Κλείσε
Μενού

Πώς να εγκαταστήσετε και να χρησιμοποιήσετε ένα τείχος προστασίας Linux

Το Linux είναι μια από τις πιο ασφαλείς πλατφόρμες επιτραπέζιων υπολογιστών και διακομιστών στον πλανήτη. Από το κουτί, θα βρείτε τις περισσότερες διανομές Linux πολύ πιο ασφαλείς από οποιαδήποτε άλλη Windows ή macOS. Στην πραγματικότητα, για τις περισσότερες περιπτώσεις χρήσης επιτραπέζιου υπολογιστή, η ασφάλεια που προσφέρεται στις περισσότερες διανομές Linux θα σας εξυπηρετήσει καλά. Αυτό δεν σημαίνει, ωστόσο, ότι θα πρέπει να αγνοήσετε εντελώς την ασφάλεια του λειτουργικό σύστημα για τα οποία έχετε εμπιστευτεί τα δεδομένα σας. Στην πραγματικότητα, θα έπρεπε να γνωρίζετε πώς να εργάζεστε με ένα τείχος προστασίας Linux.

Τι είναι ένα τείχος προστασίας;

Με απλά λόγια, ένα τείχος προστασίας είναι ένα υποσύστημα σε έναν υπολογιστή που εμποδίζει την είσοδο ή την έξοδο ορισμένης κυκλοφορίας δικτύου από τον υπολογιστή σας. Τα τείχη προστασίας μπορούν να δημιουργηθούν για να είναι πολύ περιοριστικά (επιτρέποντας πολύ λίγα μέσα ή/και εξόδους) ή πολύ επιτρεπτά (επιτρέποντας αρκετά μέσα ή/και έξω). Τα τείχη προστασίας διατίθενται σε δύο διαφορετικούς τύπους:

  • Υλικό—φυσικές συσκευές που εξυπηρετούν μόνο το σκοπό της προστασίας του δικτύου σας (και των υπολογιστών στο δίκτυό σας).
  • Λογισμικό—υποσυστήματα σε μεμονωμένους υπολογιστές που προστατεύουν μόνο τη μηχανή φιλοξενίας.

Τα περισσότερα οικιακά δίκτυα εξαρτώνται από έναν συνδυασμό και των δύο. Η λύση υλικού είναι γενικά το μόντεμ/δρομολογητής που αναπτύσσεται από εσάς ISP. Πολλές φορές αυτές οι συσκευές έχουν ρυθμιστεί ώστε να είναι πολύ περιοριστικές. Στο τέλος του λογισμικού, ο επιτραπέζιος υπολογιστής σας χρησιμοποιεί ένα τείχος προστασίας λογισμικού. Ένα τέτοιο τείχος προστασίας, που μπορεί να εγκατασταθεί και να χρησιμοποιηθεί σε πολλά Linux διανομές (όπως το Ubuntu και τα παράγωγά του), είναι Απλό τείχος προστασίας (UFW). Το Uncomplicated Firewall είναι ακριβώς αυτό που ακούγεται. Είναι ένα απλό εργαλείο που κάνει τη διαχείριση του αποκλεισμού/επιτρέποντας την κυκλοφορία του δικτύου αρκετά απλή. Το UFW είναι ένα εργαλείο μόνο στη γραμμή εντολών που κάνει εξαιρετική δουλειά βοηθώντας στην ασφάλεια του υπολογιστή σας Linux.

Εγκατάσταση UFW

Οθόνη εντολής κατάστασης UFW

Τόσο στο Ubuntu όσο και στα περισσότερα παράγωγα Ubuntu, το UWF είναι ήδη εγκατεστημένο. Για να μάθετε εάν το UFW είναι εγκατεστημένο στον υπολογιστή σας, ανοίξτε ένα παράθυρο τερματικού και δώστε την εντολή: 

κατάσταση sudo ufw.

Αυτή η εντολή (πιθανότατα) θα αναφέρει ότι το UFW είναι ανενεργό. Εάν διαπιστώσετε ότι το UFW δεν είναι εγκατεστημένο, εκδώστε την εντολή. 

sudo apt-get εγκατάσταση ufw -y.

Ενεργοποίηση UFW

Ενεργοποίηση του τείχους προστασίας UFW

Επειδή το UFW είναι ανενεργό από προεπιλογή, θα θέλετε να το ενεργοποιήσετε. Για να το κάνετε αυτό, εκδώστε την εντολή.

sudo ufw enableTώρα όταν ελέγχετε την κατάσταση, θα εμφανίζεται ως ενεργό. Η προεπιλεγμένη πολιτική

αρχείο ρυθμίσεων στο UFW

Οι περισσότεροι χρήστες δεν θα χρειάζεται να ανησυχούν πολύ για την προεπιλεγμένη πολιτική. Ωστόσο, είναι καλύτερο να κατανοήσετε τουλάχιστον τα βασικά αυτών των πολιτικών.

Μια προεπιλεγμένη πολιτική είναι ένα σύνολο κανόνων κανόνων που ελέγχουν τον τρόπο χειρισμού της κυκλοφορίας που δεν αντιστοιχεί ρητά σε άλλους κανόνες. Υπάρχουν τέσσερις προεπιλεγμένες πολιτικές:

  • ΕΙΣΟΔΟΣ—Η κίνηση εισέρχεται στον υπολογιστή.
  • OUTPUT—κυκλοφορία που εξέρχεται από τον υπολογιστή.
  • FORWARD—κυκλοφορία που προωθείται από έναν προορισμό σε άλλο.
  • ΠΟΛΙΤΙΚΗ ΕΦΑΡΜΟΓΗΣ—κυκλοφορία που ορίζεται από την εφαρμογή (και όχι από τη θύρα δικτύου).

Για τους περισσότερους χρήστες, μόνο οι πολιτικές INPUT και OUTPUT θα προβληματίσουν.

Οι προεπιλεγμένες πολιτικές UFW ορίζονται στο αρχείο /etc/default/ufw. Εκδώστε την εντολή. 

  • sudo nano /etc/default/ufw
    και αναζητήστε αυτές τις τέσσερις γραμμές:
    DEFAULT_INPUT_POLICY="DROP"
  • DEFAULT_OUTPUT_POLICY="ΑΠΟΔΟΧΗ"
  • DEFAULT_FORWARD_POLICY="DROP"
  • DEFAULT_APPLICATION_POLICY="ΠΑΡΑΒΕΙΨΗ"

Είναι σημαντικό να γνωρίζετε ότι καθεμία από τις παραπάνω πολιτικές μπορεί να προσαρμοστεί με μια ελαφρώς διαφορετική προεπιλογή.

  • Το INPUT/OUTPUT/FORWARD μπορεί να ρυθμιστεί σε ACCEPT, DROP ή REJECT
  • Η ΕΦΑΡΜΟΓΗ μπορεί να οριστεί σε ΑΠΟΔΟΧΗ, ΑΠΟΡΡΙΨΗ, ΑΠΟΡΡΙΨΗ ή ΠΑΡΑΒΕΙΨΗ

Η διαφορά μεταξύ ΑΠΟΔΟΧΗΣ, ΑΠΟΡΡΙΨΗΣ και ΑΠΟΡΡΙΨΗΣ είναι:

  • ΑΠΟΔΟΧΗ—Να επιτρέπεται η κυκλοφορία μέσω του τείχους προστασίας.
  • ΑΠΟΡΡΙΨΗ—Μην επιτρέψετε την κυκλοφορία μέσω του τείχους προστασίας και στείλτε ένα μήνυμα ICMP που δεν είναι προσβάσιμο από τον προορισμό πίσω στην πηγή αποστολής.
  • DROP—Απαγορεύστε τη διέλευση ενός πακέτου μέσω του τείχους προστασίας και μην στείλετε καμία απάντηση.

Μπορείτε να προσαρμόσετε τις προεπιλεγμένες πολιτικές για να ταιριάζουν στις ανάγκες σας. Εάν αλλάξετε τις πολιτικές στο αρχείο, φορτώστε ξανά τους κανόνες UFW με την εντολή: 

sudo ufw επαναφόρτωση.

Επιτρέποντας την εισερχόμενη κίνηση

Επιτρέπεται η κυκλοφορία SSH στο UFW

Εφόσον πιθανότατα δεν θα χρειαστεί να αλλάξετε την προεπιλεγμένη πολιτική εξερχόμενης κυκλοφορίας, ας εστιάσουμε στο να επιτρέψουμε την εισερχόμενη κυκλοφορία. Ας πούμε, για παράδειγμα, ότι θέλετε να μπορείτε να ασφαλίσετε το κέλυφος στην επιφάνεια εργασίας σας (χρησιμοποιώντας το ssh εντολή) από άλλο μηχάνημα. Για αυτό, θα χρειαστεί να δώσετε εντολή στο UFW να επιτρέπει την εισερχόμενη κίνηση στην τυπική θύρα SSH (θύρα 22). Η εντολή για αυτό θα ήταν: 

sudo ufw επιτρέπω ssh.

Η παραπάνω εντολή θα επέτρεπε σε οποιοδήποτε μηχάνημα στο δίκτυό σας (ή ακόμα και πέρα ​​από το δίκτυό σας, εάν ο δρομολογητής σας έχει ρυθμιστεί ώστε να επιτρέπει την είσοδο εξωτερικής κυκλοφορίας) να έχει πρόσβαση στον υπολογιστή σας, μέσω της θύρας 22.

Επιτρέποντας την κυκλοφορία SSH από μια συγκεκριμένη διεύθυνση IP

Όλα αυτά είναι καλά και καλά, εκτός και αν θέλετε να επιτρέψετε την είσοδο μόνο σε συγκεκριμένους υπολογιστές στο δίκτυό σας. Ας πούμε, για παράδειγμα, ότι θέλετε να επιτρέπεται η είσοδος μόνο σε έναν υπολογιστή — έναν υπολογιστή με τη διεύθυνση IP 192.168.1.162. Για αυτό, η εντολή θα ήταν: 

Το sudo ufw επιτρέπει από το 192.168.1.162 σε οποιαδήποτε θύρα 22.

Ο.

επιτρέπουν από

Η δήλωση καθοδηγεί την UFW ότι αυτό που ακολουθεί είναι η διεύθυνση από την οποία επιτρέπεται η κυκλοφορία. Ο.

σε οποιοδήποτε λιμάνι

δίνει εντολή στο UFW να επιτρέψει την κυκλοφορία στην καθορισμένη θύρα. Στο παραπάνω παράδειγμα, το.

μόνο

υπολογιστής στο δίκτυό σας που θα μπορούσε να ασφαλίσει το κέλυφος στον υπολογιστή σας θα ήταν αυτός στη διεύθυνση IP 192.168.1.162.

Μπορείτε επίσης να αρνηθείτε την κυκλοφορία σε μια καθορισμένη διεπαφή δικτύου. Ας πούμε, για παράδειγμα, το μηχάνημά σας έχει δύο διεπαφές δικτύου:

  • ΕΣΩΤΕΡΙΚΟ—χρησιμοποιώντας τη διεπαφή δικτύου ens5 με το σχήμα διευθύνσεων IP 192.168.1.x.
  • ΕΞΩΤΕΡΙΚΟ—χρησιμοποιώντας διεπαφή δικτύου enp0s3 με σχήμα διευθύνσεων IP 172.217.1.x

Τι γίνεται αν θέλετε να αφήσετε τον κανόνα που επιτρέπει την εισερχόμενη κίνηση ssh στο 192.168.1.162, αλλά να αρνηθείτε όλη την εισερχόμενη κίνηση από την εξωτερική διεπαφή; Για αυτό, η εντολή θα ήταν: 

sudo ufw αρνούνται την είσοδο στο enp0s3 σε οποιαδήποτε θύρα ssh.

Εκδώστε την εντολή.

κατάσταση sudo ufw για να δείτε ότι η κυκλοφορία ssh από το 192.168.1.162 εξακολουθεί να επιτρέπεται, ενώ η κίνηση από την εξωτερική διεπαφή δεν επιτρέπεται. Διαγραφή κανόνων

Μια λίστα κανόνων UFW ανά αριθμό

Εάν διαπιστώσετε ότι έχετε δημιουργήσει κανόνες που προκαλούν προβλήματα με τους υπολογιστές που συνδέονται με το μηχάνημά σας, μπορείτε να διαγράψετε τους κανόνες που δημιουργήσατε. Το πρώτο πράγμα που θέλετε να κάνετε είναι να αναθέσετε στο UFW τους κανόνες σας ανά αριθμό. Για να το κάνετε αυτό, εκδώστε την εντολή: 

sudo ufw κατάσταση αριθμημένη.

Ας υποθέσουμε ότι θέλετε να διαγράψετε τον κανόνα 1. Για να το κάνετε αυτό, εκδώστε την εντολή: 

sudo ufw διαγραφή 1.

Θα σας ζητηθεί να επαληθεύσετε τη διαγραφή του κανόνα. Τύπος y και χρήση Εισαγωγή/Επιστροφή στο πληκτρολόγιό σας για επιβεβαίωση. Εκδώστε την εντολή. 

κατάσταση sudo ufw.