Я лично использую Shorewall
. Немного трудно получить Вашу голову вокруг, но после того как Вы добираетесь, как работать он, это - большой инструмент. Существует много предварительно установленных правил заблокировать мусор и включить некоторый вход.
Вы могли также просто установить свою цепочечную политику по умолчанию ОТБРОСИТЬ все и просто позволить порты, в которых Вы нуждаетесь. Не забывайте позволять ESTABLISHED
и RELATED
трафик все же.
Я обычно сохраняю SSH заблокированным вниз и предоставляю доступ от горстки дюйм/с, которая принадлежит моим машинам. Если Вы не можете заблокировать его вниз как этот для грубой силы нападения на SSH, я использую denyhosts
. Иногда Вы получаете ложные положительные стороны, но можно добавить Вас в белый список, владеют дюйм/с, таким образом, этого не происходит.
С другой стороны, у меня есть пользователь по имени jesus, который находится внутри http группа.
пользователь, которого я использую для доступа к системе (ssh), а также ts3 Бег. Я думал, что раз уж сеть моя, пользователь будет
Системные пользователи, у которых есть доступ к оболочке, не должны добавляться в группу http
. Чтобы записать некоторые тестовые файлы в корень документа, вы можете переключиться на пользователя http
с помощью:
$ sudo su - http -s /bin/bash
Для целей FTP вам лучше создать нового пользователя без доступа к оболочке:
$ sudo useradd -d /home/ftp/ftpu1 -s /sbin/nologin ftpu1
$ sudo usermod -a -G nobody ftpu1
$ sudo mount --bind /srv/http/web1 /home/ftp/ftpu1
или использовать виртуальных пользователей .
Правильные права доступа и владельца для корня документа должны быть:
drwxrwsr-x 8 http nobody 4096 Oct 17 15:36 /srv/http/
Обратите внимание на s в месте расположения бита группового выполнения. Это означает, что для этой папки установлен SGID, вновь созданные файлы / папки также принадлежат одной группе.
Не забудьте установить umask
для Apache и FTP-сервера на 002, чтобы сделать файлы / папки, созданные http
, могут быть перезаписаны nobody
и наоборот.