이것은 iptables를 통해 모든 포트를 차단하지 않았기 때문에 보안이 매우 취약한 원래 서버였습니다.
/etc/sysconfig/iptables
콘텐츠:
# Generated by iptables-save v1.4.7 on Mon Jun 16 20:04:05 2014
*filter
:INPUT ACCEPT [8:607]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:1089]
COMMIT
# Completed on Mon Jun 16 20:04:05 2014
이(아래)는 타사 서버인데 보안 설정이 잘 되어 있는 것 같네요.. (포트 22만 허용)
/etc/sysconfig/iptables
콘텐츠:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
이게 훨씬 좋아 보이네요.
이를 원래 서버에 복사한 /etc/sysconfig/iptables다음 전체 시스템을 재부팅하고 모든 것이 작동할 것으로 기대할 수 있습니까?
답변1
기본적으로 그렇습니다. 새로 설치하는 경우 기본 iptable 파일이지만 최신 2개의 최신 규칙을 사용하고 규칙에 일부 로깅을 추가하는 것이 좋습니다.
예를 들어 다음 템플릿을 참조하세요.https://gist.github.com/jirutka/3742890