Accedere al server da ip statico publico

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns, ecc.

Accedere al server da ip statico publico

Messaggioda giuseppe500 » mercoledì 10 ottobre 2018, 20:46

Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda DoctorStrange » giovedì 11 ottobre 2018, 10:23

Imposti sul server come "policy" della INPUT chain il valore "DENY", poi aggiungi un unica regola che permette su quello stesso server tutto il traffico entrante da quell'unico indirizzo IP. Ma per quale motivo pensi che il tuo server abbia bisogno di queste protezioni? Hai rilevato qualche tentativo di accesso fraudolento?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1348
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Accedere al server da ip statico publico

Messaggioda pachisapiu » giovedì 11 ottobre 2018, 10:52

se è un server remoto stai bene attento perchè se qualsiasi cosa andasse storta resti chiuso fuori
Avatar utente
pachisapiu
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1918
Iscrizione: maggio 2017
Distribuzione: FreeDOS

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » venerdì 12 ottobre 2018, 19:29

giuseppe500 Immagine ha scritto:Ciao.
Mi sono fatto dare dal mio provider un ip fisso statico.
Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?
Posso usare il firewall?
Questo è un buon passo per rendere sicuro il server?
Grazie


Ma il server non ha altri servizi per cui dare accesso agli altri IP?

Certo puoi aprire una o più porte al tuo solo IP o anche a più IP.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 673
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 7:32

Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » venerdì 19 ottobre 2018, 7:55

Se non hai messo su il persistent spariscono, poi dipende hai iptables o FW ?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 673
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda Stealth » venerdì 19 ottobre 2018, 8:42

giuseppe500 Immagine ha scritto:Quello che vorrei sapere è: le regole del firewall possono essere impostate temporaneamente e sparire al riavvio del sistema?
Grazie


Sì, come qualsiasi comando che non scriva un file di configurazione. Se ad es. smonti un disco con umount, ma in fstab è impostato per montarsi, al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15447
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 9:40

era per ripararmi se per caso mi chiudo fuori dal server.riavvio la macchina e i le configurazioni dei servizi partono perchè sono configurati nei file di configurazione mentre quelle del firewall si perdono.
Nel mio host il riavvio avviene da un sito web posso riavviare quando voglio.
sbaglio qualcosa?che tu hai intuito dalle mie parole?
Grazie intanto Stealth
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » venerdì 19 ottobre 2018, 9:42

al boot lo ritroverai montato. La mia curiosità è sapere perchè parli di riavvio, di solito un server non viene riavviato se non in casi davvero eccezionali
ciao


Io il server lo riavvio ogni aggiornamento della kernel, in quanto era d'obbligo.
Ora con installato "Canonical Livepatch Service" non dovrebbe essere più necessario il riavvio del server per aggiornare la kernel.

Anche se a dire il vero magari ogni tanto succede un qualcosa che blocca e serve il riavvio.

Lui mi pare abbia un desktop, da come chiedeva.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 673
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 9:44

no ho un server cloud su un provider di cui non dico il nome
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda thece » venerdì 19 ottobre 2018, 12:23

:ciao:

A meno che non venga installato un pacchetto apposito, se non sbaglio iptables-persistent, oppure venga usata una qualche tecnica equivalente e alternativa, le regole impostate per IPTables NON sopravvivono al reboot dell'host.

Quando si fanno esperimenti con le regole di IPTables e si teme che si possa verificare la possibilità di "chiudersi fuori" dall'host a causa di un qualche errore sulle regole impostate, le best practice suggeriscono di schedulare un job di cron (*) che vada a ripulire tutte le regole impostate ogni N minuti. In questo modo, dopo aver impostato le regole, se il test di connessione all'host dovesse fallire, dopo N minuti si riuscirebbe comunque a riguadagnare l'accesso.


(*) Il job di cron è temporaneo. Una volta affinate le regole di IPTables, il job di cron deve essere disabilitato.


In merito alla richiesta iniziale

giuseppe500 Immagine ha scritto:Ora posso impedire a tutti gli ip tranne il mio di accedere al mio server cloud?

Si, ad esempio utilizzando opportune regole per IPTables. Ad esempio:

Codice: Seleziona tutto
#!/bin/bash

IPTABLES="/sbin/iptables"

# INPUT CHAIN

# Block incoming connections from IP address different by AAA.BBB.CCC.DDD
$IPTABLES -A INPUT -i eth0 ! -s AAA.BBB.CCC.DDD -m conntrack --ctstate NEW -j DROP

# Allow incoming SSH connections
$IPTABLES -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

$IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -j DROP

# FORWARD CHAIN

$IPTABLES -A FORWARD -j DROP

exit 0

Le precedenti regole di IPTables (in breve):

- bloccano tutte le connessioni in ingresso provenienti da indirizzi IP diversi da AAA.BBB.CCC.DDD
- permettono le connessioni in ingresso per SSH (se l'indirizzo l'indirizzo IP sorgente è uguale a AAA.BBB.CCC.DDD)
- bloccano tutte le connessioni in ingresso per i servizi diversi da SSH
- permettono tutte le connessioni in uscita


giuseppe500 Immagine ha scritto:Questo è un buon passo per rendere sicuro il server?

Se la tua intenzione è quella di rendere il tuo server irraggiungibile da chiunque tranne che da te ... si, è un modo.
Ultima modifica di thece il venerdì 19 ottobre 2018, 23:57, modificato 5 volte in totale.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9636
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » venerdì 19 ottobre 2018, 21:40

Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?su questo sito?perche ho cercato su google e ho trovato tonnellate di risultati che spiegano le best pratice per cui ok se c è una sezione su ubuntu.it mi piacerebbe saperlo
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda thece » venerdì 19 ottobre 2018, 22:59

giuseppe500 Immagine ha scritto:Scusa thece ma le best pratice di cui parli si trovano su ubuntu.it?

No. L'avevo letto su un qualche tutorial per IPTables, ma non ricordo quale.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9636
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Accedere al server da ip statico publico

Messaggioda shouldes » sabato 20 ottobre 2018, 0:34

Questo thread si poteva risolvere con un solo post: https://wiki.ubuntu-it.org/Sicurezza/Ufw
UFW è appunto per chi non è tanto pratico e le regole sono persistenti.
L'unica cosa che proprio non mi gusta della guida è che andrei a eliminarle proprio le righe della sezione Ping invece di modificarle in DROP, poi modificherei /etc/default/ufw per lavorare su IPT_SYSCTL=/etc/sysctl.conf (pulendo tutto e creando un solo simbolico /etc/sysctl.d/99-sysctl.conf) invece che su quello UFW.
Ma visto che ha una preparazione base base, già inizia con la guida e poi chiede, perché ce n'è pulizia da fare nei vari after/before rules e in Italia anche la disattivazione totale di IPv6 per snellire ancora di più il tutto.

Ma intanto parte con 3-4 semplici comandi della guida, poi se chiede cose più avanzata si vedrà.
Avatar utente
shouldes
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 19406
Iscrizione: febbraio 2008
Desktop: KappaDiE

Re: Accedere al server da ip statico publico

Messaggioda Stealth » sabato 20 ottobre 2018, 19:49

Diciamo che trattandosi di server sarebbe meglio capire cosa si sta facendo. Se fosse mio lo imposterei per accettare il mio IP, eventuali connessioni stabilite o relative (per consentire gli aggiornamenti ad es.), ma non le nuove, e poi droppare tutto il resto. In fondo sono 2 o 3 righe e le capisci solo a guardarle
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15447
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » sabato 20 ottobre 2018, 19:57

Non ho capito a che serve questo server ?

Se lo rendi irraggiungibile da altri su tutte le porte, serve come file server solo per te?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 673
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » domenica 4 novembre 2018, 20:32

Allora ricapitolando.
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda Sam9999 » domenica 4 novembre 2018, 20:51

giuseppe500 Immagine ha scritto:Allora ricapitolando.
1)vorrei accedere in ssh solo dal mio ip
2)vorrei che i siti serviti da apache funzionassero per qualsiasi ip in http e in https
3)è possibile bloccare l ftp standard( che porta ha?) ed accedere solo in sftp( che porta ha?)dal mio ip fisso?
Vorrei fare tutto con ip table in modo che possa funzionare anche su altre distro linux come debian per es.
Grazie.mi date una mano?


1) si puo' abilitando in iptables solo il tuo ip su ssh.
2) abiliti tutti gli IP su http ed https sempre in iptables.
3) basta non installare vsftpd oppure non aprire la porta 21
4) per entrare su sftp si usa la stessa porta di ssh.
Io entro in ssh su una porta non standard la puoi settare nella configurazione in /etc/ssh oppure lasciare la 22 (per comodità magari da ip interni) ed esternamente apri una porta qualsiasi che punta poi alla 22.

Per come fare.. è semplice.... poi magari riesco a darti le linee da mettere in IPtables, intanto potresti postare il tuo iptables, dando il comando "sudo iptables-save > file.save" salvi tutto e poi lo editi e lo posti.

Nel frattempo c'è anche la guida per i settaggi iptables

Così al volo:
Consentire l'ingresso su porte specifiche
Codice: Seleziona tutto

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT


Queste righe abilitano l'accesso sulla 80 (http) 443 (https) e 22 (ssh)

Ma non è sufficiente come configurazione.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 673
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Accedere al server da ip statico publico

Messaggioda giuseppe500 » domenica 4 novembre 2018, 21:03

Davvero grazie ma dato che è
un server per sicurezza vorrei impostare iptable non permanentemente in modo che se riavvio il server ci possa riaccedere se mai succedesse qualcosa .nel mio provider del server posso controllare da web in modo sicuro il riavvio del server.
Grazie ancora
giuseppe500
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 363
Iscrizione: maggio 2012
Distribuzione: 12.04

Re: Accedere al server da ip statico publico

Messaggioda Stealth » domenica 4 novembre 2018, 21:07

Il mio consiglio è, non avendo accesso fisico al server e prima di fare qualsiasi cosa, di impostare un reboot dopo qualche ora in modo da non rimanere fuori. Puoi impostare un crontab e poi cambiare le regole del firewall, senza salvarle. In caso ti buttasse fuori puoi aspettare il riavvio e trovare tutto come prima. Se scrivi "crontab reboot" su google trovi come fare
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15447
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Successiva

Torna a Ubuntu su server

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 14 ospiti