Security

最大化 gunicorn 系統的安全性

  • February 2, 2021

我有 2 台機器執行 ubuntu 伺服器,一台作為執行 nginx 的代理,另一台作為執行 gunicorn 的應用伺服器。讓我們命名 nginx 機器伺服器 1 和 gunicorn 伺服器 2。

一切正常,但是為了讓伺服器 1 與伺服器 2 通信,我必須在伺服器 2 中打開埠。在這種特殊情況下,我在 ufw 中允許埠 8000。

這是常見的做法嗎?隨著我的應用程序的增長和我添加更多的應用程序伺服器,我是否也必須為這些機器打開這些埠?如果有 3 個應用伺服器,我必須打開 8000、8001、8002?我假設這會增加安全漏洞?保護這樣的系統的最佳實踐是什麼?

對於不應向公眾公開的後端 Web 應用程序、MongoDB 等私有服務,僅允許來自需要連接到它們的 IP 地址或網路的傳入流量到其埠。

例如:

sudo ufw allow from 203.0.113.187 to any port 8000 proto tcp

引用自:https://serverfault.com/questions/1052189