linux安全性問題

匿名 2015-06-17 20:59:25 ‧ 2358 瀏覽

分享至

小弟目前還是新手，對系統安全性還是一知半解。

想請問各位前輩

目前使用的系統與服務
os centos 7

service sendmail、apache、dovecot、openwebmail

防火牆開啟port 25,80,110(未來會開21)

port 22及其他全部關閉

server直接接adsl，金費不足沒添購防火牆

tcp_max_syn_backlog = 15000

tcp_fin_timeout = 10

請問server目前的安全等級大約是在哪?(低,中,高)

或是在沒有添購防火牆情形下須再多做那些防範?

slime iT邦大師 1 級 ‧ 2015-06-17 21:09:54 檢舉

1. 檢查有沒有 OpenRelay ?
2. http 權限只有 apache 帳號嗎?
3. 有沒有被攻擊多少次就 block 的設計?

4. 要不要考慮用 NAS + 備份就好 ^^!

逮丸逮丸 iT邦大師 1 級 ‧ 2015-06-17 23:08:12 檢舉

這是很傳統的基本架構。
最基本的防病毒信件是有需要，
怎麼去過濾垃圾信也要考慮。

如果只是單純做 mail 的服務，
可能直接買 mail 的硬體 box，
上述的基本需求通常也會在方案要，
而免除維護的麻煩。

openwebmail也久久已沒更新，
也可考慮其他php的webmail。

有輸入帳號密碼的情境，
就應用安全的連線方式，
http應該改為SSL連線，
如果只是自用，自製SSL憑證，
若不想讓使用者看到憑證安全的提示問題，
就花錢買SSL憑證裝在apache裡。
110，21 的 port 也不是加密的連線，
理想也是要改成加密的連線方式。

如果mail server沒有塞信速率及大小用戶配額的限制，
而server沒考慮好最壞可能發生情況來進行分割硬體的話，
有可能塞爆空間而讓server無法運作。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

wiseguy

iT邦超人 1 級 ‧ 2015-06-17 22:53:21

最佳解答

沒什麼安全性可言啊。
有服務的port你都開了，沒服務的都沒開，那防火牆是跑心酸的不是嗎？
22port 建議使用 tcp_wrapper 限定可以登入的 IP；
apache (openwebmail) 建議改用 https (443 port)，並設定 fail2ban 只要登入重試次數過高 (可能在踹帳密) 或是 404 次數過高 (可能在試探有沒有裝什麼特定軟體)，就封鎖IP。
sendmail 關閉 open relay、禁止無 FQDN 來源、使用 SMTP over dovecot 認證才能寄信、並且同樣以fail2ban 檢查登入重試次數過高 (可能在踹帳密) 就封鎖IP。
dovecot 同樣以fail2ban 檢查登入重試次數過高 (可能在踹帳密) 就封鎖IP。