0

我认为这应该是每个人都应该做的标准,但也许我错过了一些东西。

我想阻止通过每个端口/方法/协议访问我的站点,除了少数几种方法:

  • 这包括阻止使用 IP 地址而不是域名。所以访问 123.55.123.66 和 ssh://123.55.123.66 总是会失败。

  • 此外,阻止所有 FTP 访问

仅允许以下内容:

(1) http://domain.com

(2) https://domain.com

(3) ssh://ssh-access.domain.com

所以 SSH 只在这个子域可用,所以人们无法从 IP 或公开可用的同一个域中访问 SSH。

此外,http://ssh-access.domain.com会失败。

无法访问 FTP、Telnet 什么的。

这是一个好主意吗?

因为我什至想不出所有可用的不同端口/协议,我认为最好阻止除上面列出的所有端口(而不是阻止所有 FTP、SSH 等)。

另外,如果有人对我将如何编码有任何指示,那就太好了。我猜最好在 Apache(或 Ubuntu)中进行。

4

1 回答 1

1

您不能ssh://123.55.123.66以正确的方式“访问”(即使用 Web 浏览器),尽管某些文件浏览器提供此扩展,但 Apache 不参与连接(相反,SSH 守护程序参与)。此外,SSH 守护进程没有“(子)域”的概念。

也就是说,您可以将 SSH 守护程序配置为仅侦听“远程访问”IP 地址(将其绑定到该地址)。

对于网站,您可以调整适当的 Mod-Security 规则以拒绝尝试通过 IP 地址而不是 Web 地址访问网站的人/机器人。

于 2013-10-15T18:16:28.760 回答