Cách bảo mật máy chủ của tôi bằng UFW (được cho là đang bị tấn công)

Tôi đang chạy Apache trên Debian.

Dưới đây là một mẫu các mục trong nhật ký lỗi apache của tôi. Câu hỏi 1: Máy chủ có bị tấn công không (tôi thấy khoảng 30-40 mục như vậy mỗi giờ). Tôi cho rằng đây là những cuộc tấn công vào hoặc ít nhất là thăm dò vào máy chủ của tôi.

[Chủ nhật ngày 13 tháng 2 16:37:54.013622 2022] [:error] [pid 16071] [client 106.193.114.87:19356] Thông báo PHP: Biến không xác định: error_msg trong /var/www/example.com/page-sidebar-both. php trên dòng 57, người giới thiệu: https://example.com/podbanks/abresult.php?ab=ab18&lg=English

[Chủ nhật ngày 13 tháng 2 16:38:01.289976 2022] [:error] [pid 16109] [client 106.193.114.87:19358] Thông báo PHP: Biến không xác định: result_msg trong /var/www/example.com/abc/defg.php trên dòng 210, người giới thiệu: https://example.com/result.php?ab=ab18&lg=English

[Chủ nhật ngày 13 tháng 2 16:38:01.290048 2022] [:error] [pid 16109] [client 103.77.154.37:1842] Thông báo PHP: Biến không xác định: trạng thái trong /var/www/example.com/pods/dashboard.php trên dòng 210, người giới thiệu: https://example.com/result.php?ab=AB18&lg=English

[Chủ nhật ngày 13 tháng 2 16:38:26.788827 2022] [:error] [pid 15961] [client 54.90.210.118:36104] Thông báo PHP: Biến không xác định: BaseURL trong /var/www/example.com/biz.php trên dòng 63

(các trang và biến hợp lệ, nhưng số cổng lạ).

Câu hỏi 2: Nếu đây là các cuộc tấn công, tôi có thể ngăn chặn chúng bằng UFW không? Tôi hiện có:

Đến hành động từ
-- ------ ----
WWW Đầy đủ CHO PHÉP mọi nơi
3306 CHO PHÉP mọi nơi
22 CHO PHÉP mọi nơi
8081 CHO PHÉP mọi nơi
1185 CHO PHÉP mọi nơi
WWW Đầy đủ (v6) CHO PHÉP Mọi nơi (v6)
3306 (v6) CHO PHÉP Mọi nơi (v6)
22 (v6) CHO PHÉP Ở mọi nơi (v6)
8081 (v6) CHO PHÉP Mọi nơi (v6)
1185 (v6) CHO PHÉP Ở mọi nơi (v6)

8081 CHO PHÉP NGOÀI Ở Mọi nơi
8081 (v6) CHO PHÉP Ở mọi nơi (v6)

Các bước sau đây có hợp lệ và đầy đủ khi xem xét ở trên không?

ufw vô hiệu hóa
ufw mặc định từ chối đến
ufw mặc định cho phép gửi đi
ufw cho phép OpenSSH
ufw cho phép WWW Đầy đủ
ufw cho phép 1185
ufw cho phép 3306
kích hoạt ufw

(dòng 1 là để đảm bảo rằng tôi không bị khóa - Tôi đang sử dụng PuTTY)

Câu hỏi 3: Tôi có thực sự cần mở 3306 nếu MySQL chỉ được sử dụng cục bộ không? Tôi chỉ cấp quyền truy cập vào cơ sở dữ liệu thông qua các truy vấn php được bảo vệ bằng mật khẩu và phiên.

Câu hỏi 4: Tôi có cần cổng 8081 không? Có phải do "WWW Full" tự động thêm vào không?

Tôi không thấy bất kỳ dấu hiệu nào của một cuộc tấn công, chỉ là PHP được viết kém. Bạn có thể lọc các thông báo từ nhật ký bằng cách thay đổi cấu hình báo cáo lỗi của PHP. Cũng không có gì bất thường về các cổng, các cổng của khách hàng trong phạm vi đó là bình thường.

Quảng cáo câu hỏi 1: Các thông điệp nhật ký mà bạn đã trích dẫn không hiển thị bất kỳ dấu hiệu nào của một cuộc tấn công. Thay vào đó, chúng chỉ ra lỗi trong mã PHP của máy chủ web của bạn. Các thông báo cũng chứa vị trí chính xác (tên tệp và số dòng) nơi xảy ra lỗi. Bạn có thể muốn có một cái nhìn ở đó.

Số cổng trong tin nhắn không lạ chút nào mà hoàn toàn bình thường.

Quảng cáo câu hỏi 2: Cho rằng không có cuộc tấn công, câu hỏi không áp dụng.

Quảng cáo câu hỏi 3: Bạn không cần và không nên hiển thị cổng MySQL 3306 cho mạng nếu nó chỉ được sử dụng cục bộ bởi máy chủ web. Nghĩa là, máy chủ MySQL phải được cấu hình để chỉ nghe trên địa chỉ 127.0.0.1 (localhost) và cổng 3306 không được phép trong ufw.

Quảng cáo câu hỏi 4: Việc bạn có cần cho phép cổng 8081 hay không tùy thuộc vào việc có bất kỳ dịch vụ nào đang chạy trên cổng đó mà bạn muốn có thể truy cập được qua mạng hay không. Nếu không có gì đang nghe trên cổng 8081 hoặc nếu bất cứ thứ gì đang nghe ở đó không thể truy cập được qua mạng, thì bạn không nên cho phép nó trong ufw.

Bất cứ thứ gì bạn phơi bày trên Internet đều sẽ bị kiểm tra điểm yếu.

Cơ sở để bảo mật thụ động tốt là hiểu những luồng mạng nào cần thiết để dịch vụ của bạn hoạt động và chỉ cho phép lưu lượng truy cập cụ thể đó. Đối với bất kỳ điều gì không chuẩn, bạn không hiểu điều này bằng cách hỏi những người lạ trên Serverfault để được tư vấn.

Nếu bạn chỉ trình bày một dịch vụ web trên Internet, thì có khả năng lưu lượng truy cập duy nhất bạn cần cho phép từ các máy khách ("Bất kỳ") là HTTP và HTTPS.

Bạn cũng sẽ cần trình bày một giao diện quản lý - ssh thông thường hoặc một loại VPN quản lý nào đó. Điều quan trọng là bất cứ thứ gì bạn chọn ở đây đều đủ cứng để chống lại các cuộc tấn công vũ phu không thể tránh khỏi. Bạn nên sử dụng xác thực dựa trên khóa hoặc chứng chỉ cho các kênh này.

Nói chung, bạn không bao giờ muốn hiển thị trực tiếp máy chủ cơ sở dữ liệu với Internet.