リモートログインとポート公開を防ぐためのLinuxサーバー構成IPホワイトリスト

序文

ブロガーが使用しているサーバーは Alibaba Cloud から購入したものです。実際、Alibaba Cloud は私たちが使用するためのセキュリティポリシーを提供していますが、それが自社サーバーの場合や自社仮想マシンの場合など、ファイアウォールとホワイトリストの設定方法をまだ確認する必要があります。

1. Alibaba Cloud のサーバー自体にはファイアウォールはありませんが、IPtable ファイアウォールをインストールすることができます (ここで Alibaba Cloud のサーバーシステムは Centos です)。この場合、ファイアウォールと Alibaba Cloud URL で設定されたホワイトリストを同時に有効にする必要があります。

1. サーバーファイアウォール

1.1. 以下はファイアウォールの初期設定です

vim /etc/sysconfig/iptables

# iptables サービスのサンプル設定
# これを手動で編集するか、system-config-firewall を使用することができます
# このデフォルト設定にポートやサービスを追加するよう依頼しないでください
*フィルター
:入力受け入れ[0:0]
:転送承認[0:0]
:出力受け入れ[0:0]
-A 入力 -m 状態 --state RELATED、ESTABLISHED -j ACCEPT
-A 入力 -p icmp -j 受け入れ
-A 入力 -i lo -j 受け入れ
-A 入力 -p tcp -m 状態 --state 新規 -m tcp --dport 22 -j 受け入れる
-A 入力 -m 状態 --state 新規 -m tcp -p tcp --dport 80 -j 受け入れる 

-A 入力 -j 拒否 --拒否-icmp-ホスト禁止
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

専念

1.2. ホワイトリストと公開ポートを構成する

1.2.1. ポート22、80、8080を公開する

1.2.2、ホワイトリスト116.90.86.196、116.90.86.197を追加します。必ず現在のIPアドレスを入力してください。ログインできないように注意してください。

# iptables サービスのサンプル設定
# これを手動で編集するか、system-config-firewall を使用することができます
# このデフォルト設定にポートやサービスを追加するよう依頼しないでください
*フィルター
:入力受け入れ[0:0]
:転送承認[0:0]
:出力受け入れ[0:0]

#ホワイトリスト変数名を定義する -N whitelist
#ホワイトリストのIPセグメントを設定する -A whitelist -s 116.90.86.196 -j ACCEPT
-A ホワイトリスト -s 116.90.86.197 -j 受け入れる

-A 入力 -m 状態 --state RELATED、ESTABLISHED -j ACCEPT
-A 入力 -p icmp -j ホワイトリスト
-A 入力 -i lo -j 受け入れ


-A 入力 -p tcp -m 状態 --state 新規 -m tcp --dport 22 -j ホワイトリスト
-A 入力 -p tcp -m 状態 --state 新規 -m tcp --dport 8080 -j 受け入れる
-A 入力 -p tcp -m 状態 --state 新規 -m tcp --dport 80 -j 受け入れる

-A 入力 -j 拒否 --拒否-icmp-ホスト禁止
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

専念

2. Alibaba Cloud のホワイトリストとポート公開

2.1 セキュリティグループの構成