EKsumic's Blog

let today = new Beginning();

Click the left button to use the catalog.

OR

如何使用 UFW 配置防火壠保護服務器

2025-01-07 12:54:28

EKsumic

82 Reads

Add

More
Copyright notice: This article is an original article and follows CC 4.0 BY-NC-ND Copyright agreement. If you want to repost this article, please attach the original source link and this statement.   Source link: https://www.v2know.com/MainPage/PreView/1078

防火壠(Firewall)是保護服務器安全的重要工具,可以有效阻止未經授權的流量,防範掃描和攻擊。本文將重點講解如何使用 UFW (Uncomplicated Firewall)配置防火壠規則,關閉不必要的端口並允許必要的服務,從而實現全面的安全保護。

1. 確認 UFW 狀態

首先,檢查服務器是否已安裝並啟用了 UFW:

sudo ufw status

  • 如果顯示 inactive,則說明 UFW 已安裝但未啟用。

  • 如果未安裝,請使用以下命令進行安裝:

sudo apt update
sudo apt install ufw

啟用 UFW:

sudo ufw enable

啟用後,UFW 會顯示類似提示:

Firewall is active and enabled on system startup

2. 設置防火壠規則

UFW 的核心功能是通過規則控制流量的進入和離開。以下是如何關閉不必要的端口以及允許必要的服務。

關閉指定端口

以下命令將阻止指定端口的流量:

sudo ufw deny 17/tcp  # 阻止 QOTD 端口
sudo ufw deny 19/tcp  # 阻止 Chargen 端口
sudo ufw deny 135/tcp # 阻止 MSRPC 端口
sudo ufw deny 139/tcp # 阻止 NetBIOS 端口
sudo ufw deny 445/tcp # 阻止 Microsoft-DS (SMB) 端口

這些端口通常是舊式或不必要的服務端口,關閉它們可以減少攻擊面。

查看當前規則

運行以下命令檢查已設置的防火壠規則:

sudo ufw status

示例輸出:

To                         Action      From
--                         ------      ----
17/tcp                     DENY        Anywhere
19/tcp                     DENY        Anywhere
135/tcp                    DENY        Anywhere
139/tcp                    DENY        Anywhere
445/tcp                    DENY        Anywhere

3. 允許必要的端口

防火壠的默認策略是阻止所有未授權的進入流量,但為了確保服務正常運行,應允許必要的端口:

  • SSH(22/tcp):允許遠程登錄。

  • HTTP(80/tcp)和 HTTPS(443/tcp):允許 Web 流量。

  • MySQL(3306/tcp):如果需要遠程訪問 MySQL,允許該端口。

設置命令如下:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 3306/tcp

檢查規則是否生效:

sudo ufw status

4. 配置默認策略

為了進一步提高安全性,可以設置默認策略:

  • 拒絕所有進入流量:

sudo ufw default deny incoming
  • 允許所有離開流量:
sudo ufw default allow outgoing

5. 測試防火壠設置

設置完成後,可以使用工具測試防火壠是否正常工作。

使用 Nmap 測試

從另一台設備執行以下命令:

nmap -p 1-65535 <your_server_ip>

  • 允許的端口:如 22、80、443,應顯示為 open

  • 被過濾的端口:如 17、19、135,應顯示為 filtered 或無響應。

以下是各個端口的用途:

  1. 22/tcp (SSH)

    • 狀態:Open
    • 功能:提供安全的遠程登錄和命令執行服務,常用於遠程管理 Linux/Unix 服務器。
    • 建議:如果不需要遠程登錄,應禁用或限制 IP 訪問(例如使用防火牆規則)。

  2. 80/tcp (HTTP)

    • 狀態:Open
    • 功能:提供未加密的 HTTP Web 服務,通常是網站的默認端口。
    • 建議:如果提供 Web 服務,應確保服務已正確配置並安全;如不需要 Web 服務,建議關閉。

  3. 443/tcp (HTTPS)

    • 狀態:Open
    • 功能:提供加密的 HTTP Web 服務(HTTPS),適用於安全的網站訪問。
    • 建議:確保 SSL/TLS 配置正確,並使用最新的協議和加密方式。

  4. 3306/tcp (MySQL)

    • 狀態:Open
    • 功能:MySQL 數據庫服務的默認端口,用於數據庫連接。
    • 建議:限制訪問 IP(僅允許可信主機連接),並確保密碼強度和 MySQL 安全配置。

Filtered(過濾)的端口

  1. 17/tcp (qotd)

    • 功能:Quote of the Day,舊式的測試或調試服務,基本無用。
    • 建議:確保此服務已被禁用,防止潛在攻擊。

  2. 19/tcp (chargen)

    • 功能:Character Generator Protocol,舊式測試服務,無現代用途。
    • 建議:應禁用,避免用於放大攻擊。

  3. 135/tcp (MSRPC)

    • 功能:Windows 系統的 RPC(遠程過程調用)服務。
    • 建議:如果是非 Windows 系統或無需該功能,應禁用。

  4. 139/tcp (netbios-ssn)

    • 功能:NetBIOS Session Service,通常與文件和打印機共享服務相關。
    • 建議:如果不需要文件共享,應禁用該服務。

  5. 445/tcp (Microsoft-DS)

    • 功能:SMB 協議,用於文件共享和其他 Windows 網絡功能。
    • 建議:關閉該端口或限制訪問 IP,避免勒索軟件等攻擊。

This article was last edited at 2025-01-07 13:04:05

* *

使用 C# 移除 Excel (.xlsx) 文件的數位簽名並自動刪除副本

378 Reads

在日常開發中,有時候我們需要從 Excel 文件中移除數位簽名。通常,為了保護原始文件不被直接修改,我們會先建立一個副本,移除副本的簽名後進行操作,最後再刪除這個臨時文件。本文將介紹如何使用 C# 和 Open XML SDK 來實現這樣的操作,並確保使用完副本文件後自動刪除,避免臨時文件... OR | From:EKsumic

在 Visual Studio 中管理多個 C# 項目和共享文件的實用指南

364 Reads

在開發大型 C# 解決方案時,有時需要多個項目共用同一份代碼文件或代碼庫。這篇文章將介紹如何在 Visual Studio 中管理多個 C# 項目,如何在項目之間共享文件,並解決項目配置中的一些常見問題。 1. 如何讓兩個項目共用同一個 .cs 文件? 當需要讓兩個項目共用同一個 .cs 文件時,最直接的... OR | From:EKsumic

使用 C# 和 Aspose.Cells 移除 Excel 數位簽名並刪除特定工作表的完整範例

335 Reads

在這篇文章中,我將分享如何使用 C# 和 Aspose.Cells 移除 Excel (.xlsx) 文件的數位簽名,並且在文件中刪除特定工作表(例如 “Evaluation Warning”)。這段程式碼不僅展示了如何移除簽名,還演示了如何操作 Excel 文件以刪除特定名稱的工作表,這在處理 Excel 文件的自動化... OR | From:EKsumic

C# 中的 #pragma 指令簡介

334 Reads

在 C# 中,#pragma 是用來控制編譯器行為的預處理指令,主要用於管理編譯警告和校驗文件一致性。雖然用法不多,但在處理自動生成代碼或外部庫時很有用。 1. #pragma warning 指令 #pragma warning 用於啟用或禁用特定警告,避免不必要的警告干擾。常用語法如下... OR | From:EKsumic

C# 保存和提取實例化類的最佳方法

318 Reads

介紹 在開發過程中,我們經常需要保存一個類的實例數據到文件中,方便下次加載時可以直接還原它,而不是每次重新創建新的數據。 在 C# 中,這個過程可以使用多種方法實現,本文介紹三種主流的保存和加載方法: 二進位格式(BinaryFormatter):最快速,但文件不可讀。 XML 格式... OR | From:EKsumic

Access的Columns 集合字段说明

258 Reads

Columns 集合支持的列: TABLE_CATALOG TABLE_SCHEMA TABLE_NAME COLUMN_NAME COLUMN_GUID COLUMN_PROPID ORDINAL_POSITION COLUMN_HASDEFAULT COLUMN_DEFAULT COLUMN_FLAGS IS_NULLABLE DATA_TYPE TYPE_GUID CHARACTER_MAXIMUM... OR | From:EKsumic

從 WinForms 到 Web:重用 App.config 的 Settings.Designer.cs 改造實踐

243 Reads

隨著軟件應用從桌面遷移到 Web 平台,開發者經常面臨如何在新的架構下重用現有代碼的挑戰。對於基於 WinForms 的桌面應用程序,Settings.Designer.cs 和 App.config 是一種常見的配置管理模式,然而,當這些代碼直接移植到 Wisej.NET 或 ASP.NET 的 Web 項目中時,會遇... OR | From:EKsumic

如何透過命令提示符在 Windows 10 建立訪客帳戶

234 Reads

Windows 10 預設不提供訪客帳戶,但透過命令提示符(Command Prompt)可以輕鬆創建一個擁有限制權限的訪客帳戶,供臨時用戶使用。以下是詳細操作教學: 操作步驟 開啟命令提示符(以管理員身份運行): 按下 Win + S,搜尋 cmd。 在搜尋結果中,右鍵點擊「命令提示符」,選擇「以管... OR | From:EKsumic

解決 TortoiseGit 更新 .gitignore 文件後無反應的問題

190 Reads

內容: 當更新 .gitignore 文件後,TortoiseGit 的文件狀態有時無法即時更新,這是由 Status Cache 設定引起的。不同的緩存模式會影響文件狀態的檢查頻率和性能。 Status Cache 模式介紹 Default(預設) 使用內部緩存,加快狀態顯示。 適用場景:性能優先,文件變動不頻繁。 Shell Extended(推薦) 由 Windows Shell 提供更頻繁的狀態更新,立即反映 .gitignore 變化。 適用場景:頻繁修改 .gitignore 或需要即時文件狀態更新... OR | From:EKsumic

GitBash 使用 .gitignore 完整步驟

188 Reads

GitBash 使用 .gitignore 完整步驟 創建 .gitignore 文件 在你的 Git 倉庫根目錄 中,手動創建一個名為 .gitignore 的文件。 編輯 .gitignore 文件 在 .gitignore 文件中添加要忽略的內容,例如: bash 複製程式碼 # 忽略 Visual Studio 緩存和中間編譯文件夾 .vs/ obj/ # 忽略所有 .log 文件 *.log... OR | From:EKsumic

GitBash如何修改已提交的 commit 訊息並推送到遠端

179 Reads

如何修改 Git 中的提交訊息(本地和遠端) 在 Git 中,如果你想修改已經提交的 commit 記錄上的 message(包括遠端),可以通過下面的方法完成: 修改最後一次的 commit message 並強制推送到遠端... OR | From:EKsumic

TortoiseGit 忽略規則不生效?切換「狀態緩存」解決問題!

168 Reads

在使用 TortoiseGit 時,你可能會遇到這樣的情況:即使你已經正確配置了 .gitignore 文件並忽略了某些文件夾(比如 bin 和 obj),它們依然被 TortoiseGit 標記為「未版本控制文件 (unversioned files)」。這讓人疑惑,到底是 .gitignore 問題,還是 TortoiseGit 自身的設定問題... OR | From:EKsumic

Blazor <NavLink> 中的 Match 屬性詳解

86 Reads

在 Blazor 應用中,導航鏈接 <NavLink> 是一個非常常用的組件,用於實現頁面的路由導航。<NavLink> 提供了一個 Match 屬性,允許開發者控制鏈接的激活邏輯。本文將詳細解釋 Match="NavLinkMatch.All" 和 Match="NavLinkMatch.Prefix" 的區別,並提供使用場景和最佳實踐... OR | From:EKsumic

如何使用 UFW 配置防火壠保護服務器

82 Reads

防火壠(Firewall)是保護服務器安全的重要工具,可以有效阻止未經授權的流量,防範掃描和攻擊。本文將重點講解如何使用 UFW (Uncomplicated Firewall)配置防火壠規則,關閉不必要的端口並允許必要的服務,從而實現全面的安全保護... OR | From:EKsumic

如何在 Blazor Web App 中實現關閉註冊並啟用唯一授權賬號

75 Reads

本文介紹如何在 Blazor Web App 使用獨立賬號驗證(Identity)並關閉用戶註冊功能,同時開啟唯一授權賬號功能。以下步驟包括修改註冊頁面、為特定賬號授權,以及在數據庫中檢查授權是否生效... OR | From:EKsumic

如何將 Unity WebGL 專案部署到 IIS

42 Reads

Unity 構建時的注意事項 在 Unity WebGL 的構建過程中: 選擇壓縮格式: 推薦選擇 Gzip 或 Brotli。 啟用 Decompression Fallback: 勾選 Decompression Fallback,確保瀏覽器在無法解壓壓縮文件時可以加載未壓縮版本... OR | From:EKsumic

解釋「生命周期」的概念,以及 Singleton、Scoped 和 Transient 的含義

21 Reads

1. 什麼是生命周期? 在 Blazor 或 ASP.NET Core 中,服務的生命周期 指的是 一個服務實例的存活時間,也就是說: 從服務創建到釋放期間,它可以被重複使用多少次,或者被誰共享? 當我們註冊一個服務時(例如:builder.Services.AddScoped()),我們需要告訴系統: 這個服務應該存活多久... OR | From:EKsumic

.NET 8 混合 Blazor 應用:如何由 Server Host 客戶端

20 Reads

在 .NET 8 混合 Blazor Web App 模式下,你的解決方案通常包含兩個專案:一個伺服器專案(例如 v2knowBlazor)和一個客戶端專案(例如 v2knowBlazor.Client)。在這個架構中,實際運行應用程序的是伺服器專案,它同時負責 host 和提供客戶端的 Blazor WASM 應用... OR | From:EKsumic

Blazor 元件之間的傳值方式極簡總結

20 Reads

Blazor 中的數據傳遞主要通過以下方式:父組件向子組件傳遞參數:<ChildComponent Parameter="Value" />。 子組件向父組件通知事件:使用 EventCallback。 雙向數據綁定:通過 bind-。 多層嵌套數據共享: 全局數據:依賴注入 (DI)。 層級數據:Cascading Parameters... OR | From:EKsumic

一個簡單的 SignalR Hub 示例

10 Reads

下面是一個簡單的 SignalR Hub 示例,包括服務器端和客戶端的基本配置與使用說明。 1. 服務器端 a. 建立 Hub 類別 首先,在 v2knowBlazor(Server)專案中新增一個 SignalR Hub 類別,例如 ChatHub.cs... OR | From:EKsumic