01.- Firewall? en Ubuntu 18.04 con UFW
Innholdsfortegnelse:
- Forutsetninger
- Installer UFW
- Sjekk UFW-status
- UFW-standardpolicyer
- Søknadsprofiler
- Tillat SSH-tilkoblinger
- Aktiver UFW
- Tillat tilkoblinger på andre porter
- Åpen port 80 - HTTP
- Åpen port 443 - HTTPS
- Åpen port 8080
- Tillat portområder
- Tillat spesifikke IP-adresser
- Tillat spesifikke IP-adresser på den spesifikke porten
- Tillat undernett
- Tillat tilkoblinger til et spesifikt nettverksgrensesnitt
- Nekt forbindelser
- Slett UFW-regler
- Deaktiver UFW
- Tilbakestill UFW
- Konklusjon
En riktig konfigurert brannmur er en av de viktigste aspektene ved generell systemsikkerhet. Ubuntu kommer som standard med et brannmurkonfigurasjonsverktøy kalt UFW (Ukomplisert brannmur). UFW er en brukervennlig front-end for å håndtere brannmurregler for iptables og hovedmålet er å gjøre det lettere å administrere iptables eller som navnet sier ukomplisert.
Forutsetninger
Før du begynner med denne opplæringen, må du sørge for at du er logget inn på serveren din med en brukerkonto med sudo-rettigheter eller med rotbrukeren. Den beste fremgangsmåten er å kjøre administrative kommandoer som sudo-bruker i stedet for root. Hvis du ikke har en sudo-bruker på Ubuntu-systemet ditt, kan du opprette en ved å følge disse instruksjonene.
Installer UFW
Ukomplisert brannmur skal installeres som standard i Ubuntu 18.04, men hvis den ikke er installert på systemet ditt, kan du installere pakken ved å skrive:
Sjekk UFW-status
Når installasjonen er fullført, kan du sjekke statusen til UFW med følgende kommando:
sudo ufw status verbose
UFW er deaktivert som standard. Hvis du aldri har aktivert UFW før, vil utskriften se slik ut:
Status: inactive
Hvis UFW er aktivert, vil utdataene se ut som følgende:
UFW-standardpolicyer
Som standard vil UFW blokkere alle innkommende tilkoblinger og tillate alle utgående tilkoblinger. Dette betyr at alle som prøver å få tilgang til serveren din ikke vil kunne koble til med mindre du spesifikt åpner porten, mens alle applikasjoner og tjenester som kjører på serveren din vil kunne få tilgang til omverdenen.
Standardpolicyene er definert i filen
/etc/default/ufw
og kan endres ved å bruke
sudo ufw default
Brannmurretningslinjer er grunnlaget for å bygge mer detaljerte og brukerdefinerte regler. I de fleste tilfeller er de opprinnelige UFW-standardpolicyene et godt utgangspunkt.
Søknadsprofiler
Når du installerer en pakke med
apt
kommandoen, vil den legge til en applikasjonsprofil i
/etc/ufw/applications.d
. Profilen beskriver tjenesten og inneholder UFW-innstillinger.
Du kan liste alle tilgjengelige applikasjonsprofiler på serveren din ved å skrive:
sudo ufw app list
Avhengig av pakkene som er installert på systemet ditt, ser utdataene ut på følgende måte:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
For å finne mer informasjon om en spesifikk profil og inkluderte regler, bruk følgende kommando:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
Som du ser fra utgangen over 'Nginx Full' -profilen åpner port
80
og
443
.
Tillat SSH-tilkoblinger
Før du aktiverer UFW-brannmuren, må vi legge til en regel som tillater innkommende SSH-tilkoblinger. Hvis du kobler til serveren din fra et eksternt sted, noe som nesten alltid er tilfelle, og du aktiverer UFW-brannmuren før du eksplisitt tillater innkommende SSH-tilkoblinger, vil du ikke lenger kunne koble til Ubuntu-serveren.
For å konfigurere UFW-brannmuren slik at den tillater innkommende SSH-tilkoblinger, skriver du følgende kommando:
sudo ufw allow ssh
Rules updated Rules updated (v6)
Hvis du endret SSH-porten til en tilpasset port i stedet for porten 22, må du åpne porten.
Hvis din ssh-demon for eksempel lytter på port
4422
, kan du bruke følgende kommando for å tillate tilkoblinger på den porten:
Aktiver UFW
Nå som UFW-brannmuren din er konfigurert til å tillate innkommende SSH-tilkoblinger, kan vi aktivere den ved å skrive:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Du vil bli advart om at aktivering av brannmuren kan forstyrre eksisterende ssh-tilkoblinger, bare skriv
y
og trykk
Enter
.
Tillat tilkoblinger på andre porter
Avhengig av applikasjonene som kjører på serveren din og dine spesifikke behov, må du også gi innkommende tilgang til noen andre porter.
Nedenfor viser vi noen eksempler på hvordan du tillater innkommende forbindelser til noen av de vanligste tjenestene:
Åpen port 80 - HTTP
HTTP-tilkoblinger kan tillates med følgende kommando:
sudo ufw allow
i stedet for http kan du bruke portnummeret, 80:
sudo ufw allow 80/tcp
eller du kan bruke applikasjonsprofilen, i dette tilfellet 'Nginx
Åpen port 443 - HTTPS
HTTP-tilkoblinger kan tillates med følgende kommando:
sudo ufw allow
For å oppnå det samme i stedet for
https
profil kan du bruke portnummeret,
443
:
sudo ufw allow 443/tcp
eller du kan bruke applikasjonsprofilen 'Nginx
Åpen port 8080
Tillat portområder
I stedet for å gi tilgang til enkeltporter, lar UFW oss tillate tilgang til portområder. Når du tillater portområder med UFW, må du spesifisere protokollen, enten
tcp
eller
udp
. Hvis du for eksempel vil tillate porter fra
7100
til
7200
på både
tcp
og
udp
, kjører du følgende kommando:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Tillat spesifikke IP-adresser
For å tillate tilgang på alle porter fra din hjemmemaskin med IP-adresse 64.63.62.61, spesifiser
from
etterfulgt av IP-adressen du vil hvitliste:
sudo ufw allow from 64.63.62.61
Tillat spesifikke IP-adresser på den spesifikke porten
For å tillate tilgang på en spesifikk port, la oss si port 22 fra arbeidsmaskinen din med IP-adresse 64.63.62.61, bruk
to any port
etterfulgt av portnummer:
sudo ufw allow from 64.63.62.61 to any port 22
Tillat undernett
Kommandoen for å tillate tilkobling til et subnett av IP-adresser er den samme som når du bruker en enkel IP-adresse, den eneste forskjellen er at du trenger å spesifisere nettmasken. Hvis du for eksempel vil tillate tilgang for IP-adresser fra 192.168.1.1 til 192.168.1.254 til port 3360 (MySQL), kan du bruke denne kommandoen:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Tillat tilkoblinger til et spesifikt nettverksgrensesnitt
For å tillate tilgang på en bestemt port, la oss si port 3360 bare til et spesifikt nettverksgrensesnitt
eth2
, så må du spesifisere
allow in on
og navnet på nettverksgrensesnittet:
sudo ufw allow in on eth2 to any port 3306
Nekt forbindelser
Standardpolicyen for alle innkommende tilkoblinger er satt til å
deny
og hvis du ikke har endret den, vil UFW sperre all innkommende tilkobling med mindre du spesifikt åpner forbindelsen.
La oss si at du åpnet portene
80
og
443
og serveren din er under angrep fra
23.24.25.0/24
. For å nekte alle tilkoblinger fra
23.24.25.0/24
kan du bruke følgende kommando:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Å skrive fornektningsregler er det samme som å skrive tillatelsesregler, du trenger bare å bytte ut
allow
med
deny
.
Slett UFW-regler
Det er to forskjellige måter å slette UFW-regler, etter regelnummer og ved å spesifisere den faktiske regelen.
Det er enklere å slette UFW-regler etter regelnummer, spesielt hvis du er ny på UFW. For å slette en regel etter et regelnummer først må du finne nummeret på regelen du vil slette, du kan gjøre det med følgende kommando:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
For å slette regel nummer 3, regelen som tillater tilkoblinger til port 8080, bruk følgende kommando:
sudo ufw delete 3
Den andre metoden er å slette en regel ved å spesifisere den faktiske regelen, for eksempel hvis du la til en regel for å åpne port
8069
kan du slette den med:
Deaktiver UFW
Hvis du av en eller annen grunn vil stoppe UFW og deaktivere alle reglene du kan bruke:
sudo ufw disable
Senere hvis du vil aktivere UTF på nytt og aktivere alle regler, skriver du bare:
Tilbakestill UFW
Å tilbakestille UFW vil deaktivere UFW og slette alle aktive regler. Dette er nyttig hvis du vil tilbakestille alle endringene dine og begynne på nytt.
For å tilbakestille UFW skriver du bare inn følgende kommando:
Konklusjon
Du har lært hvordan du installerer og konfigurerer UFW-brannmuren på Ubuntu 18.04-serveren. Sørg for å tillate alle innkommende tilkoblinger som er nødvendige for at systemet ditt skal fungere ordentlig, mens du begrenser alle unødvendige tilkoblinger.
ufw brannmur iptables ubuntu-sikkerhetResearch in Motion (RIM) og Saudi-Arabia har kommet fram til en foreløpig avtale som innebærer at selskapet skal sette opp serveren der og gi regjeringen tilgang til dataene, ifølge mediarapporter på lørdag fra Saudi-Arabia. En avtale fra RIM med Saudi-Arabia kan sette presedens for lignende avtaler med andre land, inkludert India, Libanon, De forente arabiske emirater (UAE) og Indonesia, som krever at RIM finner servere i deres land, og gir tilgang til data til sine sikkerhetsstyrker, sa analyt
Saudi Arabias telekomregulator, Kommunikasjons- og informasjonsstyringskommisjonen (CITC) og lokale telefontoperatører har inngått en foreløpig avtale med RIM om håndtering av BlackBerry-data Det vil innebære å sette opp en server i landet, rapporterte The Wall Street Journal, og citerte en person kjent med samtalene.
Slik setter du opp en brannmur med brannmur på centos 7
FirewallD er en komplett brannmurløsning som administrerer systemets iptables-regler og gir et D-Bus-grensesnitt for å operere på dem. I denne opplæringen viser vi deg hvordan du konfigurerer en brannmur med FirewallD på CentOS 7-systemet ditt og forklarer de grunnleggende FirewallD-konseptene.
Hvordan sette opp en brannmur med ufw på debian 9
UFW (Uncomplicated Firewall) er en brukervennlig front-end for å administrere iptables brannmurregler, og hovedmålet er å gjøre det lettere å administrere iptables eller som navnet sier ukomplisert. I denne opplæringen vil vi vise deg hvordan du konfigurerer en brannmur med UFW på Debian 9.