新しく作成されたDebian(または派生)サーバーOSにWebサーバー保護をインストールする前に、a)存在を確認し、b)おおよそのジャンク/ DoSトラフィックの送信元を確認し、c)ポート80および443でジャンク/ DoSトラフィックのソースを確認するには?オペレーティングシステムのセキュリティ?
背景 私のサーバーにクラウドVPSプロバイダ(DigitalOceanなど)を使用します。ホスト提供のイメージ(通常DebianまたはUbuntu)で新しい/一般的なサーバー環境を作成し、さまざまなブロックリストでそのIPアドレスを調べて、「悪い」サーバーで時間を無駄にしないようにします。サーバーがリストにないとし、構築を開始します。これを保護し、さまざまなシステムライブラリ、メールサーバー、Webサーバーを追加し、そのIPアドレスに送信されるスパムトラフィック(存在する場合)のレベルを確認できます。
何の問題もなく数年を過ごした後、割り当てられたIPv4アドレスが約100Mbpsのガベージトラフィックを受信するWebサーバーを先週構築しました。私は、ビルドプロセスが始まる数時間前までにこのようなことが起こることを知りませんでした。後ろにログファイルのサイズが増え続けると、Webサーバー、Webアプリケーションファイアウォール、サーバー監視ツールをインストールしました。
Webで見られる新しいサーバーの最初の作業は、ソフトウェアファイアウォールをインストールして最小限のポートを開くことです。私は、ビルドプロセスの初期(ファイアウォール設定の前後)にポート80と443に対して一種の完全性チェックを実行することに非常に興味があります。資格があるように聞こえないでIPアドレスが破損している場合(ここではイタチのような表現になる可能性があります)、別の割り当てられたアドレスから始めます。
答え1
conntrack
さらなる調査により、私は必要なものを実装したことを発見しました。特にconntrack -E
アクティブな着信接続のリストを提供することでした。