SSH和谐主机的iptables设置参考

这是一个关于SSH番羽土啬的话题,标题及文中的“和谐”=“番羽土啬”,感叹一下我们的文字。

因为21现在手上的VPS数量比较乐观(不是壮观……),因此其中有专司VPN和谐的、SSH和谐的、第三方推和谐的等用途,当然,Mr. 21博客也在其中一个VPS上,用的LNMP包。

写这个话题的起因是这样的,在北山老卫大神的Q群里面,有人提到了想以SSH和谐帐号来换取一些东西,因此引发了21对此的讨论。我的主要观点是不支持这么做,因为不安全(可以参考《利用Linux内核的多个安全漏洞提权》,不过本文内容与此关系不大),加上之前帮番茄童鞋配置iptables,因此引发了21对SSH和谐主机安全方面的思考,其中的一方面就是用iptables来过滤不和谐的东西。

是这样的,因为做实验的这个VPS我只用于SSH和谐,并且一般和谐仅限于Web浏览及各种基于Web的应用,所以,以下策略仅开放SSH的22端口并对其它的东西做了相应的限制。

初始化防火墙

第一步,我们总是要把一些知道的和不知道的先通通打倒了再说,于是,请如此:

以上是一些初始化的动作,以下是具有具体功能的策略。

防火墙规则参考一

这几条规则实现的效果是:

  1. 22端口允许用户主动发起TCP连接,一般用于提供SSH服务,如果你的SSH端口不是22,请修改;
  2. 其它端口需要ESTABLISHED、RELATED两种状态的数据包才能通过,而通常这两种状态的数据包在TCP协议上的定义是已经建立了连接的后续数据包,也就说,别人无法对你的任何端口主动发起连接,但是由你主动发起连接的数据包可以通过,比如说看网页的数据;
  3. 包状态NEW允许SSH用户对外的主动发起连接;
  4. 允许外部用户PING本机,这个嘛,方便自己测试,要不挂了都不知道。
  5. 关于数据包状态,我是参考这里 http://liubin.blog.51cto.com/282313/110394

这样,虽然防住了外面进来的问题,但一定程度上来说,用户通过SSH登录以后就可以干他想干的事情了,对于应用的范围不能达到一个控制的目的,比如说,我前面提到的“一般和谐仅限于Web浏览及各种基于Web的应用”,是的,和谐嘛,也就是用这些了,顶天了再来个FTP或者跳板另外的SSH,于是,21便想到了稍微BT一点的限制,请看参考二。
Continue reading SSH和谐主机的iptables设置参考

向Google Blog Search主动推送博客更新

事实上,内容没有标题那么“雄伟”,
谁让Google博客搜索不直接叫“B-Search”呢,虽然不是那么通俗易懂,好歹比较好记……

今天在Google Reader里面看到一篇文:《关于信息的五分钟问题》。
里面提到一个信息更新的延迟问题,说大概五分钟左右Google Blog Search才能主动索引到你博客的更新,
这对于在发生某些突发事件时抢关键词和索引排名来说是很不利的,慢一秒慢一分钟就要失去多少的PV/IP呀,
事实上,我是不太关注这些的……

于是进行了Google Search,找到两篇关于主动推送(Pinging Service)的文章,
原文请跳转:How To Ping Google Blog Search & About Google Blog Search Pinging Service API

对于我们WordPress用户来说,请执行以下操作,以到达主动推送(Push)更新到Google Blog Search的目的,
从根源上消除五分钟(或者三分钟、说一秒也行)的信息延迟。

  1. 登陆后台(/wp-admin);
  2. 选择Settings(设置) -> Writiing(撰写);
  3. 找到Update Services,然后在下面的输入框添加 http://blogsearch.google.com/ping/RPC2
  4. OK,搞定,更新你的文章试试。

不过,有一个更BT的服务,叫Ping-O-Matic
只要你提交了链接,会帮你推送到23个有Ping服务的博客搜索上去……

Update: July 13rd, 2009
对于国内的博客,可以同时添加“抓虾”、“有道”、“鲜果”等,

鲜果: http://www.xianguo.com/xmlrpc/ping.php
抓虾: http://www.zhuaxia.com/rpc/server.php
有道: http://blog.youdao.com/ping/RPC2

更多Ping服务请参阅: http://codex.wordpress.org/Update_Services