これは、iptablesを介してすべてのポートをブロックしていないため、セキュリティが非常に脆弱な元のサーバーでした。
/etc/sysconfig/iptables
コンテンツ:
# Generated by iptables-save v1.4.7 on Mon Jun 16 20:04:05 2014
*filter
:INPUT ACCEPT [8:607]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:1089]
COMMIT
# Completed on Mon Jun 16 20:04:05 2014
この(下)はサードパーティのサーバーなのにセキュリティ設定がうまくいっているようですね。 (ポート22のみ許可)
/etc/sysconfig/iptables
コンテンツ:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
これはずっと良く見えますね。
これを元のサーバーにコピーして/etc/sysconfig/iptables
システム全体を再起動し、すべてが機能すると期待できますか?
答え1
基本的にそうです。新しくインストールする場合は、デフォルトのiptableファイルですが、最新の2つの最新のルールを使用し、ルールにいくつかのロギングを追加することをお勧めします。
たとえば、次のテンプレートを参照してください。https://gist.github.com/jirutka/3742890