Resümee
Sodelle: Kurzes Resümee für alle, die ähnliche Befürchtungen hinsichtlich Plesk und Firewall – sowie manuelle Eingriffe in die von Plesk erstellte Grundkonfiguartion haben mögen, wie ich seinerzeit. Vorab: Es geht ohne Probleme.
Für unerfahrenere Admins wie mich mag der Weg über Plesk sogar Vorteile bieten. Aktiviert man im PPP einen halbwegs geeigneten FW (und achtet auch darauf, in dieser Grundkonfiguration bereits eventuell verlegte Ports, wie ssh, zu berücksichtigen), so erstellt Plesk alle erforderlichen Scripte in rebootfester Weise. Das Ergebnis landet unter Debian/Ubuntu/Plesk hier:
Zusätzlich liegt hier auch eine „ firewall-emergency.sh“ - falls mal was nicht klappt. Es macht aber immer Sinn, die von Plesk erstellte Originaldatei vor eigenen Eingriffen weg zu sichern. Wenn man bereits die Plesk Konfiguration halbwegs korrekt ausgeführt hat kann man diese jederzeit wiederbeleben und muß nicht mit der Emergency arbeiten, die alles komplett öffnet.
Die „firewall-active.sh“ ist nach automatischer Erstellung erst mal unnötig üppig. Dadurch, dass PPP keine Möglichkeit bietet, Standard-Dienste ohne Regel zu belassen, steht für jeden Kabes entweder ein Allow oder ein Drop. So steht z.B. auch ein Drop/Allow für ein Tomcat drin, welches man vielleicht gar nicht aktiviert hat. Jetzt einfach manuell Hand anlegen und alles aufräumen, was da nicht wirklich rein gehört. Am Ende besser noch alles 3 mal überprüfen, auch, ob das Script ausführbar ist – und ausführen. Die aktuellen Regeln sind direkt nach Ausführung aktiv – und mit etwas Glück Eure ssh Session auch noch
Wichtig: Danach die Finger von der FW Verwaltung in Plesk lassen. Fügt ihr jetzt dort eine Regel hinzu, bekommt ihr den ganzen Standardschmonzes wieder reingeschrieben. Ich habe mich allerdings nicht getraut, die FW Konfiguration in Plesk zu löschen – war mir zu heikel. Also, zukünftig nur noch manuelle Einträge. Und wenn alles läuft, auch davon ein Backup. Vor weiteren Änderungen.
Am Ende bleibt natürlich die Frage des Finetunings – aber die hat wenig Plesk Relevanz und gehört deshalb eher unter Security, wo ich sie auch stellen werde, weil es schon viel zu lange her ist, dass sie zuletzt jemand gestellt hat
Glückauf,
Thomas
Sodelle: Kurzes Resümee für alle, die ähnliche Befürchtungen hinsichtlich Plesk und Firewall – sowie manuelle Eingriffe in die von Plesk erstellte Grundkonfiguartion haben mögen, wie ich seinerzeit. Vorab: Es geht ohne Probleme.
Für unerfahrenere Admins wie mich mag der Weg über Plesk sogar Vorteile bieten. Aktiviert man im PPP einen halbwegs geeigneten FW (und achtet auch darauf, in dieser Grundkonfiguration bereits eventuell verlegte Ports, wie ssh, zu berücksichtigen), so erstellt Plesk alle erforderlichen Scripte in rebootfester Weise. Das Ergebnis landet unter Debian/Ubuntu/Plesk hier:
Code:
/opt/psa/var/modules/firewall/firewall-active.shZusätzlich liegt hier auch eine „ firewall-emergency.sh“ - falls mal was nicht klappt. Es macht aber immer Sinn, die von Plesk erstellte Originaldatei vor eigenen Eingriffen weg zu sichern. Wenn man bereits die Plesk Konfiguration halbwegs korrekt ausgeführt hat kann man diese jederzeit wiederbeleben und muß nicht mit der Emergency arbeiten, die alles komplett öffnet.
Die „firewall-active.sh“ ist nach automatischer Erstellung erst mal unnötig üppig. Dadurch, dass PPP keine Möglichkeit bietet, Standard-Dienste ohne Regel zu belassen, steht für jeden Kabes entweder ein Allow oder ein Drop. So steht z.B. auch ein Drop/Allow für ein Tomcat drin, welches man vielleicht gar nicht aktiviert hat. Jetzt einfach manuell Hand anlegen und alles aufräumen, was da nicht wirklich rein gehört. Am Ende besser noch alles 3 mal überprüfen, auch, ob das Script ausführbar ist – und ausführen. Die aktuellen Regeln sind direkt nach Ausführung aktiv – und mit etwas Glück Eure ssh Session auch noch
Wichtig: Danach die Finger von der FW Verwaltung in Plesk lassen. Fügt ihr jetzt dort eine Regel hinzu, bekommt ihr den ganzen Standardschmonzes wieder reingeschrieben. Ich habe mich allerdings nicht getraut, die FW Konfiguration in Plesk zu löschen – war mir zu heikel. Also, zukünftig nur noch manuelle Einträge. Und wenn alles läuft, auch davon ein Backup. Vor weiteren Änderungen.
Am Ende bleibt natürlich die Frage des Finetunings – aber die hat wenig Plesk Relevanz und gehört deshalb eher unter Security, wo ich sie auch stellen werde, weil es schon viel zu lange her ist, dass sie zuletzt jemand gestellt hat
Glückauf,
Thomas