iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 28
0

司機跟在老闆身後想混進俱樂部,被警衛攔下。司機:「我跟他是一起的。」警衛:「幹部是進去了,蛋蛋只能在外面」。

當然,如何做好門禁守衛是一種哲學。在OSI七層當中應該在哪裡阻擋,會比較省時省力;倒推回來,就會知道該在哪一層開放。

第一個是萬惡的SSH。在Day 2Day 5中有繞著這主題談到對它的保護。但還有更高層次的fwknod方式可以繼續疊加套用。

第二個是網頁,要加密可能還是走nginx / https方式。這會利用nginx / naxsi模組作個簡單的防護。

第三種是特種服務,要NAT + Protforwaring,比如說想接到某主機的某服務,例如將Jenkins Agent通訊串起來,這時候就開始要思考了。
如果照規矩開,DNS 53對53,tomcat8000 對8000,那就落入一個well know service port的問題。以一個port scan的行為裡,現實世界除非你真的是sombody,值得全面掃描好好研究。因此調整服務port也是一種消極抵抗手法。
具體地說怎麼辦呢?

https://ithelp.ithome.com.tw/upload/images/20190920/20094403HhCuX2sz79.png

嘿!去IANA找別個屋頂啦,不要跟我在同一個地方亂搞。大家都用同一招,到時候就變成well know port了。
(像海豹搶曬陽光的岩棚)

至於這樣調整完以後,我敢保證超難憑一個人腦袋維護的,也因此會說該用git版控這些組態設定。


上一篇
NGINX -s reload (Part 2)
下一篇
Piping in ssh
系列文
Oops Step ( Home lab of a kind ) 34

尚未有邦友留言

立即登入留言