FastNetMon

Thursday 18 February 2010

Как закрыть Apache на 8080м порту?

В связке ISPManager + Apache + Nginx есть встроенный косяк безопасности - к Апачу можно подключиться через 8080й порт снаружи.

Фиксится этот баг так:

# разрешаем локальный трафик
iptables -A INPUT -i lo -j ACCEPT
# блокируем все остальные соединения до 8080го порта
iptables -A INPUT -p tcp --dport 8080 -j DROP


Хм, фикс под сомнением.... может и не сработать.

8 comments :

  1. А если nginx ходит к апачу через алиас eth0?

    ReplyDelete
  2. Как в ISPManager? Ну я в этом случае делал иначе - я запрещал все коннекты по POLICY DROP и разрешал лишь нужные.

    ReplyDelete
  3. а если php как fastcgi ?
    вроде защищать не нужно?

    ReplyDelete
  4. а как проверить открыт ли порт?

    ReplyDelete
  5. Сделать nmap / telnet из внешней сети на этот порт.

    ReplyDelete
  6. хм а не подскажешь зачем это
    NameVirtualHost *:443

    и там сурс код выдается на этом порту, смотрю у некоторых тоже работает, у некоторых нет

    может его тоже закрыть?

    ReplyDelete
  7. чет не получается никак запретить 8080 порт

    вернее до перезагрузки все работает
    а как перезагружу так снова порт открыт

    я уж по простому из ispmanager прописал в firewall
    и несмотря на это после перезагрузки снова порт октрыт

    как быть?

    ReplyDelete
  8. ISPamanger должен корректно все делать, если не блокирует, то стоит написать в поддержку.

    ReplyDelete

Note: only a member of this blog may post a comment.