Zapri
Meni

Kako namestiti in uporabljati požarni zid Linux

Linux je ena najbolj varnih namiznih in strežniških platform na planetu. Iz škatle boste ugotovili, da je večina distribucij Linuxa veliko bolj varna od obeh Windows oz macOS. Pravzaprav vam bo za večino primerov uporabe namizja dobro služila varnost, ki jo ponuja večina distribucij Linuxa. Vendar to ne pomeni, da morate popolnoma prezreti varnost operacijski sistem za katere ste zaupali svoje podatke. Pravzaprav bi bilo treba vedeti, kako delati s požarnim zidom Linux.

Kaj je požarni zid?

Preprosto povedano, požarni zid je podsistem v računalniku, ki preprečuje vstop določenemu omrežnemu prometu v ali iz vašega računalnika. Požarne zidove je mogoče ustvariti tako, da so zelo omejujoči (dopuščajo zelo malo vstopa in/ali izstopa) ali zelo dovoljen (dopuščajo kar nekaj vstopa in/ali izhoda). Požarni zidovi so na voljo v dveh različnih vrstah:

  • Strojna oprema – fizične naprave, ki služijo samo namenu zaščite vašega omrežja (in računalnikov v vašem omrežju).
  • Programska oprema – podsistemi na posameznih računalnikih, ki ščitijo samo gostiteljski stroj.

Večina domačih omrežij je odvisna od kombinacije obeh. Strojna rešitev je običajno modem/usmerjevalnik, ki ga je namestil vaš ponudnik internetnih storitev. Velikokrat so te naprave nastavljene tako, da so zelo omejevalne. Na koncu programske opreme vaš namizni računalnik uporablja programski požarni zid. En tak požarni zid, ki ga je mogoče namestiti in uporabljati na mnogih Linux distribucij (kot je Ubuntu in njegovi derivati), je Nezapleten požarni zid (UFW). Nezapleteni požarni zid je točno tako, kot se sliši. To je preprosto orodje, zaradi katerega je upravljanje blokiranja/dovolitve omrežnega prometa precej preprosto. UFW je orodje samo v ukazni vrstici, ki odlično pomaga pri zaščiti vašega računalnika Linux.

Namestitev UFW

UFW statusni ukazni zaslon

Tako v Ubuntu kot na večini izpeljank Ubuntu je UWF že nameščen. Če želite izvedeti, ali je UFW nameščen na vašem računalniku, odprite terminalsko okno in izdajte ukaz: 

sudo ufw status.

Ta ukaz bo (najverjetneje) sporočil, da je UFW neaktiven. Če ugotovite, da UFW ni nameščen, izdajte ukaz. 

sudo apt-get install ufw -y.

Aktiviranje UFW

Omogočanje požarnega zidu UFW

Ker je UFW privzeto neaktiven, ga boste želeli aktivirati. Če želite to narediti, izdajte ukaz.

sudo ufw enableNow, ko preverite stanje, se bo prikazalo kot aktivno. Privzeta politika

konfiguracijsko datoteko v UFW

Večini uporabnikov ne bo treba preveč skrbeti za privzeto politiko. Vendar pa je najbolje razumeti vsaj osnove teh politik.

Privzeta politika je nabor pravil pravil, ki nadzorujejo, kako ravnati s prometom, ki se izrecno ne ujema z nobenim drugim pravilom. Obstajajo štirje privzeti pravilniki:

  • INPUT—promet, ki prihaja v računalnik.
  • IZHOD—promet, ki uhaja iz računalnika.
  • NAPREJ – promet, ki se posreduje z enega cilja na drugega.
  • POLITIKA APLIKACIJE – promet, ki ga definira aplikacija (in ne omrežna vrata).

Za večino uporabnikov bosta zaskrbljujoči le pravilniki INPUT in OUTPUT.

Privzeti pravilniki UFW so nastavljeni v datoteki /etc/default/ufw. Izdajte ukaz. 

  • sudo nano /etc/default/ufw
    in poiščite te štiri vrstice:
    DEFAULT_INPUT_POLICY="DROP"
  • DEFAULT_OUTPUT_POLICY="SPREJEM"
  • DEFAULT_FORWARD_POLICY="DROP"
  • DEFAULT_APPLICATION_POLICY="PRESKOČI"

Pomembno je vedeti, da je vsak od zgornjih pravilnikov mogoče prilagoditi z nekoliko drugačno privzeto vrednostjo.

  • INPUT/OUTPUT/FORWARD je mogoče nastaviti na ACCEPT, DROP ali REJECT
  • APPLICATION lahko nastavite na ACCEPT, DROP, REJECT ali SKIP

Razlika med ACCEPT, DROP in REJECT je:

  • ACCEPT—Dovoli promet skozi požarni zid.
  • ZAVRNI—Ne dovoli prometa skozi požarni zid in pošlji sporočilo ICMP, ki je nedosegljivo za cilj, nazaj viru pošiljanja.
  • DROP – prepovejte paketu prehod skozi požarni zid in ne pošljite odgovora.

Privzete pravilnike lahko prilagodite svojim potrebam. Če spremenite pravilnike v datoteki, znova naložite pravila UFW z ukazom: 

sudo ufw ponovno naloži.

Omogočanje dohodnega prometa

Omogočanje prometa SSH v UFW

Ker vam verjetno ne bo treba spreminjati privzete politike odhodnega prometa, se osredotočimo na dovolitev dohodnega prometa. Recimo, da želite na primer zaščititi lupino na namizju (z uporabo ssh ukaz) iz drugega stroja. Za to bi morali UFW naročiti, da dovoli dohodni promet na standardnih vratih SSH (vrata 22). Ukaz za to bi bil: 

sudo ufw dovoli ssh.

Zgornji ukaz bi vsakemu računalniku v vašem omrežju (ali celo zunaj vašega omrežja, če je vaš usmerjevalnik konfiguriran tako, da omogoča zunanji promet) omogočil dostop do vašega računalnika prek vrat 22.

Omogočanje prometa SSH z določenega naslova IP

To je vse v redu in dobro, razen če želite dovoliti samo določene računalnike v vašem omrežju. Recimo, da želite dovoliti samo en računalnik – računalnik z naslovom IP 192.168.1.162. Za to bi bil ukaz: 

sudo ufw dovoli iz 192.168.1.162 na katera koli vrata 22.

The.

dovoli od

izjava UFW naroči, da sledi naslov, s katerega se dovoli promet. The.

v katero koli pristanišče

naroči UFW, naj dovoli promet na določenih vratih. V zgornjem primeru je.

samo

računalnik v vašem omrežju, ki bi lahko zavaroval lupino v vaš računalnik, bi bil tisti z naslovom IP 192.168.1.162.

Prav tako lahko zavrnete promet do določenega omrežnega vmesnika. Recimo, da ima vaša naprava dva omrežna vmesnika:

  • INTERNAL—uporablja omrežni vmesnik ens5 s shemo naslovov IP 192.168.1.x.
  • ZUNANJI – z uporabo omrežnega vmesnika enp0s3 s shemo naslovov IP 172.217.1.x

Kaj pa, če želite zapustiti pravilo, ki dovoljuje dohodni promet ssh na 192.168.1.162, vendar zavrniti ves dohodni promet iz zunanjega vmesnika? Za to bi bil ukaz: 

sudo ufw deny in na enp0s3 na katera koli vrata ssh.

Izdajte ukaz.

sudo ufw status, da vidite, da je promet ssh iz 192.168.1.162 še vedno dovoljen, medtem ko je promet iz zunanjega vmesnika zavrnjen. Brisanje pravil

Seznam pravil UFW po številkah

Če ugotovite, da ste ustvarili pravila, ki povzročajo težave pri povezovanju računalnikov z vašo napravo, je mogoče izbrisati pravila, ki ste jih ustvarili. Prva stvar, ki jo želite narediti, je, da UFW navede vaša pravila po številkah. Če želite to narediti, izdajte ukaz: 

sudo ufw status oštevilčen.

Recimo, da želite izbrisati pravilo številka 1. Če želite to narediti, izdajte ukaz: 

sudo ufw izbriši 1.

Pozvani boste, da preverite izbris pravila. Vrsta y in uporabite Vstop / Vrnitev na tipkovnici za potrditev. Izdajte ukaz. 

sudo ufw status.