GNU/Linux >> Belajar Linux >  >> Linux

Cara Mengunci Server CentOS Anda dengan IPTables

Terverifikasi dan Diuji 16/11/16

Pengantar

Dalam tutorial ini, kami akan membahas cara melakukan beberapa perubahan IPTables dasar yang akan sangat membantu mengamankan server Anda. Ini dilakukan pada pemasangan baru CentOS 6.5 64bit di Atlantic.Net Cloud kami.

Mengunci server CentOS Anda dengan IPTables

Menggunakan CentOS IPTables bawaan adalah cara yang bagus untuk menjamin server pribadi virtual yang aman, karena sudah diinstal dan berjalan saat server dibuat. Untuk memverifikasi ini, Anda hanya perlu menjalankan di bawah ini untuk memeriksa status IPTables dan itu akan mencetak set aturan saat ini.

service iptables status

Jika Anda tidak menjalankannya sebagai root, cukup tambahkan sudo di depannya. Kami akan melanjutkan tutorial pengamanan ini seolah-olah Anda adalah pengguna root.

Untuk mengedit IPTables Anda, Anda harus terlebih dahulu membuka file konfigurasinya. Dalam contoh ini, kami menggunakan vi namun Anda dapat menggunakan editor mana pun yang menjadi favorit Anda.

vi /etc/sysconfig/iptables

Contoh /etc/sysconfig/iptables

Anda harus mendapatkan halaman yang terlihat seperti di atas. Hal pertama yang ingin kami lakukan adalah jika Anda memiliki port SSH khusus (Anda harus mengikuti tutorial Mengubah Port SSH Anda Di CentOS (tautan) atau telah mengubahnya sendiri), ubah baris yang menyatakan:

--dport 22

menjadi:

--dport yourcustomSSHport

Mengikuti contoh kami dalam tutorial port SSH khusus di atas, barisnya akan berbunyi:

-A INPUT -m state -state NEW -m tcp -p tcp --dport 3389 -j ACCEPT

Jika Anda tidak memiliki port SSH khusus, Anda dapat mengabaikannya, tetapi Anda harus mempertimbangkan untuk menambahkannya! Selanjutnya, kami ingin mengambil bagian yang mengatakan:

:INPUT ACCEPT [0:0] and :FORWARD ACCEPT [0:0]

dan katakan:

:INPUT DROP [0:0] and :FORWARD DROP [0:0]

Apa yang dilakukan adalah memberi tahu IPTables untuk memblokir dan menjatuhkan semua lalu lintas yang tidak menuju ke port yang Anda tentukan untuk diizinkan. Ini akan menghentikan orang yang mencoba menerobos menggunakan layanan yang Anda jalankan kecuali Anda telah membuka port tersebut untuk publik.

Dan itu saja! Server Anda sekarang lebih aman hanya dengan mengubah beberapa hal di IPTables. Agar perubahan diterapkan, Anda harus menyimpan dan keluar dari file, lalu menjalankan:

service iptables restart

Ini akan menyebabkan aturan baru Anda segera berlaku dan akan tetap melalui reboot. Jika Anda ingin lebih membatasi dengan IPtables Anda, khususnya akses ke SSH, Anda dapat melakukan hal berikut untuk setiap alamat IP yang harus diizinkan. Ini melibatkan pengeditan aturan SSH dan menambahkan lebih banyak. Di mana ia menyatakan aturan SSH yang kami identifikasi sebelumnya, Anda ingin mengubahnya menjadi:

-A INPUT -s IPADDR –m tcp –p tcp  --dport 3389 –j ACCEPT

Di mana IPADDR adalah alamat IP Anda yang ingin Anda akses SSH ke server Anda. Jika Anda tidak mengatur port SSH khusus, Anda ingin tetap menjadi 22 dan bukan 3389.

Untuk mengizinkan port tertentu melalui katakanlah untuk akses web ke situs web Anda, yang perlu Anda lakukan hanyalah mengetahui/menemukan port tempat layanan berjalan (atau Anda mengonfigurasinya) dan protokolnya (TCP atau UDP) dan mengizinkannya. Misalnya, akses situs web:

-A INPUT -m tcp -p tcp --dport 80 -j ACCEPT

Dan sekarang Internet memiliki akses ke web hosting yang Anda lakukan.

Perlu diingat, saat menambahkan aturan baru ke bagian INPUT atau FORWARD, merupakan praktik yang baik untuk menjaga agar aturan baru disatukan dengan aturan serupa. INPUT dengan INPUT dan FORWARD dengan FORWARD. Anda juga ingin memastikan bahwa aturan apa pun yang Anda tambahkan yang mengizinkan port baru melalui terdaftar DI ATAS pernyataan penolakan apa pun untuk kumpulan aturan itu. Jika mereka terdaftar setelah garis penolakan, aturan tidak akan berlaku.

Untuk melihat output dari apa yang dilakukan dan diblokir oleh IPTables dengan aturannya, Anda dapat menjalankan di bawah ini. Ini akan mencetak aturan yang Anda miliki dan paket apa pun tentang memutuskan koneksi atau mengizinkannya lewat.

iptables -L -vn

Untuk mengetahui apa arti semua segmen IPTables dan informasi lebih lanjut tentang mereka, silakan lihat bagian IPTables kami (tautan).

Catatan *Anda selalu dapat mengakses server Anda melalui penampil VNC kami di Portal Cloud jika Anda mengunci diri sendiri*

Terima kasih telah mengikuti cara ini. Silakan periksa blog kami untuk sejumlah artikel dan caranya termasuk posting terkait IPTables lainnya seperti Cara:Konfigurasi File IPTables Dasar dan Cara:Pemecahan Masalah IPTables Dasar; dan pertimbangkan server hosting VPS yang memimpin pasar dari Atlantic.Net.


Linux

  1. Cara memantau penggunaan sumber daya server Anda dengan Munin di CentOS 6

  2. Cara Mengamankan Layanan SSH dengan Port Knocking

  3. Bagaimana cara mengirim email dengan server CentOS saya?

  1. Cara menetapkan IPv6 di server CentOS Anda

  2. Gunakan iptables dengan CentOS 7

  3. Cara Mengatur Server Linux Sebagai Router dengan NAT

  1. Cara membuat server file pribadi dengan SSH di Linux

  2. Cara Menginstal Server FTP di CentOS 7 Dengan VSFTPD

  3. Cara Melindungi Apache dan SSH Dengan Fail2Ban di CentOS 8