Aizvērt
Izvēlne

Kā instalēt un lietot Linux ugunsmūri

Linux ir viena no drošākajām galddatoru un serveru platformām uz planētas. Vairums Linux distribūciju ir daudz drošākas par jebkuru citu Windows vai macOS. Faktiski lielākajā daļā darbvirsmas lietošanas gadījumu drošība, kas tiek piedāvāta lielākajā daļā Linux izplatījumu, jums noderēs. Tomēr tas nenozīmē, ka jums vajadzētu pilnībā ignorēt ierīces drošību operētājsistēma par kuru esat uzticējis savus datus. Patiesībā jums būtu jāzina, kā strādāt ar Linux ugunsmūri.

Kas ir ugunsmūris?

Vienkārši sakot, ugunsmūris ir datora apakšsistēma, kas bloķē noteiktas tīkla trafika iekļūšanu datorā vai no tā. Ugunsmūrus var izveidot tā, lai tie būtu ļoti ierobežojoši (ļoti maz ielaižot un/vai izejot) vai ļoti pieļaujamus (ielaižot un/vai izejot diezgan maz). Ugunsmūri ir divu veidu:

  • Aparatūra — fiziskas ierīces, kas kalpo tikai jūsu tīkla (un tīkla datoru) aizsardzībai.
  • Programmatūra — apakšsistēmas atsevišķos datoros, kas aizsargā tikai mitināšanas iekārtu.

Lielākā daļa mājas tīklu ir atkarīgi no abu kombinācijas. Aparatūras risinājums parasti ir jūsu izvietotais modems/maršrutētājs

ISP. Daudzas reizes šīs ierīces ir iestatītas tā, lai tās būtu ļoti ierobežojošas. Runājot par programmatūru, jūsu galddators izmanto programmatūras ugunsmūri. Viens no šādiem ugunsmūriem, ko var instalēt un izmantot daudzos Linux distributīvi (piemēram, Ubuntu un tā atvasinājumi), ir Nesarežģīts ugunsmūris (UFW). Nesarežģīts ugunsmūris ir tieši tāds, kāds tas izklausās. Tas ir vienkāršs rīks, kas padara tīkla trafika bloķēšanas/atļaušanas pārvaldību diezgan vienkāršu. UFW ir tikai komandrindas rīks, kas veic izcilu darbu, palīdzot aizsargāt jūsu Linux datoru.

UFW uzstādīšana

UFW statusa komandu ekrāns

Gan Ubuntu, gan lielākajā daļā Ubuntu atvasinājumu UWF jau ir instalēts. Lai uzzinātu, vai datorā ir instalēts UFW, atveriet termināļa logu un izdodiet komandu: 

sudo ufw statuss.

Šī komanda (visticamāk) ziņos, ka UFW ir neaktīvs. Ja atklājat, ka UFW nav instalēts, izdodiet komandu. 

sudo apt-get install ufw -y.

UFW aktivizēšana

UFW ugunsmūra iespējošana

Tā kā UFW pēc noklusējuma ir neaktīvs, vēlēsities to aktivizēt. Lai to izdarītu, izdodiet komandu.

sudo ufw enableTagad, pārbaudot statusu, tas tiks rādīts kā aktīvs. Noklusējuma politika

konfigurācijas fails UFW

Lielākajai daļai lietotāju nebūs pārāk jāuztraucas par noklusējuma politiku. Tomēr vislabāk ir vismaz izprast šo politiku pamatus.

Noklusējuma politika ir kārtulu kārtulu kopa, kas nosaka, kā apstrādāt trafiku, kas nepārprotami neatbilst nevienam citam kārtulam. Ir četras noklusējuma politikas:

  • IEVADE — datorā ienākošā satiksme.
  • OUTPUT — satiksme iziet no datora.
  • FORWARD — satiksme, kas tiek pārsūtīta no viena galamērķa uz citu.
  • LIETOŠANAS POLITIKA — trafiks, ko nosaka lietojumprogramma (nevis tīkla ports).

Lielākajai daļai lietotāju bažas radīs tikai INPUT un OUTPUT politikas.

Failā ir iestatītas noklusējuma UFW politikas /etc/default/ufw. Izdod komandu. 

  • sudo nano /etc/default/ufw
    un meklējiet šīs četras rindiņas:
    DEFAULT_INPUT_POLICY="DROP"
  • DEFAULT_OUTPUT_POLICY="ACCEPT"
  • DEFAULT_FORWARD_POLICY="DROP"
  • DEFAULT_APPLICATION_POLICY="IZLAIST"

Ir svarīgi zināt, ka katru no iepriekš minētajām politikām var pielāgot ar nedaudz atšķirīgu noklusējuma iestatījumu.

  • IEVADE/IZVĒTE/FORWARD var iestatīt uz ACCEPT, DROP vai RJECT
  • APPLICATION var iestatīt uz ACCEPT, DROP, RJECT vai IZLAIST

Atšķirības starp ACCEPT, DROP un RJECT ir šādas:

  • ACCEPT — atļaut satiksmi caur ugunsmūri.
  • NORAIDĪT — neatļaujiet trafiku caur ugunsmūri un nosūtiet ICMP nesasniedzamu ziņojumu atpakaļ uz sūtīšanas avotu.
  • DROP — aizliedziet paketei iziet cauri ugunsmūrim un nesūtiet atbildi.

Varat pielāgot noklusējuma politikas atbilstoši savām vajadzībām. Ja maināt failā esošās politikas, atkārtoti ielādējiet UFW noteikumus ar komandu: 

sudo ufw pārlādēt.

Ienākošās satiksmes atļaušana

SSH trafika atļaušana UFW

Tā kā, iespējams, jums nebūs jāmaina noklusējuma izejošās satiksmes politika, pievērsīsimies ienākošās trafika atļaušanai. Pieņemsim, piemēram, ka vēlaties nodrošināt čaulu savā darbvirsmā (izmantojot ssh komanda) no citas mašīnas. Lai to izdarītu, jums ir jānorāda UFW atļaut ienākošo trafiku standarta SSH portā (ports 22). Komanda tam būtu šāda: 

sudo ufw atļauj ssh.

Iepriekš minētā komanda ļaus jebkurai iekārtai jūsu tīklā (vai pat ārpus tīkla, ja maršrutētājs ir konfigurēts tā, lai atļautu ārēju trafiku) piekļūt jūsu datoram, izmantojot 22. portu.

SSH trafika atļaušana no noteiktas IP adreses

Tas viss ir labi, ja vien nevēlaties atļaut tikai konkrētus datorus savā tīklā. Pieņemsim, piemēram, vēlaties atļaut tikai vienu datoru — datoru ar IP adresi 192.168.1.162. Šim nolūkam komanda būtu šāda: 

sudo ufw ļauj no 192.168.1.162 uz jebkuru portu 22.

The.

atļaut no

paziņojums norāda UFW, ka tālāk ir norādīta adrese, no kuras atļaut satiksmi. The.

uz jebkuru ostu

uzdod UFW atļaut satiksmi norādītajā ostā. Iepriekš minētajā piemērā.

tikai

dators jūsu tīklā, kuram būtu atļauts nodrošināt čaulu jūsu datorā, būtu tas, kura IP adrese ir 192.168.1.162.

Varat arī liegt trafiku uz noteiktu tīkla interfeisu. Pieņemsim, piemēram, jūsu iekārtai ir divas tīkla saskarnes:

  • IEKŠĒJS — izmantojot tīkla interfeisu ens5 ar IP adrešu shēmu 192.168.1.x.
  • ĀRĒJS — izmantojot tīkla interfeisu enp0s3 ar IP adrešu shēmu 172.217.1.x

Ko darīt, ja vēlaties atstāt kārtulu, kas atļauj ienākošo ssh trafiku 192.168.1.162, bet liegt visu ienākošo trafiku no ārējā interfeisa? Šim nolūkam komanda būtu šāda: 

sudo ufw noliegt uz enp0s3 uz jebkuru portu ssh.

Izdod komandu.

sudo ufw statusu, lai redzētu, ka ssh trafiks no 192.168.1.162 joprojām ir atļauts, savukārt trafika no ārējā interfeisa ir liegta. Noteikumu dzēšana

UFW noteikumu saraksts pēc numura

Ja atklājat, ka esat izveidojis kārtulas, kas rada problēmas ar datoru savienojumu ar jūsu ierīci, varat dzēst izveidotās kārtulas. Pirmā lieta, ko vēlaties darīt, ir likt UFW uzskaitīt savus noteikumus pēc numura. Lai to izdarītu, izdodiet komandu: 

sudo ufw statuss numurēts.

Pieņemsim, ka vēlaties dzēst kārtulu Nr. 1. Lai to izdarītu, izdodiet komandu: 

sudo ufw izdzēst 1.

Jums tiks piedāvāts pārbaudīt kārtulas dzēšanu. Tips y un izmantot Ievadīt/Atgriezties tastatūrā, lai apstiprinātu. Izdod komandu. 

sudo ufw statuss.