这是一个创建于 4328 天前的主题,其中的信息可能已经有所发展或是发生改变。
也就apache服务运行在80端口,ssh服务运行在22端口,有必要开启iptables防火墙么?
netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 5749599 - /var/run/mysqld/mysqld.sock
netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 5749599 - /var/run/mysqld/mysqld.sock
 |
1
lfzyx OP 开启防火墙的意义到底是什么
|
 |
2
humiaozuzu 2014 年 3 月 16 日
从来不开 iptable/ufw or fail2ban
ssh 改了端口,禁root,公钥认证足够了 |
 |
3
zjgsamuel 2014 年 3 月 16 日
等你受到攻击的时候你就知道了,自己做测试用的服务器无所谓,要是放到公网上的建议还是开启吧!
|
 |
6
halfbloodrock 2014 年 3 月 16 日
比如22端口 你可以用-s指定IP或者网段才能登录,这样避免22暴露在外。
|
 |
7
hncqp 2014 年 3 月 16 日 via iPhone
如果你打算裸奔的话
|
 |
8
blacktulip 2014 年 3 月 17 日 via iPhone
生产服务器还是得装的
|
 |
9
thinkxen 2014 年 3 月 17 日 via Android
iptables很有意思的,可以玩出很多东西,不过一般问题不大了
|
 |
10
cevincheung 2014 年 3 月 17 日
感觉还是ubuntu的ufw好点。坐等新版的systemd以后的iptables
|
 |
11
XXOO 2014 年 3 月 17 日
ufw不错的说.
|
 |
12
lyragosa 2014 年 3 月 17 日
v友们有用csf的么
|
 |
13
niseter 2014 年 3 月 17 日 via Android
如果边缘服务器有防火墙便无所谓,但是如果裸奔被攻击就跟DT了
|
 |
14
raincious 2014 年 3 月 17 日  1
ufw其实就是iptables吧?
其实装不装关键还是看是不是内网。如果是内网安全要求没那么高的服务器,也可以选择不装。 反正我是必装,然后开必要端口。 没事留可能的漏洞这是有多无聊才能做出来。 |
 |
15
hannnnn 2014 年 3 月 17 日 via Android
|
 |
16
pirex 2014 年 3 月 17 日
ssh改端口+root动态密码认证
|
 |
17
nine 2014 年 3 月 17 日 1
曾经有个十几年it经验的人也跟我说开防火墙没啥意义。。
防火墙的意义在于防止渗透提权。 举个栗子 你的服务器上安装有服务A/1234端口 和服务B/7777端口 C/10010端口 D/12580端口 A被爆了一个漏洞,可以被提权,但是权限有限不能乱搞,不过这个权限只可以用来访问服务B和D 此时服务B也有一个漏洞这个漏洞比较大,很危险,比如传输敏感数据或是发送arp,于是你就被攻破了。 但是如果这个时候你开了iptables,7777端口是只允许内网访问的,那么他即使提到权,也是没有用的。 |
 |
18
wwek 2014 年 3 月 17 日
需要开启防火墙不.
防火墙配置如何. 这个看需求! |
|
19
wwek 2014 年 3 月 17 日
@cevincheung 内核都是 filter 啊. ufw 和iptables 只是实现
|
|
20
wwek 2014 年 3 月 17 日
楼主你这个.如果没有需要限定访问ssh ip的就没必要开启防火墙`
|
 |
21
cloudzhou 2014 年 3 月 17 日
必须开启,因为很多服务会开放端口,但是这个端口对外界是没有意思的,举个例子,如果你启用了 mysql,通过 3306 端口的,请问你要开放 3306 端口出去吗?
|
 |
23
0x61 2014 年 3 月 17 日
我的vps啥安全措施都没用,前几天看日志有个孙子在穷举我的密码。
|
 |
24
wb14123 2014 年 3 月 17 日 via Android
可以防止ip欺骗
|
 |
26
ovear 2014 年 3 月 17 日
呃。。。我想说iptables不仅仅是一个防火墙。。
|
 |
27
hiddenman 2014 年 3 月 18 日
开吧。。
不开,你总会看到httpd日志中存在一些不可爱的IP |
Select Language