstępnie zdefiniowanym zestawem reguł. Możemy używać zapory ogniowej wraz z innymi środkami bezpieczeństwa, aby chronić nasze serwery przed atakami hakerów i atakami.
Zaporą ogniową może być dedykowany sprzęt lub program działający na naszym komputerze. W CentOS 6 domyślnym programem zapory jest iptables.
W tym artykule pokażę, jak skonfigurować podstawową zaporę iptables opartą na aplikacji Vultr „WordPress na CentOS 6 x64”, która będzie blokować cały ruch z wyjątkiem usług internetowych, SSH, NTP, DNS i ping. Jest to jednak tylko wstępna konfiguracja, która spełnia typowe potrzeby bezpieczeństwa. Jeśli masz dodatkowe wymagania, potrzebujesz bardziej wyrafinowanej konfiguracji iptables.
Uwaga :
Jeśli dodasz adres IPv6 do swojego serwera, powinieneś również skonfigurować usługę ip6tables. Konfigurowanie ip6tables wykracza poza zakres tego artykułu.
W przeciwieństwie do CentOS 6, iptables nie jest już domyślnym programem zapory w CentOS 7 i został zastąpiony programem o nazwie firewalld. Jeśli planujesz używać CentOS 7, musisz skonfigurować zaporę ogniową za pomocą firewalld.
Wymagania wstępne
Świeżo wdróż instancję serwera za pomocą aplikacji Vultr „WordPress na CentOS 6 x64”, a następnie zaloguj się jako root.
Krok 1: Określ usługi i porty używane na serwerze
Zakładam, że na tym serwerze będzie znajdować się tylko blog WordPress i nie będzie on używany jako router lub inne usługi (na przykład poczta, FTP, IRC itp.).
Potrzebujemy tutaj następujących usług:
- HTTP (TCP na porcie 80)
- HTTPS (TCP na porcie 443)
- SSH (TCP na porcie 22 domyślnie, można go zmienić ze względów bezpieczeństwa)
- NTP (UDP na porcie 123)
- DNS (TCP i UDP na porcie 53)
- ping (ICMP)
Wszystkie inne niepotrzebne porty zostaną zablokowane.
Krok 2: Skonfiguruj reguły iptables
Iptables kontroluje ruch za pomocą listy reguł. Gdy pakiety sieciowe są wysyłane do naszego serwera, iptables sprawdza je, używając każdej reguły w kolejności i odpowiednio podejmuje działania. Jeśli reguła zostanie spełniona, pozostałe reguły zostaną zignorowane. Jeśli nie zostaną spełnione żadne reguły, iptables użyje domyślnych zasad.
Cały ruch można sklasyfikować jako WEJŚCIE, WYJŚCIE i DO PRZODU.
- Ruch INPUT może być normalny lub złośliwy, powinien być dozwolony selektywnie.
- Ruch WYJŚCIOWY jest zwykle uważany za bezpieczny i powinien być dozwolony.
- Ruch DO PRZODU jest bezużyteczny i powinien zostać zablokowany.
Teraz skonfigurujmy reguły iptables zgodnie z naszymi potrzebami. Wszystkie poniższe polecenia powinny być wprowadzane z terminala SSH jako root.
Sprawdź istniejące zasady:
iptables -L -n
Opróżnij wszystkie istniejące reguły:
iptables -F; iptables -X; iptables -Z
Ponieważ zmiany w konfiguracji iptables zaczną obowiązywać natychmiast, jeśli źle skonfigurujesz reguły iptables, możesz zostać zablokowany na serwerze. Możesz zapobiec przypadkowym zablokowaniom za pomocą następującego polecenia. Pamiętaj o zastąpieniu [Your-IP-Address]własnym publicznym adresem IP lub zakresem adresów IP (na przykład 201.55.119.43 lub 201.55.119.0/24).
iptables -A INPUT -s [Your-IP-Address] -p tcp --dport 22 -j ACCEPT
Zezwól na cały ruch pętli zwrotnej (lo) i upuść cały ruch do 127.0.0.0/8, inny niż lo:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -d 127.0.0.0/8 -j REJECT
Zablokuj niektóre typowe ataki:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
Zaakceptuj wszystkie ustanowione połączenia przychodzące:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Zezwalaj na ruch przychodzący HTTP i HTTPS:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Zezwalaj na połączenia SSH:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Zezwalaj na połączenia NTP:
iptables -A INPUT -p udp --dport 123 -j ACCEPT
Zezwalaj na zapytania DNS:
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
Zezwalaj na ping:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
W końcu ustaw domyślne zasady:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Krok 3: Zapisz konfiguracje
Każda ze zmian, które wprowadziliśmy powyżej, zaczęła obowiązywać, ale nie są trwałe. Jeśli nie zapisamy ich na dysku twardym, zostaną utracone po ponownym uruchomieniu systemu.
Zapisz konfigurację iptables za pomocą następującego polecenia:
service iptables save
Nasze zmiany zostaną zapisane w pliku /etc/sysconfig/iptables. Możesz przejrzeć lub zmodyfikować reguły, edytując ten plik.
Obejścia dotyczące przypadkowego zablokowania
Jeśli zostaniesz zablokowany na serwerze z powodu błędu konfiguracji, nadal możesz odzyskać dostęp za pomocą kilku obejść.
- Jeśli nie zapisałeś jeszcze zmian w regułach iptables, możesz zrestartować serwer z interfejsu strony Vultr, a następnie zmiany zostaną usunięte.
- Jeśli zapisałeś zmiany, możesz zalogować się do serwera za pomocą konsoli z interfejsu witryny Vultr i wprowadzić dane,
iptables -Faby opróżnić wszystkie reguły iptables. Następnie możesz ponownie skonfigurować reguły.
Jak zaktualizować CentOS 7, Ubuntu 16.04 i Debian 8
Podczas konfigurowania nowego serwera Linux zaleca się aktualizację jądra systemu i innych pakietów do najnowszej stabilnej wersji. W tym artykule
Skonfiguruj klaster RethinkDB w CentOS 7
Wprowadzenie RethinkDB to baza danych NoSQL, która przechowuje dane jako dokumenty JSON. Ma bardzo intuicyjny język zapytań i funkcje powszechnie dostępne
Skonfiguruj Magento na CentOS 6
Niezależnie od tego, czy chcesz umieścić zapasy sklepów online, czy po prostu prosty sklep z akcesoriami technicznymi, Magento jest doskonałym rozwiązaniem dla eCommerce online. Ten artykuł
Jak zainstalować i skonfigurować OrientDB Community Edition na CentOS 7
OrientDB to wielomodowy model open source NoSQL DBMS nowej generacji. Dzięki obsłudze wielu modeli danych, OrientDB może zapewnić większą funkcjonalność i elastyczność
Jak zainstalować Neos CMS na CentOS 7
Neos to innowacyjny system zarządzania treścią typu open source, który doskonale nadaje się do tworzenia i edytowania treści online. Z myślą o autorach i redaktorach, Neo
Jak zainstalować Vtiger CRM Open Source Edition na CentOS 7
Vtiger CRM to popularna aplikacja do zarządzania relacjami z klientami, która może pomóc przedsiębiorstwom zwiększyć sprzedaż, zapewnić obsługę klienta i zwiększyć zyski. ja
Jak zainstalować MaraDNS na CentOS 6
MaraDNS to lekki, ale solidny program serwera DNS typu open source. W porównaniu z innymi aplikacjami tego samego rodzaju, takimi jak ISC BIND, PowerDNS i djbdns
Instalowanie Netdata na CentOS 7
Używasz innego systemu? Netdata jest wschodzącą gwiazdą w dziedzinie monitorowania wskaźników systemowych w czasie rzeczywistym. W porównaniu z innymi narzędziami tego samego rodzaju, Netdata:
Jak zainstalować Starbound Server na CentOS 7
Używasz innego systemu? W tym samouczku wyjaśnię, jak skonfigurować serwer Starbound na CentOS 7. Wymagania wstępne Musisz mieć tę grę na sobie
Clustering RabbitMQ na CentOS 7
RabbitMQ to broker komunikatów typu open source, który obsługuje AMQP, STOMP i inne technologie komunikacyjne. Jest szeroko stosowany w aplikacjach dla przedsiębiorstw
Skonfiguruj SA-MP San Andreas Multiplayer Server na CentOS 6
Witamy w innym samouczku Vultr. Tutaj dowiesz się, jak zainstalować i uruchomić serwer SAMP. Ten przewodnik został napisany dla CentOS 6. Wymagania wstępne Będziesz potrzebował
Zainstaluj Elgg na CentOS 7
Używasz innego systemu? Elgg to silnik sieci społecznościowych typu open source, który umożliwia tworzenie środowisk społecznościowych, takich jak kampusowe sieci społecznościowe
Jak zainstalować serwer RStudio na CentOS 7
RStudio Server to internetowa wersja RStudio, która jest serią narzędzi zaprojektowanych w celu ułatwienia kodowania przy użyciu języka programowania R. W thi
Instalowanie Bolt CMS na CentOS 7
Bolt to open source CMS napisany w PHP. Kod źródłowy Bolts jest hostowany na GitHub. Ten przewodnik pokaże Ci, jak zainstalować Bolt CMS na nowym CentOS 7 Vult
Jak zainstalować Elasticsearch na instancji serwera Vultr CentOS 7
Elasticsearch to popularny wyszukiwarka pełnotekstowa i silnik analityczny typu open source. Dzięki swojej wszechstronności, skalowalności i łatwości użytkowania, Elasticsearch jest szeroko rozpowszechniony
Wdróż Kubernetes za pomocą Kubeadm na CentOS 7
Omówienie Ten artykuł ma na celu pomóc ci w szybkim uruchomieniu klastra Kubernetes z kubeadm. W tym przewodniku zostaną wdrożone dwa serwery
Sails.js należy skonfigurować do programowania w CentOS 7
Używasz innego systemu? Wprowadzenie Sails.js to framework MVC dla Node.js, podobny do Ruby on Rails. Umożliwia tworzenie nowoczesnych aplikacji wer
Jak zainstalować PufferPanel (bezpłatny panel sterowania Minecraft) na CentOS 7
Wprowadzenie W tym samouczku zainstaluj PufferPanel na naszym Vultr VPS. PufferPanel to otwarty, darmowy panel kontrolny do zarządzania tobą
Lepsze narzędzia monitorowania dla Ubuntu i CentOS
Wprowadzenie Systemy Linux są domyślnie dostarczane z narzędziami do monitorowania, takimi jak top, df i du, które pomagają monitorować procesy i miejsce na dysku. Często jednak są
Funkcjonalności warstw architektury referencyjnej Big Data
Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.
Rewolucyjne wynalazki Google, które ułatwią Twoje życie.
Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.
13 komercyjnych narzędzi do ekstrakcji danych z Big Data
13 komercyjnych narzędzi do ekstrakcji danych z Big Data
Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7
Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+
5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła
Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.
Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?
Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…
Czy AI może walczyć z rosnącą liczbą ataków ransomware?
Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą
5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie
Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.
Wgląd w 26 technik analizy Big Data: część 2
Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.
Ataki DDOS: krótki przegląd
Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.