Đệ Nhất - Tôi đồng ý với @vartec trên throttling "Thay vì sau đó chặn nó, throttle nó Sử dụng giới hạn iptables -m. "ít nhất là một phần của giải pháp.
Tuy nhiên, tôi có thể đưa ra một lý do khác để không chặn cổng 80 đi mọi lúc. Nếu bạn có bản cập nhật bảo mật tự động được bật trên máy chủ, không thể liên hệ với PPA qua cổng 80 để bắt đầu cập nhật bảo mật. Vì vậy, nếu bạn có bản cập nhật bảo mật tự động được thiết lập thì chúng sẽ không chạy. Trên ubuntu cập nhật tự động bảo mật được bật trong 14.04 LTS với:
sudo apt-get install unattended-upgrades update-notifier-common && \
sudo dpkg-reconfigure -plow unattended-upgrades
(then select "YES")
giải pháp More duyên dáng sẽ là kịch bản ansible mở cổng tự động, có thể cũng thay đổi một quy tắc nhóm an ninh AWS qua CLI ngoài iptables nếu bạn đang ở AWS. Tôi thích sửa đổi các quy tắc đi của tôi tạm thời thông qua AWS CLI được khởi tạo bởi một hộp tàng hình. Điều này lực lượng đăng nhập cập nhật lên trong thùng đăng nhập AWS S3 của tôi nhưng không bao giờ xuất hiện trong các bản ghi trên máy chủ chính nó.Hơn nữa, máy chủ khởi tạo cập nhật thậm chí không phải nằm trong mạng con riêng ACL.
Có thể làm cả hai? Bạn phải hình dung vào thời điểm một cuộc tấn công sẽ chuyển tiếp một IP nội bộ trong mạng con của bạn để có được công suất để tăng gấp đôi trong khi vẫn giữ khả năng tự động sao lưu và cập nhật bảo mật.
Tôi hy vọng điều này sẽ hữu ích. Nếu không trả lời và cung cấp thêm các ví dụ mã để cụ thể hơn và chính xác hơn. #giữ an toàn !
Tôi đang nói về việc cho phép máy chủ web bắt đầu kết nối HTTP đi (cổng 80) với các máy chủ khác trên internet. Ví dụ, bạn có thể có một trang PHP có một widget thời tiết trên đó. Kịch bản đó sẽ cần phải yêu cầu dữ liệu thời tiết từ một dịch vụ web bên ngoài. –
ah ok, tôi nghĩ bạn có nghĩa là chặn cổng 80 là cổng khởi tạo. Nếu bạn chặn này, sau đó bạn không thể tải apis và điều đó từ các trang khác. Bạn có thể thêm một số trang web mà bạn tin tưởng vào các quy tắc của mình. Nhưng tôi sẽ nói chặn cổng 80 thường không có ý nghĩa nhiều. – evildead
từ một quan điểm khác, nếu máy chủ của bạn bị tấn công và bạn chặn lưu lượng truy cập đó, nó không thể tải mã abituary từ các trang web khác. Nhưng ai kiểm dịch rằng hacker/robot/bất cứ thứ gì đang sử dụng cổng 80 cho yêu cầu của mình :) – evildead