Kuidas installida ja kasutada Linuxi tulemüüri

December 02, 2021
SisseLinux Tarkvara Ja Rakendused

Linux on üks turvalisemaid töölaua- ja serveriplatvorme planeedil. Karbist välja võttes leiate, et enamik Linuxi distributsioone on palju turvalisem kui kumbki Windows või macOS. Tegelikult teenib enamiku lauaarvutite puhul enamiku Linuxi distributsioonide pakutav turvalisus teid hästi. See aga ei tähenda, et peaksite seadmete turvalisust täielikult ignoreerima operatsioonisüsteem mille jaoks olete oma andmed usaldanud. Tegelikult peaks teil olema teada, kuidas Linuxi tulemüüriga töötada.

Mis on tulemüür?

Lihtsamalt öeldes on tulemüür arvuti alamsüsteem, mis blokeerib teatud võrguliikluse arvutisse sisenemise või sealt väljumise. Tulemüürid võivad olla väga piiravad (lubavad väga vähe sisse ja/või välja) või väga lubavad (lubavad üsna vähe sisse ja/või välja). Tulemüüre on kahte tüüpi:

Riistvara – füüsilised seadmed, mille eesmärk on ainult teie võrgu (ja võrgus olevate arvutite) kaitsmine.
Tarkvara – üksikute arvutite alamsüsteemid, mis kaitsevad ainult hostimismasinat.

Enamik koduvõrke sõltub nende kahe kombinatsioonist. Riistvaralahendus on tavaliselt teie juurutatud modem/ruuter

ISP. Sageli on need seadmed väga piiravad. Tarkvara osas kasutab teie lauaarvuti tarkvara tulemüüri. Üks selline tulemüür, mida saab paigaldada ja kasutada paljudele Linux distributsioonid (nagu Ubuntu ja selle tuletised), on Lihtne tulemüür (UFW). Lihtne tulemüür on täpselt selline, nagu see kõlab. See on lihtne tööriist, mis muudab võrguliikluse blokeerimise/lubamise haldamise üsna lihtsaks. UFW on ainult käsurea tööriist, mis aitab teie Linuxi arvutit kaitsta suurepäraselt.

UFW paigaldamine

Nii Ubuntu kui ka enamiku Ubuntu derivaatide puhul on UWF juba installitud. Et teada saada, kas UFW on teie arvutisse installitud, avage terminaliaken ja andke käsk:

sudo ufw olek.

See käsk annab (tõenäoliselt) teada, et UFW on passiivne. Kui leiate, et UFW pole installitud, andke käsk.

sudo apt-get install ufw -y.

UFW aktiveerimine

Kuna UFW on vaikimisi passiivne, soovite selle aktiveerida. Selleks andke käsk.

sudo ufw enable Nüüd, kui kontrollite olekut, kuvatakse see aktiivsena. Vaikepoliitika

Enamik kasutajaid ei pea vaikepoliitika pärast liiga palju muretsema. Siiski on kõige parem mõista vähemalt nende eeskirjade põhitõdesid.

Vaikepoliitika on reeglite kogum, mis juhib seda, kuidas käsitleda liiklust, mis ei ühti selgesõnaliselt ühegi teise reegliga. Vaikepoliitikat on neli:

SISEND – arvutisse sisenev liiklus.
VÄLJUND – arvutist väljuv liiklus.
EDASI – liiklus, mis suunatakse ühest sihtkohast teise.
RAKENDUSPOLIITIKA – liiklus, mis on määratletud rakenduse (ja mitte võrgupordi) järgi.

Enamiku kasutajate jaoks on murettekitavad ainult SISEND- ja VÄLJUND-poliitikad.

UFW vaikepoliitikad määratakse failis /etc/default/ufw. Andke käsk välja.

```
sudo nano /etc/default/ufw
```
ja otsige neid nelja rida:
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="AKCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="JÄTA vahele"

Oluline on teada, et iga ülaltoodud poliitikat saab kohandada veidi erineva vaikeseadega.

SISEND/VÄLJANDUS/EDASITAMINE saab seada olekusse ACCEPT, Drop või REJECT
APPLICATION saab seada olekusse NÕUSTU, KÜLGADA, KÜLDA või JÄTA JÄTA

Erinevused ACCEPT, DROP ja RJECT vahel on järgmised:

ACCEPT – lubage liiklus läbi tulemüüri.
REJECT – ärge lubage liiklust tulemüüri kaudu ja saatke saatvale allikale tagasi ICMP-i sihtkoht kättesaamatu sõnum.
DROP – keelake paketi tulemüürist läbimine ja ei saada vastust.

Saate kohandada vaikereegleid vastavalt oma vajadustele. Kui muudate failis reegleid, laadige UFW-reeglid uuesti käsuga:

sudo ufw laadige uuesti.

Sissetuleva liikluse lubamine

Kuna tõenäoliselt ei pea te väljamineva liikluse vaikepoliitikat muutma, keskendume sissetuleva liikluse lubamisele. Oletagem näiteks, et soovite saada kesta oma töölauale turvaliselt (kasutades ssh käsk) teisest masinast. Selleks peate andma UFW-le käsu lubada sissetulevat liiklust standardses SSH-pordis (port 22). Selle käsk oleks järgmine:

sudo ufw luba ssh.

Ülaltoodud käsk võimaldab igal teie võrgus oleval masinal (või isegi väljaspool võrku, kui teie ruuter on konfigureeritud välist liiklust lubama) juurdepääsu teie arvutile pordi 22 kaudu.

SSH-liikluse lubamine konkreetselt IP-aadressilt

See kõik on hea, välja arvatud juhul, kui soovite lubada ainult teatud võrgus olevaid arvuteid. Oletame näiteks, et soovite lubada ainult ühe arvuti – arvuti IP-aadressiga 192.168.1.162. Selleks oleks käsk järgmine:

sudo ufw lubab alates 192.168.1.162 mis tahes porti 22.

The.

luba alates

avaldus annab UFW-le käsu, et järgneb aadress, kust liiklust lubada. The.

mis tahes sadamasse

annab UFW-le korralduse lubada liiklus määratud pordis. Ülaltoodud näites on.

ainult

teie võrgus olev arvuti, millel oleks luba teie arvutisse turvata, oleks see, mille IP-aadress on 192.168.1.162.

Samuti saate teatud võrguliidese liiklust keelata. Oletame näiteks, et teie masinal on kaks võrguliidest:

SISEMINE — võrguliidese ens5 kasutamine IP-aadressi skeemiga 192.168.1.x.
VÄLINE — võrguliidese enp0s3 kasutamine IP-aadressi skeemiga 172.217.1.x

Mida teha, kui soovite jätta sissetulevat ssh-liiklust lubava reegli 192.168.1.162-le, kuid keelata kogu välise liidese sissetuleva liikluse? Selleks oleks käsk järgmine:

sudo ufw deny sisse enp0s3 mis tahes pordi ssh.

Andke käsk välja.

sudo ufw olek, et näha, et ssh-liiklus alates 192.168.1.162 on endiselt lubatud, samas kui välise liidese liiklus on keelatud. Reeglite kustutamine

Kui leiate, et olete loonud reeglid, mis põhjustavad probleeme arvutiga ühenduse loomisel, on võimalik loodud reeglid kustutada. Esimene asi, mida soovite teha, on lasta UFW-l oma reeglid numbrite järgi loetleda. Selleks andke käsk:

sudo ufw olek nummerdatud.

Oletame, et soovite reegli number 1 kustutada. Selleks andke käsk:

sudo ufw kustuta 1.

Teil palutakse kinnitada reegli kustutamine. Tüüp y ja kasutada Sisesta/Tagasi kinnitamiseks klaviatuuril. Andke käsk välja.

sudo ufw olek.