ファースト - 。私はそれを絞る、むしろそれを阻止する」スロットリング上@vartecに同意のiptables -m制限を使用します"少なくともソリューションの一部として。
しかし、私は常にポート80の送信をブロックしない別の理由を提供することができます。自動セキュリティ更新プログラムを有効にしている場合、サーバーはセキュリティ更新プログラムを開始するためにポート80を介してPPAに到達できません。したがって、自動セキュリティアップデートが設定されていると、それらは実行されません。 Ubuntuでの自動セキュリティアップデートをして14.04 LTSに投入されています
sudo apt-get install unattended-upgrades update-notifier-common && \
sudo dpkg-reconfigure -plow unattended-upgrades
(then select "YES")
より優雅な解決策は、あなたの場合は、おそらくまた、iptablesのに加えて、CLI経由でAWSセキュリティグループのルールを変更し、自動的にポートを開くansibleスクリプトだろうAWSにいます。私は、ステルスボックスによって開始されたAWS CLIを介して、アウトバウンドルールを一時的に変更することをお勧めします。これにより、AWS S3のログバケットに更新情報が記録されますが、サーバー自体のログには表示されません。さらに、更新を開始するサーバーは、プライベートサブネットACLにいる必要はありません。
おそらく両方を実行しますか?攻撃がサブネット内の内部IPから中継される時を把握しなければならないので、バックアップとセキュリティアップデートを自動化する機能を維持しながら倍増するメリットがあります。
こちらがお役に立てば幸いです。返信しない場合は、より具体的で正確なコード例を提供してください。 #おげんきで !
私は、Webサーバーがインターネット上の他のサーバーに送信HTTP接続(ポート80)を開始できるようにすることを話しています。たとえば、気象ウィジェットを持つPHPページがあるとします。そのスクリプトは外部Webサービスから気象データを要求する必要があります。 –
ああ、ポート80を開始ポートとしてブロックしていると思った。 これをブロックすると、他のページからapisなどを読み込むことはできません。信頼できるサイトをルールに追加することもできます。 しかし、ポート80をブロックすることは一般的にはあまり意味がありません。 – evildead
他の観点からは、サーバーがハッキングされ、そのトラフィックをブロックすると、他のサイトからabituaryコードをロードできなくなります。しかし、誰がハッカー/ロボット/彼の要求にポート80を使用しているかを保証します:) – evildead