shadowsocks(ss)科学上网服务器(vsp)安全设置

自己在VPS搭了SS平时用，因为该VPS同时在跑博客，用的mysql，所以比较重视安全。基于安全原因，mysqld只监听本地端口，但今天突发奇想将我自己电脑上的mysql的客户端放到proxifier里面用SS处理，然后连接本地127.0.0.1:****端口，居然成功连接到VPS的mysqld。。。


abc@abcdefg ~ $ sudo netstat -apn | grep mysql
tcp 0 0 127.0.0.1:3333 0.0.0.0:* LISTEN 3280/mysqld
tcp 0 0 127.0.0.1:3333 127.0.0.1:47652 ESTABLISHED 3280/mysqld


嗯。。所以分享SS前要想清楚，并做好VPS的安全工作。

先让ss-server用一个专用user运行。如果是shadowsocks-libev可以修改/etc/default/shadowsocks-libev

然后加上防火墙规则，禁止专用user (这里假设是shadowsocks)连接本地地址。我用的是ufw，所以在/etc/ufw/before.rules里面# End required lines之后加上

-A ufw-before-output -m owner --uid-owner shadowsocks -p tcp -s 127.0.0.1 -j DROP