Despre Linux

  • Facebook
  • Twitter
  • LinkedIn
  • Acasă
  • Linux
    • Comenzi Linux
    • Tutoriale
  • Kubernetes
  • RHCSA
    • Exerciții RHCSA
    • SELinux
    • Permisiuni
  • General
    • Open source
  • Contact

VPS Ubuntu 14.04: setare firewall și mici ajustări

13 decembrie 2015 By Bobses 14 comentarii

Iată și primul articol despre securitate de pe noul server VPS . 🙂 Cam târziu, dar nu a fost vina mea, ci a celor de la RCS&RDS, că s-au propagat al naibii de greu noile DNS-uri în rețeaua lor: schimbate la ora 12, terminare propagare la 22:30.

Cât am stat și-am așteptat propagarea, am mai făcut câte ceva la server: am instalat firewall-ul plus alte câteva setări adiționale de securitate (și nu numai).

Dezactivare conectare cu ROOT prin SSH

Superutilizatorul root este cel care taie și spânzură într-un sistem de operare Linux. Din cauza acestor privilegii maxime, este descurajată folosirea sa în mod regulat, pentru a preveni modificările accidentale care pot fi distructive pentru server.

Aici am văzut cum se poate adăuga un utilizator obișnuit, căruia îi putem acorda, ocazional, drepturi de administrator.

Configurarea Daemon-ului SSH

Ne conectăm prin SSH la server cu utilizatorul root:

ssh root@adresa_IP

Instalăm un editor de text în terminal - Ubuntu 14.04 vine cu vi, dar nu-mi place absolut deloc, așa că instalăm nano:

apt-get install nano

După instalare, modificăm fișierul text de configurare a daemon-ului ssh:

nano /etc/ssh/sshd_config

Căutăm linia (în nano se poate căuta un șir de caractere folosind CTRL+W):

PermitRootLogin yes

Și o modificăm astfel încât să arate așa:

PermitRootLogin no

Salvăm cu CTRL+X, confirmăm cu Y și ieșim cu ENTER.

Setarea făcută nu va fi funcțională decât dup restartarea serviciului SSH:

service ssh restart

Nu ne deconectăm decât după ce avem confirmarea că ne putem conecta fără probleme cu utilizatorul non-root. Vom deschide o fereastră a terminalului într-un alt tab și tastăm:

ssh utilizator_non-root@adresa_IP

Suntem întrebați de parolă și, în mod normal, nu ar trebui să fie absolut nicio problemă la conectare. Țineți minte, pentru a acorda utilizatorului_non-root drepturi de administrator, trebuie pus sudo în fața comenzii.

Configurare firewall în Ubuntu 14.04

Firewall UFW

După cum spus și într-un articol precedent, pentru a crește nivelul de securitate al serverului, nu trebuie să uităm să instalăm și să configurăm firewall-ul (UFW - Uncomplicated Firewall).

După conectarea prin SSH la server (cu utilizatorul non-root, că celălalt nu mai are permisiuni), tastăm:

sudo apt-get install ufw

Activare:

sudo ufw enable

Vom primi următorul mesaj: Command may disrupt existing ssh connections. Proceed with operation (y|n)? la care răspundem cu y.

Dezactivare:

sudo ufw disable

Bineînțeles, nu uităm să-l reactivăm...

Am spus aici ce porturi trebuie să avem deschise. Pentru a stabili comportamentul prestabilit la intrări și ieșiri, dăm următoarele 2 comenzi:

sudo ufw default deny incoming

și

sudo ufw default allow outgoing

Pentru activarea portului 22 (SSH):

sudo ufw allow ssh

Pentru deschiderea unui port se dă comanda:

sudo ufw allow 21

sau

sudo ufw 25/tcp

deschidem, rând pe rând, porturile menționate mai sus.

Pentru deschiderea porturilor dintr-un anumit interval:

sudo ufw allow 1000:2000/tcp

sau

sudo ufw allow 1000:2000/udp

De asemenea, se poate specifica permiterea conexiunii de la o numita adrssă (de exemplu, permiterea conexiunii de la calculatorul de la serviciu):

sudo ufw allow from 192.168.255.255

Închiderea unui port și interzicerea accesului prin acel loc:

sudo ufw deny 80/tcp

Ștergerea unei reguli:

sudo ufw delete allow 80/tcp

sau

sudo ufw delete allow 1000:2000/tcp

Pentru a vedea regulile adăugate:

sudo ufw show added

cu răspunsul

les (see 'ufw status' for running firewall):
ufw allow 22
ufw allow 20
ufw allow 21
ufw allow 25
ufw allow 25/tcp
ufw allow 53
ufw allow 53/tcp
ufw allow 53/udp
ufw allow 80
ufw allow 80/tcp
ufw allow 80/udp
ufw allow 110
ufw allow 143
ufw allow 443
ufw allow 3306

Verificarea statusului se face:

sudo ufw status

La ieșire, trebuie să avem ceva de genul:

Status: active

To Action From
-- ------ ----
22 ALLOW Anywhere
20 ALLOW Anywhere
21 ALLOW Anywhere
25 ALLOW Anywhere
25/tcp ALLOW Anywhere
53 ALLOW Anywhere
53/tcp ALLOW Anywhere
53/udp ALLOW Anywhere
80 ALLOW Anywhere
80/tcp ALLOW Anywhere
80/udp ALLOW Anywhere
110 ALLOW Anywhere
143 ALLOW Anywhere
443 ALLOW Anywhere
3306 ALLOW Anywhere
587 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
20 (v6) ALLOW Anywhere (v6)
21 (v6) ALLOW Anywhere (v6)
25 (v6) ALLOW Anywhere (v6)
25/tcp (v6) ALLOW Anywhere (v6)
53 (v6) ALLOW Anywhere (v6)
53/tcp (v6) ALLOW Anywhere (v6)
53/udp (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
80/udp (v6) ALLOW Anywhere (v6)
110 (v6) ALLOW Anywhere (v6)
143 (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
3306 (v6) ALLOW Anywhere (v6)
587 (v6) ALLOW Anywhere (v6)

Dacă, dintr-un anumit motiv, se dorește ștergerea tuturor regulilor și revenirea la setările inițiale, se dă comanda:

sudo ufw reset

Configurări de amănunt ale firewall-ului UFW aici.

În acest moment, serverul VPS ar trebui să fi corect configurat din punct de vedere al securității.

Vom merge mai departe (într-un alt articol) cu primii pași în panoul de control Sentora instalat pe acest server.

Partajează asta:

  • Dă clic pentru a partaja pe Facebook(Se deschide într-o fereastră nouă)
  • Dă clic pentru a partaja pe LinkedIn(Se deschide într-o fereastră nouă)
  • Click to share on Twitter(Se deschide într-o fereastră nouă)

Similare

Din categoria: Tutoriale Etichete: configurare VPS, firewall, linux, securitate, server virtual privat, ufw, VPS

Comentarii

  1. Fukers a zis

    3 martie 2018 la ora 15:34

    root@porn:~# ufw status
    Status: active

    To Action From
    -- ------ ----
    6667 ALLOW Anywhere
    1000:2000/udp ALLOW Anywhere
    1000:2000/tcp ALLOW Anywhere
    6000:7000/tcp ALLOW Anywhere
    6000:7000/udp ALLOW Anywhere
    6667 (v6) ALLOW Anywhere (v6)
    1000:2000/udp (v6) ALLOW Anywhere (v6)
    1000:2000/tcp (v6) ALLOW Anywhere (v6)
    6000:7000/tcp (v6) ALLOW Anywhere (v6)
    6000:7000/udp (v6) ALLOW Anywhere (v6)

    Răspunde
    • Bobses a zis

      3 martie 2018 la ora 16:18

      După cum am zis, ai o mulțime de porturi deschise.
      Deschide-le și pe cele de care ai strictă nevoie: 22, 80, 443...

      Răspunde
  2. Fukers a zis

    3 martie 2018 la ora 13:39

    Am incercat dar numi deschide porturi am un dedicat de rusia si nu merge sa deschid nici un port

    Răspunde
    • Bobses a zis

      3 martie 2018 la ora 14:45

      Mie Rusia asta nu-mi sună prea bine. Mă rog, ai Ubuntu pa el sau altă distribuție? Nu se poate sa nu deschidă porturile...

      Răspunde
      • Fukers a zis

        3 martie 2018 la ora 14:52

        root@porn:~/scan# cat /etc/issue
        Ubuntu 16.04 LTS n l

        Răspunde
        • Bobses a zis

          3 martie 2018 la ora 14:55

          Mișto hostname. 🙂
          Ce firewall ai? Îți dă vreun mesaj de eroare?

          Răspunde
          • Fukers a zis

            3 martie 2018 la ora 14:58

            nu am idee

            To Action From
            -- ------ ----
            6667 ALLOW Anywhere
            1000:2000/udp ALLOW Anywhere
            1000:2000/tcp ALLOW Anywhere
            6000:7000/tcp ALLOW Anywhere
            6000:7000/udp ALLOW Anywhere
            6667 (v6) ALLOW Anywhere (v6)
            1000:2000/udp (v6) ALLOW Anywhere (v6)
            1000:2000/tcp (v6) ALLOW Anywhere (v6)
            6000:7000/tcp (v6) ALLOW Anywhere (v6)
            6000:7000/udp (v6) ALLOW Anywhere (v6)

          • Bobses a zis

            3 martie 2018 la ora 15:18

            Dacă nu știi ce firewall ai, de unde știi că nu-ți deschide niciun port? 🙂
            Din ce îmi arăți tu aici, văd că ai accesul permis pe anumite porturi.

            Probabil ai ufw iar output-ul pe care mi l-ai arătat este în urma comenzii ufw status.
            Deschide ce porturi ai nevoie cu comenzile din articol.

Trackbacks

  1. Podman: containere Prometheus, Alertmanager și Grafana | Despre Linux spune:
    26 iunie 2021 la 9:22

    […] În distribuțiile din familia Ubuntu se folosește UFW - aici sunt reguli de configurare. […]

    Răspunde
  2. Cum se adaugă domenii în panoul de control al VPS-ului și cum se editează zona DNS | Despre Linux spune:
    21 iunie 2021 la 20:07

    […] am instalat și configurat firewall-ul în Ubuntu 14.04 […]

    Răspunde
  3. Cum se configurează FirewallD pe CentOS 7 | Despre Linux spune:
    21 iunie 2021 la 12:49

    […] Setarea firewall-ului pe un server cu Ubuntu 14.04 am explicat-o în acest articol. […]

    Răspunde
  4. Cum se configurează FirewallD pe CentOS 7 | Lumea lui Bobses spune:
    6 ianuarie 2017 la 14:06

    […] Setarea firewall-ului pe un server cu Ubuntu 14.04 am explicat-o în acest articol. […]

    Răspunde
  5. Server VPS: primii pași cu panoul de control Sentora spune:
    25 august 2016 la 21:17

    […] am instalat și configurat firewall-ul în Ubuntu 14.04 […]

    Răspunde
  6. Adăugare domenii în panoul de control al VPS-ului și editarea zonei DNS spune:
    29 decembrie 2015 la 18:11

    […] am instalat și configurat firewall-ul în Ubuntu 14.04 […]

    Răspunde

Lasă un răspunsAnulează răspunsul

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Copyright © 2025 · Bobses

Administrează consimțămintele pentru cookie-uri
Pentru a oferi cea mai bună experiență, folosim tehnologii, cum ar fi cookie-uri, pentru a stoca și/sau accesa informațiile despre dispozitive. Consimțământul pentru aceste tehnologii ne permite să procesăm date, cum ar fi comportamentul de navigare sau ID-uri unice pe acest site. Dacă nu îți dai consimțământul sau îți retragi consimțământul dat poate avea afecte negative asupra unor anumite funcționalități și funcții.
Funcționale Mereu activ
Stocarea tehnică sau accesul sunt strict necesare în scopul legitim de a permite utilizarea unui anumit serviciu cerut în mod explicit de către un abonat sau un utilizator sau în scopul exclusiv de a executa transmiterea unei comunicări printr-o rețea de comunicații electronice.
Preferințe
Stocarea tehnică sau accesul este necesară în scop legitim pentru stocarea preferințelor care nu sunt cerute de abonat sau utilizator.
Statistici
Stocarea tehnică sau accesul care sunt utilizate exclusiv în scopuri statistice. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
Stocarea tehnică sau accesul sunt necesare pentru a crea profiluri de utilizator pentru a trimite publicitate sau pentru a urmări utilizatorul pe un site web sau pe mai multe site-uri web în scopuri de marketing similare.
Administrează opțiunile Administrează serviciile Administrează vânzătorii {vendor_count} Citește mai multe despre aceste scopuri
Vizualizează preferințele
{title} {title} {title}