Если вы хотите, чтобы служба (например, SSH) была доступна и могла использоваться, то Nmap сможет ее найти. Вообще говоря, сканирование портов не представляет угрозы; ваша безопасность не должна зависеть от того, что злоумышленник не знает, какие службы работают. Использование нестандартного порта для SSH в основном полезно для уменьшения шума журнала, так как на порт по умолчанию 22 выполняется очень много автоматического перебора.
Ваши основные цели с точки зрения безопасности должны быть: знать / прогнозировать, предотвращать , Обнаруживать, отвечать и восстанавливать. Вот как с этим связано сканирование портов:
Знать / прогнозировать : знать, какие активы у вас есть и на что пойдут злоумышленники. Сканируйте порт самостоятельно, чтобы увидеть свою экспозицию. Понять, что можно и чего нельзя делать при сканировании портов; они не волшебный взлом волшебной пыли.
Запретить : используйте брандмауэр для предотвращения доступа к портам / службам, которые не должны быть общедоступными. Ограничьте доступ к известным IP-адресам. Перемещайте конфиденциальные данные и серверы за периметр сети и управляйте доступом с помощью VPN или другого средства управления доступом. Ограничение скорости - это не предупреждение, а только задержка.
Обнаружение : отслеживание журналов сканирования портов, перебора и других признаков атаки. Разберитесь, что такое нормальный фоновый шум, а что на самом деле представляет собой угрозу.Настройте оповещения для индикации взлома.
Ответить : Разработайте план действий в случае нарушения безопасности. Настройте автоматические средства защиты, такие как fail2ban, для реагирования на угрозы. Ограничение скорости может быть здесь ответом, но действительно ли оно предотвращает что-нибудь?
Восстановление : Имейте план восстановления. Регулярно создавайте резервные копии и тестируйте восстановление из резервной копии.
Убедитесь, что на вашем маршрутизаторе разрешены порты 80 и 443.
Убедитесь, что на ваш сервер перенаправлены порты 80 и 443.
Убедитесь, что в вашем брандмауэре есть дыры:
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Определить VirtualHost для порта 443 (а также для 80):
... ваш код здесь ...
... здесь ваш код ...
{ {1}}
Активировать mod_rewrite
:
sudo a2enmod rewrite
Определите перенаправление с HTTP на HTTPS, например:
RewriteCond% {HTTPS}! на
RewriteRule ^ /? (. *) https: //% {SERVER_NAME} / $ 1 [R = 301]
И, наконец, перезапустите Apache:
sudo service apache2 restart { {1}}