Конфигуриране на LEMP стеков уеб сървър в Ubuntu Server LTS

Поетапни уроци, измамнически листове, полезни връзки.

Потребителски инструменти

Инструменти на сайта

Страничен панел

Съдържание

Конфигуриране на уеб сървър, базиран на LEMP стек в Ubuntu Server 14.04 LTS. Част 3. Укрепване на сигурността на системата.

Задаване на параметри на sysctl

Добави към /etc/sysctl.conf някои параметри, които ще помогнат за засилване на устойчивостта на системата към всякакви наводнения:

Да запазим файла и да приложим промените към системата:

Настройване на iptables

Защита срещу UDP атаки от наводнения

UDP атаките от наводнение се основават на масово изпращане на UDP пакети до портовете на различни UDP услуги. Защитата може да се осъществи чрез изолиране на UDP услуги от Интернет (ако е възможно) или чрез задаване на ограничение на броя връзки за единица време от всеки отделен външен IP. Например, ако DNS услугата е изложена извън (UDP порт 53), можете да опитате да конфигурирате такова ограничение, като използвате iptables със следното правило:

Ограничаване на TCP връзките

HTTP наводненията се основават на изпращане на групови HTTP GET съобщения до TCP порта на уеб сървър, за да се създаде критично натоварване на сървъра. В този случай заявките могат да се изпращат както до корена на уеб сървъра, така и до всички видове ресурсно интензивни скриптове. В допълнение към общото натоварване на HTTP системата, наводнението може да доведе до необичаен растеж на регистрационните файлове на уеб сървъра.

След това можете да зададете ограничение за броя на едновременните връзки

SYN защита от наводнения

Ограничаваме максималния брой "полуотворени" връзки от един IP до определен порт (не повече от 50 връзки на IP):

Изхвърляме неправилно оформени пакети:

Не забравяйте да запишете правилата на iptables:

SYN защита от наводнения (скрипт с netstat и ipset)

Първо можете да проверите ситуацията за наличие на връзки SYN_RECV, като преброите техния брой:

Друг пример. Вижте броя полуотворени връзки по IP

След като пакетът бъде инсталиран, ние създаваме наша собствена верига ipset, например с името „DOS-SRC"

Добавете към iptables във веригата ВХОД правилото за блокиране на всички пакети за всички хостове, които се намират във веригата на ipset "DOS-SRC":

---