Server Admin Авторский блог системного администратора
Вы же пишите, что установлен Брандмауэр firewalld. С его помощью и запрещайте. В интернете очень много материала по настройке firewalld.
@zerox Да я понимаю, только опыта не хватает. Вот например если через firewalld запретить весь входящий/исходящий трафик, кроме моего ip и ip адресов нужных мне сервисов(репозиторий для обновления ОС и т.д.), может быть такая ситуация что например через обновление или установку какого либо сервиса я занесу майнер или другое вредоносное ПО, то он может дать доступ к моему серваку или стучать в сеть куда ему нужно в обход установленых правил в firewalld ?
@sanekk если софт ставить только из официальных репозиториев, то шанс занести какой-то зловред на сервер ничтожно мал. В основном все вирусы на веб серверы заходят через уязвимости самого кода сайта. И с этим, увы, ничего не поделать. В Битриксах уязвимости встречаются нередко. Так что на 100% обезопаситься всё равно не получится. Важно делать регулярно бэкапы, хранить их подольше и проверять, что из них можно восстановить сайт.
@zerox спасибо за быстрые ответы, ещё вопрос, любое ПО которое установлено на серв или любое вредоносное ПО которое попало на серв(через уязвимости на сайте или ещё как то) весь трафик входящий/исходящий проходит через firewalld или может быть трафик в обход firewalld?
@sanekk в обход быть не может, но отследить его с помощью только файрвола проблематично. Он не предназначен для этого, так как служит в основном для ограничения доступа. Но если у вас работает веб сервер, то HTTP протокол в любом случае будет открыт и любой зловред может через него передавать всё, что угодно.
в обход быть не может
отлично, спасибо!
Но если у вас работает веб сервер, то HTTP протокол в любом случае будет открыт и любой зловред может через него передавать всё, что угодно.
на серваке будет Веб-сервер т.к. нужен HTTP трафик, будет БД и приложение к которому будет обращение по АПИ с одного внешнего IP адреса и приложение будет отвечать только на этот же IP.
Если я через файрвол запрещаю весь исходящий траф, кроме нужного мне IP, то получается зловред пытается отправить исходящий траф через Веб сервер, далее этот траф от веб-сервера фильтруется правилами файрвола и если траф идёт куда-то на другой IP, то файрвол не пропускает этот траф, я верно размышляю?
@sanekk да, верно. Также можно включить логирование запрещающих правил файрвола. Тогда будет видно, что кто-то пытается стучаться наружу.
