Accedere al server da ip statico publico

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns, ecc.

Accedere al server da ip statico publico

Messaggioda giuseppe500 » mercoledì 10 ottobre 2018, 20:46

Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 354
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda DoctorStrange » giovedì 11 ottobre 2018, 10:23

Imposti sul server come "policy" della INPUT chain il valore "DENY", poi aggiungi un unica regola che permette su quello stesso server tutto il traffico entrante da quell'unico indirizzo IP. Ma per quale motivo pensi che il tuo server abbia bisogno di queste protezioni? Hai rilevato qualche tentativo di accesso fraudolento?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1218
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggioda pachisapiu » giovedì 11 ottobre 2018, 10:52

se è un server remoto stai bene attento perchè se qualsiasi cosa andasse storta resti chiuso fuori
Carbonara is my law - Chi ?
Curriculum - OffTopic
Avatar utente
pachisapiu
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1674
Iscrizione: maggio 2017
Distribuzione: FreeDOS

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » venerdì 12 ottobre 2018, 19:29

giuseppe500 Immagine ha scritto:Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie


Ma il server non ha altri servizi per cui dare accesso agli altri IP?

Certo puoi aprire una o più porte al tuo solo IP o anche a più IP.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 480
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 7:32

Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 354
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » venerdì 19 ottobre 2018, 7:55

Se non hai messo su il persistent spariscono, poi dipende hai iptables o FW ?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 480
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda Stealth » venerdì 19 ottobre 2018, 8:42

giuseppe500 Immagine ha scritto:Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie


Sì, come qualsiasi comando che non scriva un file di configurazione. Se ad es. smonti un disco con umount, ma in fstab è impostato per montarsi, al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15339
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 9:40

era per ripararmi se per caso mi chiudo fuori dal server.riavvio la macchina e i le configurazioni dei servizi partono perchè sono configurati nei file di configurazione mentre quelle del firewall si perdono.
Nel mio host il riavvio avviene da un sito web posso riavviare quando voglio.
sbaglio qualcosa?che tu hai intuito dalle mie parole?
Grazie intanto Stealth
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 354
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » venerdì 19 ottobre 2018, 9:42

al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao


Io il server lo riavvio ogni aggiornamento della kernel, in quanto era d'obbligo.
Ora con installato "Canonical Livepatch Service" non dovrebbe essere più necessario il riavvio del server per aggiornare la kernel.

Anche se a dire il vero magari ogni tanto succede un qualcosa che blocca e serve il riavvio.

Lui mi pare abbia un desktop, da come chiedeva.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 480
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 9:44

no ho un server cloud su un provider di cui non dico il nome
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 354
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda thece » venerdì 19 ottobre 2018, 12:23

:ciao:

A meno che non venga installato un pacchetto apposito, se non sbaglio iptables-persistent, oppure venga usata una qualche tecnica equivalente e alternativa, le regole impostate per IPTables NON sopravvivono al reboot dell'host.

Quando si fanno esperimenti con le regole di IPTables e si teme che si possa verificare la possibilità di "chiudersi fuori" dall'host a causa di un qualche errore sulle regole impostate, le best practice suggeriscono di schedulare un job di cron (*) che vada a ripulire tutte le regole impostate ogni N minuti. In questo modo, dopo aver impostato le regole, se il test di connessione all'host dovesse fallire, dopo N minuti si riuscirebbe comunque a riguadagnare l'accesso.


(*) Il job di cron è temporaneo. Una volta affinate le regole di IPTables, il job di cron deve essere disabilitato.


In merito alla richiesta iniziale

giuseppe500 Immagine ha scritto:Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?

Si, ad esempio utilizzando opportune regole per IPTables. Ad esempio:

Codice: Seleziona tutto
#!/bin/bash

IPTABLES="/sbin/iptables"

# INPUT CHAIN

# Block incoming connections from IP address different by AAA.BBB.CCC.DDD
$IPTABLES -A INPUT -i eth0 ! -s AAA.BBB.CCC.DDD -m conntrack --ctstate NEW -j DROP

# Allow incoming SSH connections
$IPTABLES -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

$IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -j DROP

# FORWARD CHAIN

$IPTABLES -A FORWARD -j DROP

exit 0

Le precedenti regole di IPTables (in breve):

- bloccano tutte le connessioni in ingresso provenienti da indirizzi IP diversi da AAA.BBB.CCC.DDD
- permettono le connessioni in ingresso per SSH (se l'indirizzo l'indirizzo IP sorgente è uguale a AAA.BBB.CCC.DDD)
- bloccano tutte le connessioni in ingresso per i servizi diversi da SSH
- permettono tutte le connessioni in uscita


giuseppe500 Immagine ha scritto:Questo è un buon passo per rendere sicuro il server?

Se la tua intenzione è quella di rendere il tuo server irraggiungibile da chiunque tranne che da te ... si, è un modo.
Ultima modifica di thece il venerdì 19 ottobre 2018, 23:57, modificato 5 volte in totale.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9556
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 21:40

Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?su questo sito?perche ho cercato su google e ho trovato tonnellate di risultati che spiegano le best pratice per cui ok se c è una sezione su ubuntu.it mi piacerebbe saperlo
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 354
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda thece » venerdì 19 ottobre 2018, 22:59

giuseppe500 Immagine ha scritto:Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?

No. L'avevo letto su un qualche tutorial per IPTables, ma non ricordo quale.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9556
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Accedere al server da ip statico publico

Messaggioda shouldes » sabato 20 ottobre 2018, 0:34

Questo thread si poteva risolvere con un solo post: https://wiki.ubuntu-it.org/Sicurezza/Ufw
UFW è appunto per chi non è tanto pratico e le regole sono persistenti.
L'unica cosa che proprio non mi gusta della guida è che andrei a eliminarle proprio le righe della sezione Ping invece di modificarle in DROP, poi modificherei /etc/default/ufw per lavorare su IPT_SYSCTL=/etc/sysctl.conf (pulendo tutto e creando un solo simbolico /etc/sysctl.d/99-sysctl.conf) invece che su quello UFW.
Ma visto che ha una preparazione base base, già inizia con la guida e poi chiede, perché ce n'è pulizia da fare nei vari after/before rules e in Italia anche la disattivazione totale di IPv6 per snellire ancora di più il tutto.

Ma intanto parte con 3-4 semplici comandi della guida, poi se chiede cose più avanzata si vedrà.
Avatar utente
shouldes
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 19385
Iscrizione: febbraio 2008
Desktop: KappaDiE

Re: Accedere al server da ip statico publico

Messaggioda Stealth » sabato 20 ottobre 2018, 19:49

Diciamo che trattandosi di server sarebbe meglio capire cosa si sta facendo. Se fosse mio lo imposterei per accettare il mio IP, eventuali connessioni stabilite o relative (per consentire gli aggiornamenti ad es.), ma non le nuove, e poi droppare tutto il resto. In fondo sono 2 o 3 righe e le capisci solo a guardarle
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15339
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » sabato 20 ottobre 2018, 19:57

Non ho capito a che serve questo server ?

Se lo rendi irraggiungibile da altri su tutte le porte, serve come file server solo per te?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 480
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver


Torna a Ubuntu su server

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 9 ospiti