Sziasztok,
Az a problémám, hogy feltelepítettem a LAMP környezetem és elérhető a külvilágnak is. Amit nem szeretnék, csak localhoston dolgozni. nincs DNS, csak akkor érik el ha beírják az IP címem a böngészőbe. mysql, phpmyadmin jelszóval van ellátva, van index oldal, így nem listázzak ki a könyvtárakat, illetve routerem van szoval azt az OP címet nem is látják végülis de.... az ördög nem alszik.
Régen redhat alapú disztrókat használtam, centoson pl telepítéskor a Selinux megkérdezi, hogy elérhetővé akarom e tenni, és ha igen milyen protokollokon (http, fpt, https, stb.) Debianra van ilyen? vagy bármilyen tűzfal ami jó ilyenre? Vagy nem is vagyok veszélyben ebben a formában? gondoltam még elhelyezek egy .htaccess fájlt amibe csak localhostról engedélyezek kérést ...
- 1339 megtekintés
Hozzászólások
"gondoltam még elhelyezek egy .htaccess fájlt amibe csak localhostról engedélyezek kérést ..."
szerintem meg készíts magadnak egy tűzfal konfigot, ami alapesetben tiltja a bejövő kapcsolatokat, aztán te azt engedsz amit akarsz. http(80), https(443) ssh(22), ftp(21) stb. így kívülről nem lesz elérhető a masina. és hát ugye az ördög nem alszik. (én kifelé is ugyanezt játszom, mindent tiltok, aztán ami kell, azt kiengedem...)
::sumo.conf::
- A hozzászóláshoz be kell jelentkezni
Mármint ezt mind htaccessel gondolod vagy konkrétan tűzfal programmal. Tudsz vmi jót?
SElinux-ot nem találtam apt-get install selinux-ra felajánlott egy alternatívát: checkpolicy-t azt meg nem ismerem :(
- A hozzászóláshoz be kell jelentkezni
iptables?
Kezdesnek talan:
# iptables -P INPUT DROP;
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
# iptables -A INPUT -i lo ACCEPT;
Persze tovabbi informaciok beszerzese szukseges.
--
HUP Firefox extension
- A hozzászóláshoz be kell jelentkezni
A: /etc/apache2/ports.conf:
Listen 127.0.0.1:80, M: /etc/mysql/my.cnf: csak
socket = /var/run/mysql/mysqld.sock-t adsz meg vagy a
port = 3306melle' megadsz egy
host = localhost-ot is. Ekkor az A meg az M is csak a lo iface-n figyel, mas iface nem fe'r hozza ezekhez. A tobbi program nem hallgatodzik feleslegesen (ftp-d ne legyen).
- A hozzászóláshoz be kell jelentkezni
Durva dolog ez az IPtables :D de tetszik ... tanulgatom. Köszi mindkettőtöknek.
"(ftp-d ne legyen)" -> gondolom szerverre gondoltál.? az nincs .
- A hozzászóláshoz be kell jelentkezni
Ha csak localhoston akarod használni, állítsd be a szoftvert úgy, hogy csak localhoston figyeljen. :) Ehhez nem kell iptables... persze tanulni jó.
- A hozzászóláshoz be kell jelentkezni
+1
"Az a problémám, hogy feltelepítettem a LAMP környezetem és elérhető a külvilágnak is. Amit nem szeretnék, csak localhoston dolgozni."
Apache httpd.conf/apache.conf vagy a tartalom root-ra
"allow from 127.0.0.1"
Így nem enged kintről hozzáférést
Mysql alapban csak localhoston figyel.
Lamp-os változatot még nem próbáltam. :)
- A hozzászóláshoz be kell jelentkezni
-1 :}
Nem egyszerubb iptables-el blokkolni minden befele iranyulo kapcsolatepitesi kerest, mint minden egyes programot kulon-kulon allitgatni?
Sic Transit Gloria Mundi
- A hozzászóláshoz be kell jelentkezni
csak az apache-ot kell.
mysql nem ad külső hálóra alap cnf-fel semmit. :)
- A hozzászóláshoz be kell jelentkezni
Két irány lehetséges:
Az egyik az iptables: az eth0-on érkező csomagok közül csak a válaszcsomagokat (established,related) engeded be.
A másik, hogy a szolgáltatásoknak explicit megmondod, hogy csak a 127.0.0.1-es címen hallgatózzanak.
(az igazán biztonságos megoldás, ha mindkettőt megcsinálod.)
- A hozzászóláshoz be kell jelentkezni