In Fail2Ban worden in 2 zogenaamde 'jails' de http (80) en https (443) poorten geblockt, maar daarnaast ook de poorten 7080 en 7081. Nu vraag ik mij af of die 2 laatste poorten eigenlijk ooit wel gebruikt worden, of dat ik ze kan weghalen uit de configuratie-settings.
Ik heb gelezen dat poort 7080 en 7081 door nginx gebruikt worden, maar ik weet het niet zeker. Ik weet ook niet of het dan enkel gaat om intern verkeer (op de server zelf), of ook om inkomend verkeer van buiten de server.
Ik heb mijn policy zo ingesteld dat poorten voor inkomend verkeer expliciet moeten worden geaccepteerd. Poort 7080 en 7081 heb ik niet geaccepteerd en die staan dus sowieso dicht, dus heeft het (lijkt me) weinig zin om die poorten in een jail op te nemen. Maar ik vraag me dus af of als ik nginx ooit zou gaan gebruiken, ik deze 2 poorten dan wél moet openzetten voor inkomend verkeer van buitenaf.
Poorten 7080/7081 zijn standaard fastcgi poorten. Wanneer je unix sockets gebruikt, PHP alleen op localhost laat luisteren voor fastcgi, of geen fastcgi inzet zijn deze poorten ongebruikt.
[size=xsmall]Toevoeging op 14/05/2016 22:49:50:[/size]
Uiteraard weer gewoon te controleren met netstat of telnet.
Nee, ze hoeven niet open te zijn. Niet van buitenaf in ieder geval. Wat in het geval van de Plesk configuratie gebeurt is het volgende:
Als je besluit dat je nginx wil gebruiken en niet apache, zal apache worden geconfigureerd om te gaan luisteren op poorten 7080 en 7081, in plaats van de gebruikelijke 80 en 443. Nginx zal requests doorzetten naar deze poorten.
Zie het volgende KB artikel voor wijzigen en uiteraard wat meer info: https://kb.plesk.com/en/114249
Mijn advies zou in deze zijn om de configuratie zodanig te wijzigen dat je regels krijgt als Listen 127.0.0.1:7080 en Listen 127.0.0.1:7081. Of gewoon DROPpen met iptables, kan ook.
>> zal apache worden geconfigureerd om te gaan luisteren op poorten 7080 en 7081, in plaats van de gebruikelijke 80 en 443.
Oké, voor mijn begrip. Dit gaat dan toch om localhost? Die poorten staan ook in dit geval voor de buitenwereld toch compleet dicht?
Maar heb jij dan eigenlijk een idee waarom die 'jail' van Fail2Ban ook poort 7080 en 7081 blokkeert als die voor de buitenwereld toch nooit openstaan? Wat zou daar de reden dan van kunnen zijn?
Ik weet niet exact hoe de config van apache er uit zal zien, maar mogelijk is het gewoon Listen 7080 etc. Ik zie ook als ik er naar zoek berichten dat websites wel werken via 7080 maar niet 80 als nginx gestopt is. Dus het is wel iets om in te duiken denk ik. Al zal het geen kwaad kunnen dat websites ook daarlangs bereikbaar zijn voelt het niet netjes.
Oké, nou vooralsnog zal ik ze maar gewoon dicht laten staan (of beter gezegd 'niet open zetten'). Ik hanteer de policy dat al het inkomend verkeer standaard geblockt wordt en dat ik expliciet moet instellen welke poorten benaderd kunnen worden van buitenaf. De standaard instelling werkt overigens anders, namelijk dat een aantal poorten geblockt wordt en dat de rest van het inkomende verkeer wordt toegestaan. Dat lijkt mij minder veilig.
Je doet het zoals gebruikelijk is.
Of nog gebruikelijker: standaard policy ACCEPT, met als laatste regel een DROP. Dit om te voorkomen dat wanneer je iptables config ongeldig is, je jezelf niet buitensluit.
Maar Plesk is Plesk, en Plesk zou Plesk niet zijn zonder achterlij ^H^H^H^H^H^H^H^H^H^H eigenaardigheden. Zie alleen al wat je in dit topic aanhaalt: het effect van Apache achter Nginx.
