Firewalls wie firewalld und iptables sind eine großartige erste Verteidigungslinie gegen Eindringlinge, aber sie sind nicht fehlerfrei. Sie können gehackt werden und leiden auch unter gelegentlichen Schwachstellen. Sie müssen jedoch eine hostbasierte Firewall ausführen. Es ist nur eines der Dinge, die Sie auf jedem System installieren und konfigurieren. Und Sie sollten Ihre Firewall konfigurieren, bevor Sie irgendwelche Arbeiten an Ihrem System durchführen. Mit anderen Worten, sperren Sie Ihr System, sobald es online ist.
Sobald Ihr neues System betriebsbereit ist und Sie es mit einer Firewall gesichert haben, ist es an der Zeit, diese zweite Verteidigungslinie mit entsprechenden Einträgen in /etc/hosts.allow (hosts.allow) und /etc/hosts zu erstellen. Deny (hosts.deny)-Dateien. Wenn die Firewall aus irgendeinem Grund gestoppt wird, schützen die Einträge hosts.allow und hosts.deny Ihr System weiterhin vor Eindringlingen. Es ist diese zusätzliche Ebene, die die Sicherheit Ihres Systems erhöht, indem sie eine Ausfallsicherheit für Ihre Firewall bietet.
Erstellen Sie die ALLOW-Einträge
Ich hoffe, dass Sie meinen Artikel „Sysadmin-Tools:Verwendung von iptables“ gelesen haben. Wenn nicht, nehmen Sie sich bitte ein paar Minuten Zeit, um es zu lesen, bevor Sie sich in Ihre hosts.allow- und hosts.deny-Dateien stürzen, da ich den iptables-Artikel als Referenz für die entsprechenden Einträge verwenden werde.
Hinweis:An dieser Stelle muss erwähnt werden, dass Einträge in hosts.allow Sie von Ihrem System aussperren können, was nicht das ist, was Sie wollen. In diesem Fall müssen Sie über KVM, Virtual KVM, iLO oder die Konsole der virtuellen Maschine auf die Systemkonsole zugreifen.
Die SSH-Regel aus dem oben erwähnten Artikel lautet: iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT . Diese Regel ermöglicht es jedem System im Netzwerk 192.168.1.0/24, sich über SSH mit dem lokalen System zu verbinden. Der entsprechende Eintrag in hosts.allow lautet:
SSHD: 192.168.1.*
Dieser Eintrag erlaubt allen Systemen aus dem 192.168.1.0-Netzwerk, sich per SSH mit dem System zu verbinden.
Hinweis:Sie müssen am Ende Ihrer hosts.allow-Datei eine Leerzeile hinzufügen, damit sie wie vorgesehen funktioniert. Ich habe ein paar Tage damit gekämpft und es war sehr frustrierend.
Die Datei hosts.allow wird vor der Datei hosts.deny gelesen. Platzieren Sie also alle zulässigen Einträge in dieser Datei, bevor Sie etwas in die Datei hosts.deny einfügen. Sie können DENY-Einträge in die hosts.allow-Datei einfügen, aber ich ziehe es vor, die beiden voneinander getrennt zu halten. Ich denke, es würde mich verwirren, beide Arten von Einträgen in der Datei hosts.allow zu haben.
Sobald Sie Ihre Änderungen an den Dateien hosts.allow und host.deny vorgenommen haben, sind sie live. Es gibt keinen Daemon, der neu gestartet werden müsste, um sie zu aktivieren, was ein weiterer Grund ist, Sie zu warnen, Ihre Eingaben mit großer Sorgfalt vorzunehmen, es sei denn, Sie wohnen in der Nähe Ihres Rechenzentrums.
Erstellen Sie die DENY-Einträge
Nachdem Sie alle Ihren iptables entsprechenden hosts.allow-Einträge erstellt haben, ist es an der Zeit, die hosts.deny-Einträge zu erstellen. Wie iptables werden hosts.allow- und hosts.deny-Dateien von oben nach unten gelesen, fügen Sie also den sogenannten DENY ALL-Eintrag am Ende der hosts.deny-Datei hinzu.
ALL: ALL
Dieser einfache Eintrag bedeutet, alle Protokolle von allen Hosts abzulehnen. Sie können spezifischer sein, wenn Sie nur ein bestimmtes Protokoll oder Netzwerk ablehnen möchten.
SSHD: ALL #Deny SSH access from all networks but allowing other protocols.
oder
ALL: 192.168.1.* #Deny all protocols from the 192.168.1.0 network.
oder
SSHD: 192.168.1.* #Deny SSH access from the 192.168.1.0 network.
Abschluss
Wie Sie aus diesen Beispielen und den im iptables-Artikel gegebenen sehen können, haben die beiden Ähnlichkeiten in Struktur und Verhalten. Sie werden beide von oben nach unten gelesen und ALLOW-Einträge werden vor DENY-Einträgen gelesen. Beachten Sie beim Erstellen von hosts.allow/deny-Einträgen und iptables-Einträgen, dass sie einander entsprechen. Wenn sie in Konflikt stehen, erhöht dies die Komplexität Ihrer Bemühungen zur Fehlerbehebung erheblich. Schalten Sie zu Testzwecken Ihre Firewall aus und beobachten Sie das Verbindungsverhalten Ihrer Dateien hosts.allow und hosts.deny.
[ Möchten Sie mehr über Netzwerke und Netzwerksicherheit erfahren? Schauen Sie sich den Linux-Netzwerk-Spickzettel an. ]