On Fri, Dec 19, 2014 at 02:07:57PM +0100, MaX wrote: > coem da soggetto... > > il server web da servizio web sulla porta 80, accedo a lui via ssh > (22) e do accesso sftp ai webmaster... che per il momento sono ancora > io :) > sto usando vestcp che usa la porta 8083
non conosco questo vestcp (che secondo google è vestacp...) quindi non so se hai bisogno di cose strane per questo. > stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto > il resto... qualche cosa tipo: decisamente. c'è anche chi consiglia di mettere in ascolto ssh su una porta non standard ma imho è superfluo, ok avrai iptables e fail2ban che lavorano di più, ma è ok, imho. > iptables --flush > iptables --delete-chain ci sono anche -F e -X al posto di questi comandi lunghissimi :P > iptables -P INPUT DROP io sono sempre stato dell'idea che è meglio droppare tutto alla fine. tipo, policy ACCEPT, un po' di regole su cosa accettare, e poi '-A INPUT -j DROP'. mi son salvato in diverse occasioni in cui mi son chiuso fuori per sbaglio, così (invece di dovermi connettere da console) > iptables -P FORWARD DROP > iptables -P OUTPUT ACCEPT > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j > ACCEPT > iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j > ACCEPT > iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j > ACCEPT really, '-m state --state NEW -s 0.0.0.0/0' è superfluo. > il server deve poter inviare la posta interna, ma non da servizio mail > agli utenti. > non c' è servizio https > il server mysql è solo per i siti (phpbb) interni... dall'esterno non > si devono poter collegare quindi non serve fare altro (dato che su lo accetti tutto), e cose come connettersi a mysql possono avvenire via socket invece che rete. > che ne pensate? è sufficiente? sì, direi che è ok. Ti ricordo di installare anche fail2ban, dato che hai ssh sulla 22 (e in ogni caso...) -- regards, Mattia Rizzolo GPG Key: 4096R/B9444540 http://goo.gl/I8TMB more about me: http://mapreri.org Launchpad User: https://launchpad.net/~mapreri Ubuntu Wiki page: https://wiki.ubuntu.com/MattiaRizzolo
signature.asc
Description: Digital signature