I firewall come firewalld e iptables sono un'ottima prima linea di difesa contro le intrusioni ma non sono impeccabili. Possono essere hackerati e anche presentare vulnerabilità occasionali. Ma devi avere un firewall basato su host in esecuzione. È solo una delle cose che installi e configuri su ogni sistema. E dovresti configurare il tuo firewall prima di fare qualsiasi lavoro sul tuo sistema. In altre parole, blocca il tuo sistema non appena è online.
Una volta che il tuo nuovo sistema è attivo e funzionante e lo hai protetto con un firewall, è il momento di creare quella seconda linea di difesa con le voci corrispondenti in /etc/hosts.allow (hosts.allow) e /etc/hosts. negare (hosts.deny) i file. Se il firewall viene arrestato, per qualsiasi motivo, le voci hosts.allow e hosts.deny continueranno a proteggere il sistema dalle intrusioni. È questo livello aggiuntivo che migliora la sicurezza del tuo sistema fornendo un failsafe per il tuo firewall.
Crea le voci CONSENTI
Spero che tu abbia letto il mio articolo "Strumenti di amministrazione di sistema:come utilizzare iptables". In caso contrario, prenditi qualche minuto per leggerlo prima di tuffarti nei tuoi file hosts.allow e hosts.deny perché userò l'articolo di iptables come riferimento per inserire le voci corrispondenti.
Nota:vale la pena affermare qui che le voci fatte in hosts.allow possono bloccarti fuori dal tuo sistema, che non è quello che vuoi. In tal caso, dovrai accedere alla console di sistema tramite KVM, KVM virtuale, iLO o console della macchina virtuale.
La regola SSH dell'articolo sopra menzionato recita: iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT . Questa regola consente a qualsiasi sistema sulla rete 192.168.1.0/24 di connettersi al sistema locale tramite SSH. La voce corrispondente in hosts.allow è:
SSHD: 192.168.1.*
Questa voce consente a tutti i sistemi della rete 192.168.1.0 di connettersi al sistema tramite SSH.
Nota:è necessario aggiungere una riga vuota alla fine del file hosts.allow affinché funzioni come previsto. Ho lottato con questo per un paio di giorni ed è stato molto frustrante.
Il file hosts.allow viene letto prima del file hosts.deny, quindi inserisci tutte le voci consentite in questo file prima di inserire qualsiasi cosa nel file hosts.deny. Puoi inserire le voci DENY nel file hosts.allow ma preferisco tenerle separate l'una dall'altra. Penso che mi confonderebbe avere entrambi i tipi di voci nel file hosts.allow.
Una volta apportate le modifiche ai file hosts.allow e host.deny, sono attivi. Non c'è nessun demone da riavviare per renderli attivi, che è un altro motivo per avvisarti di inserire le tue voci con grande attenzione a meno che tu non viva vicino al tuo data center, cioè.
Crea le voci NEGA
Dopo aver creato tutte le voci hosts.allow corrispondenti a iptables, è il momento di creare le voci hosts.deny. Come iptables, i file hosts.allow e hosts.deny vengono letti dall'alto verso il basso, quindi aggiungi la cosiddetta voce DENY ALL in fondo al file hosts.deny.
ALL: ALL
Questa semplice voce significa negare tutti i protocolli da tutti gli host. Puoi essere più specifico se vuoi negare solo un particolare protocollo o rete.
SSHD: ALL #Deny SSH access from all networks but allowing other protocols.
o
ALL: 192.168.1.* #Deny all protocols from the 192.168.1.0 network.
o
SSHD: 192.168.1.* #Deny SSH access from the 192.168.1.0 network.
Conclusione
Come puoi vedere da questi esempi e da quelli forniti nell'articolo di iptables, i due condividono somiglianze nella struttura e nel comportamento. Vengono entrambi letti dall'alto verso il basso e le voci ALLOW vengono lette prima delle voci DENY. L'unica cosa da ricordare quando si creano voci hosts.allow/deny e iptables è che corrispondono l'una all'altra. Se sono in conflitto, aumenterà notevolmente la complessità delle tue attività di risoluzione dei problemi. A scopo di test, disattiva il firewall e osserva il comportamento di connettività dei file hosts.allow e hosts.deny.
[ Vuoi di più su networking e sicurezza di rete? Dai un'occhiata al cheat sheet della rete Linux. ]