MIは、MySQLデータベースを保存するためにUbuntuを実行するLinuxサーバーを設定しています。
このサーバーができるだけ安全であることが非常に重要であり、私が最も懸念しているのは、着信DoS / DDoS攻撃とサーバー自体への不正アクセスです。
データベースサーバーは、ポート3000の特定のIP(101.432.XX.XX)からのみ着信データをリッスンします。私はサーバーがそのIPからの着信要求を受け取ることができ、サーバーが発信要求を受け取らないようにしたいと思います。
私は知りたいです:
- 私のデータベースサーバーが発信要求だけを受け取り、101.432.XX.XXから着信要求だけを受信するのを防ぐための最良の方法は何ですか?すべてのポートが閉じます。 3000はこの目標を達成するのに役立ちますか?
- セキュリティを向上させるLinux環境の追加機能はありますか?私はプライベートIPアドレスにのみアクセスするように制限するなど、phpmyadminポータル(MySQLデータベースに接続されている)を保護するための非常に基本的な手順を実行しました。データベースサーバーにアクセスするには、SSHキー(自分はパスワードで保護されている)が必要です。
ベストアンサー1
不要なすべての着信および発信接続を閉じるには、iptablesファイアウォールを使用して操作を実行できます。例は次のとおりです。
# To make sure that you have ssh access to the server
iptables -t filter -A INPUT -p tcp -s 101.432.XX.XX --dport 22 -j ACCEPT
# Allowing only your ip to connect to the server via specific port
iptables -t filter -A INPUT -p tcp -s 101.432.XX.XX --dport 3000 -j ACCEPT
# Drop any other requests
iptables -t filter -A INPUT -j DROP
これは単なる例であり、iptables安全のために必要なほとんどすべての作業を実行できます。
からサーバーを保護するには、ファイアウォールツールとしてDoS/DDoSこのツールをお勧めします。このツールは、さまざまな種類の攻撃に対して優れた保護を提供できます。詳細については、以下を確認してください。csfcsfhttps://download.configserver.com/csf/readme.txt