Bảo mật là rất quan trọng khi bạn chạy máy chủ của riêng bạn. Bạn muốn đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập máy chủ, cấu hình và dịch vụ của bạn.
Trong Ubuntu, có một tường lửa được tải sẵn. Nó được gọi là UFW (Tường lửa không biến chứng). Mặc dù UFW là một tường lửa khá cơ bản, nó thân thiện với người dùng, vượt trội trong việc lọc lưu lượng và có tài liệu tốt. Một số kiến thức cơ bản về Linux phải đủ để tự cấu hình tường lửa này.
Cài đặt UFW
Lưu ý rằng UFW thường được cài đặt theo mặc định trong Ubuntu. Nhưng nếu có bất cứ điều gì, bạn có thể tự cài đặt nó. Để cài đặt UFW, hãy chạy lệnh sau.
sudo apt-get install ufw
Cho phép kết nối
Nếu bạn đang chạy một máy chủ web, rõ ràng bạn muốn thế giới có thể truy cập (các) trang web của bạn. Do đó, bạn cần đảm bảo rằng cổng TCP mặc định cho web được mở.
sudo ufw allow 80/tcp
Nói chung, bạn có thể cho phép bất kỳ cổng nào bạn cần bằng cách sử dụng định dạng sau:
sudo ufw allow <port>/<optional: protocol>
Từ chối kết nối
Nếu bạn cần từ chối quyền truy cập vào một cổng nhất định, hãy sử dụng:
sudo ufw deny <port>/<optional: protocol>
Ví dụ: hãy từ chối quyền truy cập vào cổng MySQL mặc định của chúng tôi.
sudo ufw deny 3306
UFW cũng hỗ trợ cú pháp đơn giản hóa cho các cổng dịch vụ phổ biến nhất.
root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)
Rất khuyến khích hạn chế quyền truy cập vào cổng SSH của bạn (theo mặc định là cổng 22) từ mọi nơi trừ địa chỉ IP đáng tin cậy của bạn (ví dụ: văn phòng hoặc nhà riêng).
Cho phép truy cập từ một địa chỉ IP đáng tin cậy
Thông thường, bạn sẽ chỉ cần cho phép truy cập vào các cổng mở công khai như cổng 80. Truy cập vào tất cả các cổng khác cần phải được hạn chế hoặc giới hạn. Bạn có thể lập danh sách trắng địa chỉ IP nhà / văn phòng của bạn (tốt nhất là địa chỉ IP tĩnh) để có thể truy cập máy chủ của bạn thông qua SSH hoặc FTP.
sudo ufw allow from 192.168.0.1 to any port 22
Chúng ta cũng cho phép truy cập vào cổng MySQL.
sudo ufw allow from 192.168.0.1 to any port 3306
Có vẻ tốt hơn bây giờ. Tiếp tục nào.
Kích hoạt UFW
Trước khi bật (hoặc nghỉ) UFW, bạn cần đảm bảo rằng cổng SSH được phép nhận kết nối từ địa chỉ IP của bạn. Để bắt đầu / bật tường lửa UFW của bạn, hãy sử dụng lệnh sau:
sudo ufw enable
Bạn sẽ thấy điều này:
root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
Loại Y , sau đó nhấn Enter để kích hoạt tính năng tường lửa.
Firewall is active and enabled on system startup
Kiểm tra trạng thái UFW
Hãy xem tất cả các quy tắc của bạn.
sudo ufw status
Bạn sẽ thấy đầu ra tương tự như sau.
sudo ufw status
Firewall loaded
To Action From
-- ------ ----
22:tcp ALLOW 192.168.0.1
22:tcp DENY ANYWHERE
Sử dụng tham số "dài dòng" để xem báo cáo trạng thái chi tiết hơn.
sudo ufw status verbose
Vô hiệu hóa / tải lại / khởi động lại UFW
Để tắt (dừng) UFW, hãy chạy lệnh này.
sudo ufw disable
Nếu bạn cần tải lại UFW (quy tắc tải lại), hãy chạy như sau.
sudo ufw reload
Để khởi động lại UFW, bạn sẽ cần phải tắt nó trước, sau đó kích hoạt lại.
sudo ufw disable
sudo ufw enable
Một lần nữa, trước khi bật UFW, hãy đảm bảo rằng cổng SSH được phép cho địa chỉ IP của bạn.
Xóa quy tắc
Để quản lý các quy tắc UFW của bạn, bạn cần liệt kê chúng. Bạn có thể làm điều đó bằng cách kiểm tra trạng thái UFW với tham số "được đánh số". Bạn sẽ thấy đầu ra tương tự như sau.
root@127:~$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 192.168.0.1
[ 2] 80 ALLOW IN Anywhere
[ 3] 3306 ALLOW IN 192.168.0.1
[ 4] 22 DENY IN Anywhere
Nhận thấy các số trong ngoặc vuông? Bây giờ, để loại bỏ bất kỳ quy tắc nào, bạn sẽ cần sử dụng những con số này.
sudo ufw delete [number]
Kích hoạt hỗ trợ IPv6
Nếu bạn sử dụng IPv6 trên VPS của mình, bạn cần đảm bảo rằng hỗ trợ IPv6 được bật trong UFW. Để làm như vậy, hãy mở tệp cấu hình trong trình soạn thảo văn bản.
sudo nano /etc/default/ufw
Sau khi mở, hãy chắc chắn rằng nó IPV6
được đặt thành "có":
IPV6=yes
Sau khi thực hiện thay đổi này, lưu tệp. Sau đó, khởi động lại UFW bằng cách vô hiệu hóa và kích hoạt lại nó.
sudo ufw disable
sudo ufw enable
Quay lại cài đặt mặc định
Nếu bạn cần quay lại cài đặt mặc định, chỉ cần gõ lệnh sau. Điều này sẽ hoàn nguyên bất kỳ thay đổi của bạn.
sudo ufw reset
Phần kết luận
Nhìn chung, UFW có thể bảo vệ VPS của bạn trước các nỗ lực hack phổ biến nhất. Tất nhiên, các biện pháp bảo mật của bạn nên chi tiết hơn là chỉ sử dụng UFW. Tuy nhiên, đó là một khởi đầu tốt (và cần thiết).
Nếu bạn cần thêm ví dụ về việc sử dụng UFW, bạn có thể tham khảo UFW - Wiki trợ giúp cộng đồng .