前幾天, 感謝校方送來一份通知, 列出系上共有 40 多台所謂的高風險聯網設備. 其中有 8 台 Linux 代理主機必須配合更新套件, 並且限定可連線管理的 IP 位址範圍.
Ubuntu 伺服器
設計系目前共有三台實體虛擬主機與一台虛擬代理主機, 四台符號名稱伺服器, 以及兩台虛擬的 WWW 伺服器主機.
其中系上的符號名稱伺服器原先安裝 Ubuntu 18.04, 必須升級為 20.04, 四台符號名稱伺服器與 WWW 伺服器則需要限制 ssh 的連線範圍.
針對非開發版本的 Ubuntu 18.04 可以參考 https://www.linuxtechi.com/upgrade-ubuntu-18-04-lts-to-ubuntu-20-04-lts/ 升級為 20.04.
舊版的 nginx, 若要升級為較新版本, 則可參考 https://devopscraft.com/how-to-compile-nginx-from-source-on-ubuntu-20-04/ 自行編譯安裝.
ufw 防火牆
以代理主機而言, 除了限制可連線 ssh 的 IP 範圍外, 還需要讓同區段的電腦可以對 3128 埠號連線;
sudo -s
ufw status
ufw allow from your_ipv4_or_ipv6_ip
ufw allow from 2001:288::/16 to any port 22
ufw deny 22
ufw allow from 2001:288::/16 to any port 3128
ufw deny 3128
ufw enable
其次, 若要刪除原先 ufw 的設定可以使用 ufw reset, 若要暫時關閉 ufw, 採用 ufw disable.
符號名稱的部分, 需要限制 port 22 連線外, 必須讓所有主機都能對 port 53 連線:
sudo -s
ufw status
ufw allow from your_ipv4_or_ipv6_ip
ufw allow from 2001:288::/16 to any port 22
ufw deny 22
ufw allow 53
ufw enable
WWW 伺服器若採用 port 80 與 443 配置, 則需要對所有主機開放, port 5443 若執行 Fossil SCM, 也必須開放, 其他也是對 port 22 有連線範圍的限制.
sudo -s
ufw status
ufw allow from your_ipv4_or_ipv6_ip
ufw allow from 2001:288::/16 to any port 22
ufw deny 22
ufw allow 80
ufw allow 443
ufw allow 5443
ufw enable
最後, 則是附上電腦輔助設計室電腦規劃 與 網路安全 參考資料.
No comments:
Post a Comment