Linux je jednou z nejbezpečnějších desktopových a serverových platforem na planetě. Hned po vybalení najdete většinu distribucí Linuxu mnohem bezpečnější než Windows nebo macOS. Ve skutečnosti vám pro většinu případů použití stolního počítače dobře poslouží zabezpečení nabízené ve většině distribucí Linuxu. To však neznamená, že byste měli zcela ignorovat zabezpečení operačního systému, pro který jste svěřili svá data. Ve skutečnosti by bylo na vás, abyste věděli, jak pracovat s firewallem Linuxu.
Co je to firewall?
Jednoduše řečeno, brána firewall je podsystém v počítači, který blokuje vstup určitého síťového provozu do počítače nebo z něj. Brány firewall mohou být vytvořeny tak, aby byly velmi omezující (umožňující velmi málo vstupů a/nebo výstupů) nebo velmi permisivní (umožňující poměrně dost vstupů a výstupů). Firewally se dodávají ve dvou různých typech:
- Hardware – fyzická zařízení, která slouží pouze k ochraně vaší sítě (a počítačů ve vaší síti).
- Software – subsystémy na jednotlivých počítačích, které chrání pouze hostitelský počítač.
Většina domácích sítí závisí na kombinaci těchto dvou. Hardwarovým řešením je obecně modem/router nasazený vaším ISP. Mnohokrát jsou tato zařízení nastavena tak, aby byla velmi omezující. Pokud jde o software, váš stolní počítač využívá softwarovou bránu firewall. Jedním takovým firewallem, který lze nainstalovat a používat v mnoha distribucích Linuxu (například v Ubuntu a jeho derivátech), je Uncomplicated Firewall (UFW). Nekomplikovaný firewall přesně zní. Je to jednoduchý nástroj, díky kterému je správa blokování/povolení síťového provozu poměrně jednoduchá. UFW je nástroj pouze pro příkazový řádek, který odvádí vynikající práci při zabezpečení vašeho počítače se systémem Linux.
Instalace UFW
U Ubuntu i většiny derivátů Ubuntu je UWF již nainstalován. Chcete -li zjistit, zda je na vašem počítači nainstalován UFW, otevřete okno terminálu a zadejte příkaz: sudo ufw status
type = „code“> Tento příkaz bude (s největší pravděpodobností) hlásit, že UFW je neaktivní. Pokud zjistíte, že UFW není nainstalován, zadejte příkaz sudo apt -get install ufw -y
zadejte = „kód“>
Aktivace UFW
Protože UFW je ve výchozím nastavení neaktivní, budete ho chtít aktivovat. Chcete -li to provést, zadejte příkaz
sudo ufw enable Nyní, když zkontrolujete stav, zobrazí se jako aktivní. Výchozí zásady
Většina uživatelů se nebude muset příliš starat o výchozí zásady. Nejlepší je však alespoň porozumět základům těchto zásad. Výchozí zásada je sada pravidel pravidel, která řídí, jak zpracovat provoz, který výslovně neodpovídá žádným jiným pravidlům. Existují čtyři výchozí zásady:
- VSTUP – provoz přicházející do počítače.
- VÝSTUP — provoz směřující z počítače.
- FORWARD – provoz, který je přesměrován z jednoho cíle do druhého.
- POLITIKA APLIKACE – provoz definovaný aplikací (a nikoli síťovým portem).
Pro většinu uživatelů budou znepokojující pouze zásady VSTUP a VÝSTUP. V souboru jsou nastaveny výchozí zásady UFW /etc/default/ufw. Zadejte příkaz
- sudo nano/etc/default/ufw
a podívejte se na tyto čtyři řádky:
DEFAULT_INPUT_POLICY = „DROP“ - DEFAULT_OUTPUT_POLICY = „PŘIJMOUT“
- DEFAULT_FORWARD_POLICY = „DROP“
- DEFAULT_APPLICATION_POLICY = „SKIP“
Je důležité vědět, že každou z výše uvedených zásad lze upravit s mírně odlišným výchozím nastavením.
- INPUT/OUTPUT/FORWARD lze nastavit na ACCEPT, DROP nebo REJECT
- APLIKACI lze nastavit na ACCEPT, DROP, REJECT nebo SKIP
Rozdíl mezi ACCEPT, DROP a REJECT je:
- PŘIJMOUT – Povolte provoz přes bránu firewall.
- ODMÍTNOUT-Nepovolujte provoz přes bránu firewall a odešlete zprávu ICMP s nedosažitelným cílem zpět do odesílajícího zdroje.
- DROP – Zablokujte paketu průchod bránou firewall a neposílejte žádnou odpověď.
Výchozí zásady můžete upravit tak, aby vyhovovaly vašim potřebám. Pokud změníte zásady v souboru, znovu načtěte pravidla UFW pomocí příkazu: sudo ufw reload
zadejte = „kód“>
Povolení příchozího provozu
Protože pravděpodobně nebudete muset měnit výchozí zásady odchozího provozu, zaměřme se na povolení příchozího provozu. Řekněme například, že chcete mít možnost zabezpečit shell na ploše (pomocí ssh příkaz) z jiného počítače. K tomu budete potřebovat pokyn UFW, aby povolil příchozí provoz na standardním portu SSH (port 22). Příkaz k tomu by byl: sudo ufw allow ssh
type = „code“> Výše uvedený příkaz by umožnil jakémukoli počítači ve vaší síti (nebo i mimo vaši síť, pokud je váš směrovač nakonfigurován tak, aby umožňoval externí přenos) přístup k vašemu počítači prostřednictvím portu 22.
To je vše v pořádku, pokud nechcete ve své síti povolit pouze konkrétní počítače. Řekněme například, že chcete povolit vstup pouze jednoho počítače – počítače s IP adresou 192.168.1.162. K tomu by byl příkaz: sudo ufw allow from 192.168.1.162 to any port 22
typ = „kód“>
povolit od
prohlášení instruuje UFW, že následuje adresa, ze které bude povolen provoz. The
do jakéhokoli přístavu
instruuje UFW, aby povolil provoz zadaný port. Ve výše uvedeném příkladu
pouze
počítač ve vaší síti, kterému by bylo umožněno zabezpečit shell do vašeho počítače, by byl ten na adrese IP 192.168.1.162. Můžete také odmítnout provoz na zadaném síťovém rozhraní. Řekněme například, že váš počítač má dvě síťová rozhraní:
- INTERNÍ – pomocí síťového rozhraní ens5 se schématem IP adres 192.168.1.x.
- EXTERNÍ – pomocí síťového rozhraní enp0s3 se schématem IP adres 172.217.1.x
Co když chcete ponechat pravidlo umožňující příchozí provoz ssh na 192.168.1.162, ale odmítnout veškerý příchozí provoz z externího rozhraní? K tomu by byl příkaz: sudo ufw odepřít v enp0s3 na jakýkoli port ssh
type = „code“> Zadejte příkaz
sudo ufw status to see that ssh traffic from 192.168.1.162 is still allowed, while traffic from the external interface is denied.
Pokud zjistíte, že jste vytvořili pravidla, která způsobují problém s připojením počítačů k vašemu počítači, je možné vámi vytvořená pravidla odstranit. První věc, kterou chcete udělat, je mít UFW seznam vašich pravidel podle čísla. Chcete -li to provést, zadejte příkaz: sudo ufw status numbered
type = „code“> Řekněme, že chcete odstranit pravidlo číslo 1. Chcete -li to provést, zadejte příkaz: sudo ufw delete 1
type = „code“> Budete vyzváni k ověření odstranění pravidla. Typ y a používat Enter/Return potvrďte na klávesnici. Zadejte příkaz sudo ufw status
zadejte = „kód“>