We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Только локальный доступ к панели
Только локальный доступ к панели
Здравствуйте, я начинающий админ ;)
Установил VestaCP на чистую Ubuntu 16.04, в конфигурации apache + nginx.
Подскажите, пожалуйста, как закрыть внешний доступ к панели управления, а оставить только локальный (localhost), чтобы злоумышленники даже и не думали... :)
В файле /etc/hosts я уже прописал:
чтобы с локалки заходить по доменному имени.
Но внешний порт 8083 открыт из Интернета, а надо бы закрыть, вот только как это сделать :)
И ещё подскажите, достаточно ли будет закрыть только порт, или нужно ещё что-то закрыть.
Короче, с точки зрения безопасности как лучше сделать, если внешний доступ к панели управления вообще не нужен?
Установил VestaCP на чистую Ubuntu 16.04, в конфигурации apache + nginx.
Подскажите, пожалуйста, как закрыть внешний доступ к панели управления, а оставить только локальный (localhost), чтобы злоумышленники даже и не думали... :)
В файле /etc/hosts я уже прописал:
Code: Select all
127.0.0.1 my.domain.name
Но внешний порт 8083 открыт из Интернета, а надо бы закрыть, вот только как это сделать :)
И ещё подскажите, достаточно ли будет закрыть только порт, или нужно ещё что-то закрыть.
Короче, с точки зрения безопасности как лучше сделать, если внешний доступ к панели управления вообще не нужен?
Re: Только локальный доступ к панели
Да хороший пароль + fail2ban brute-force monitor от брутфорса включить и настроить.
Два года уже панель - вижу по логам что ковыряют.Судя по паролю и по логам как их банит - может быть в следущем веке пароль и доковыряют.Если я его раньше не сменю на другой )))
А внешний доступ - мало ли что.Он меня иногда очень здорово выручал.
А порт закрыть это к iptables firewall
Два года уже панель - вижу по логам что ковыряют.Судя по паролю и по логам как их банит - может быть в следущем веке пароль и доковыряют.Если я его раньше не сменю на другой )))
А внешний доступ - мало ли что.Он меня иногда очень здорово выручал.
А порт закрыть это к iptables firewall
Re: Только локальный доступ к панели
Я всё предусмотрел :)
Для внешнего доступа буду использовать SSH-туннель. Пусть лучше SSH ковыряют, там кроме пароля нужно ещё и логин угадать.
iptables, щас почитаю...
А кроме файрвола по-другому никак нельзя закрыть этот порт на внешку? Например, закрыть там, где он открывался :) Просто я ещё не разбираюсь в этом :)
Для внешнего доступа буду использовать SSH-туннель. Пусть лучше SSH ковыряют, там кроме пароля нужно ещё и логин угадать.
iptables, щас почитаю...
А кроме файрвола по-другому никак нельзя закрыть этот порт на внешку? Например, закрыть там, где он открывался :) Просто я ещё не разбираюсь в этом :)
Re: Только локальный доступ к панели
Ну как бы это самый простой вариант - можно закрыть полностью,можно оставить доступ только для каких-то айпишников только.Мало ли понадобится доступ возобновить обратно,это самый простой способ.index wrote: А кроме файрвола по-другому никак нельзя закрыть этот порт на внешку? Например, закрыть там, где он открывался :)
Re: Только локальный доступ к панели
В веб-интерфейсе панели я нашёл раздел "Фаервол". Поэтому решил пока не лазить в глубины iptables, а воспользоваться им :) В этом разделе много разных правил, среди которых было следующее:yariksat wrote:Ну как бы это самый простой вариант - можно закрыть полностью,можно оставить доступ только для каких-то айпишников только.Мало ли понадобится доступ возобновить обратно,это самый простой способ.index wrote: А кроме файрвола по-другому никак нельзя закрыть этот порт на внешку? Например, закрыть там, где он открывался :)
Code: Select all
ACCEPT TCP 8083 0.0.0.0/0
Code: Select all
ACCEPT TCP 8083 127.0.0.1/0
Code: Select all
DROP TCP 8083 0.0.0.0/0
Перезагрузил сервер. Проверил — действительно внешний доступ к панели пропал. А локальный остался, что мне и было нужно. Значит, если правило DROP стоит выше правила ACCEPT в списке, то оно его не отменяет. Понятно.
Потом смотрю: в списке больше нет других правил типа DROP, есть только ACCEPT разные. Значит, фаервол разрешает любые другие порты, — подумал я, — А мне нужно запретить все, кроме указанных. И тут мне в голову пришла гениальная мысль — добавить в список правило:
Code: Select all
DROP TCP 0-65535 0.0.0.0/0
Пожалуйста, подскажите начинающему горе-админу, в каких файлах и что именно нужно поправить, чтобы убрать эту злосчастную запись фаервола, и снова вернуться к прелестям веб-интерфейса :)
Вообще, я нашёл файлик
Code: Select all
/usr/local/vesta/data/firewall/rules.conf
И ещё, я никак не могу найти инфу о том, как пользоваться этим разделом "Фаервол" в панели управления. Подскажите, пожалуйста, как там сделать, чтобы запретить все порты отовсюду, кроме указанных правил. А то что-то совсем грустно мне :)
Re: Только локальный доступ к панели
У Вас ещё должен быть VNC доступ на сервер,по нему зайти на сервер и открыть все порты и перезапустить файрвол обязательно после этого,а не сервер.
Потом уже по порту добавляйте что нужно.Вы закрыли и порт 22 а это SSH.
Теперь все надо делать средствами VNC
Потом уже по порту добавляйте что нужно.Вы закрыли и порт 22 а это SSH.
Теперь все надо делать средствами VNC
Re: Только локальный доступ к панели
Да, я понимаю, что закрыл все порты, и их нужно открыть. Доступ VNC у меня есть.yariksat wrote:У Вас ещё должен быть VNC доступ на сервер,по нему зайти на сервер и открыть все порты и перезапустить файрвол обязательно после этого,а не сервер.
Потом уже по порту добавляйте что нужно.Вы закрыли и порт 22 а это SSH.
Теперь все надо делать средствами VNC
Но есть и вопросы:
1. Если я перегружаю сервер, разве вместе с ним не перегружается и фаервол? Если нет, то почему?
2. Этот фаервол, он вообще является частью Весты, или частью чего? У него есть название?
3. Как открыть порты? То есть, в какие файлы лезть, что исправлять?
4. Как именно перезагрузить фаервол? Что для этого нужно сделать?
5. Допустим, я всё это сделал, доступ к панели появился. Но как мне дальше пользоваться разделом "Фаервол" в панели? У меня результат получается непредсказуемый. Есть какое-нибудь руководство?
Re: Только локальный доступ к панели
Code: Select all
Этот фаервол, он вообще является частью Весты, или частью чего? У него есть название?
либо сбрасывайте все правила,
либо смотрите, какие есть и удаляйте ту самую, странную цепочку.
Re: Только локальный доступ к панели
iptablesindex wrote:Да, я понимаю, что закрыл все порты, и их нужно открыть. Доступ VNC у меня есть.yariksat wrote:У Вас ещё должен быть VNC доступ на сервер,по нему зайти на сервер и открыть все порты и перезапустить файрвол обязательно после этого,а не сервер.
Потом уже по порту добавляйте что нужно.Вы закрыли и порт 22 а это SSH.
Теперь все надо делать средствами VNC
Но есть и вопросы:
1. Если я перегружаю сервер, разве вместе с ним не перегружается и фаервол? Если нет, то почему?
2. Этот фаервол, он вообще является частью Весты, или частью чего? У него есть название?
3. Как открыть порты? То есть, в какие файлы лезть, что исправлять?
4. Как именно перезагрузить фаервол? Что для этого нужно сделать?
5. Допустим, я всё это сделал, доступ к панели появился. Но как мне дальше пользоваться разделом "Фаервол" в панели? У меня результат получается непредсказуемый. Есть какое-нибудь руководство?
В VNC - sudo iptables -F сброс всех цепочек правил и потом
service iptables restart
Про руководство - смотрите какие порты для чего нужны и закрывайте их по одному(два-три) а не все сразу.Для панели это порт 8083 для SSH это порт 22 например(если номера портов не меняли)
Re: Только локальный доступ к панели
Code: Select all
iptables -F
Code: Select all
service iptables restart
Code: Select all
Failed to restart iptables.service: Unit iptables.service not found.
Проверяю состояние iptables:
Code: Select all
iptables -L -n -v
Но что он означает, я не понимаю. Подскажете?