Obsah
-
Nastavenie UFW v Ubuntu
- Krok 1: Osvojenie si syntaxe
- Krok 2: Povolenie / zakázanie / obnovenie nastavení
- Krok 3: Nastavte predvolené pravidlá
- Krok 4: Pridajte svoje vlastné pravidlá brány firewall
- Krok 5: nastavenie pravidiel limitu
- Krok 6: Zobrazte stav UFW
- Krok 7: Odstránenie existujúcich pravidiel
- Krok 8: Povoľte protokolovanie
- Otázky a odpovede
Takmer každý pokročilý používateľ Ubuntu má záujem o zabezpečenie svojej siete. Mnoho ľudí navyše používa určité sieťové nástroje, ktoré budú fungovať správne až po zavedení konkrétnych pravidiel do brány firewall. Dnes si povieme niečo o nastavení Firewallu na príklade UFW (Nekomplikovaný Firewall). Toto je najjednoduchší nástroj na implementáciu pravidiel brány firewall, preto sa odporúča pre začínajúcich používateľov a tých, ktorí nie sú spokojní s príliš zložitou funkčnosťou iptables. Prejdime si celý postup nastavenia krok za krokom a každý krok preskúmame čo najpodrobnejšie.
Nastavenie UFW v Ubuntu
Nie je potrebné inštalovať UFW do operačného systému, pretože je tam predvolene prítomný. Vo svojej štandardnej podobe je však neaktívny a nemá vôbec žiadne pravidlá. Začnime s aktiváciou a potom sa pozrieme na základné kroky. Najskôr by ste si však mali preštudovať syntax, najmä pre tých používateľov, ktorí plánujú tento firewall používať neustále.
Krok 1: Osvojenie si syntaxe
Ako viete, UFW je obslužný program konzoly, čo znamená, že sa spravuje prostredníctvom štandardu „Terminál“ alebo akýkoľvek iný zvyk. Interakcia tohto druhu je možná pomocou špeciálne nastavených príkazov. Všetky sú vždy v dokumentácii, ale nemá zmysel čítať obrovskú kopu materiálov, najmä v prípade dnešného nástroja. Princíp vstupu vyzerá takto: sudo ufw možnosti akcie možnosti
. sudo zodpovedný za beh ako superuser, ufw - štandardný argument označujúci volaný program a zvyšok fráz určuje pravidlá, ktoré sa majú nastaviť. Práve na nich sa chceme venovať podrobnejšie.
-
povoliť
Je štandardný parameter zodpovedný za povolenie brány firewall. V takom prípade sa automaticky pridá do spustenia. -
zakázať
- zakáže UFW a odstráni ho pri štarte. -
znovu načítať
- slúži na reštartovanie Firewallu. Obzvlášť relevantné po stanovení nových pravidiel. -
predvolené
- znamená, že ďalšia možnosť bude nainštalovaná predvolene. -
ťažba dreva
- aktivuje vytváranie protokolových súborov, ktoré budú ukladať všetky základné informácie o akcii firewallu. -
vynulovať
- obnoví všetky nastavenia na predvolené hodnoty. -
postavenie
- slúži na zobrazenie aktuálneho stavu. -
šou
- rýchly prehľad správ o práci firewallu. Pre tento parameter platia ďalšie možnosti, ale povieme si o nich v samostatnom kroku. -
povoliť
- zapojený do pridávania tolerantných pravidiel. -
poprieť
- to isté, ale vzťahuje sa na zákaz. -
odmietnuť
- pridáva pravidlo pre vypadnutie. -
limit
- stanovenie limitujúcich pravidiel. -
vymazať
- odstráni zadané pravidlo. -
vložiť
- vloží pravidlo.
Ako vidíte, tímov nie je toľko. Je ich určite menej ako v iných dostupných bránach firewall a syntax si môžete pamätať po niekoľkých pokusoch o interakciu s UFW. Zostáva len prísť na príklad konfigurácie, ktorá bude venovaná ďalším fázam dnešného materiálu.
Krok 2: Povolenie / zakázanie / obnovenie nastavení
Rozhodli sme sa zvýrazniť niekoľko konfiguračných bodov v jednej fáze, pretože navzájom čiastočne súvisia a majú podobnú implementáciu. Ako už viete, UFW je pôvodne deaktivovaný, takže ho povolíme iba jedným príkazom.
- Otvorte aplikačný panel a spustite „Terminál“... Konzolu môžete otvoriť iným spôsobom, ktorý vám vyhovuje.
- Pred aktiváciou skontrolujte, či ste vy alebo iná aplikácia už firewall predtým aktivovali. To sa deje zadaním príkazu
sudo ufw status
. - Zadajte heslo pre získanie práv superužívateľa a kliknite na Zadajte... Upozorňujeme, že táto metóda vstupu z bezpečnostných dôvodov nezobrazuje znaky v reťazci.
- Na novom riadku dostanete informácie o aktuálnom stave UFW.
- Brána firewall sa aktivuje prostredníctvom parametra, ktorý už bol uvedený vyššie, a celý príkaz vyzerá takto:
sudo ufw povoliť
. - Budete upozornení, že je firewall zapnutý a bude sa spúšťať spolu s operačným systémom.
- Zakázať použitie
sudo ufw vypnúť
. - O deaktivácii vás bude informovať takmer rovnaká správa.
- Ak budete v budúcnosti potrebovať resetovať pravidlá alebo ak to chcete urobiť teraz, vložte príkaz
sudo ufw reset
a stlačte tlačidlo Zadajte. - Reset potvrďte výberom príslušnej odpovede.
- Uvidíte šesť rôznych riadkov so záložnými adresami. Na toto miesto sa môžete kedykoľvek presunúť a obnoviť nastavenia.
Teraz viete, ktoré príkazy sú zodpovedné za riadenie všeobecného správania brány firewall, ktorú dnes kontrolujeme. Všetky ďalšie kroky sa zamerajú výlučne na konfiguráciu a samotné parametre sú uvedené ako príklad, to znamená, že ich musíte zmeniť podľa svojich potrieb.
Krok 3: Nastavte predvolené pravidlá
Je nevyhnutné, aby ste použili predvolené pravidlá, ktoré sa budú vzťahovať na všetky prichádzajúce a odchádzajúce spojenia, ktoré nie sú uvedené osobitne. To znamená, že všetky prichádzajúce spojenia, ktoré nie sú určené manuálne, budú blokované, kým odchádzajúce spojenia budú úspešné. Celá schéma je implementovaná takto:
- Spustite novú reláciu konzoly a zadajte príkaz
sudo ufw predvolene odmietnuť prichádzajúce
... Aktivujte ho stlačením klávesu Zadajte... Ak ste sa už oboznámili s vyššie uvedenými pravidlami syntaxe, viete, že to znamená blokovanie všetkých prichádzajúcich pripojení. - Bude sa od vás vyžadovať zadanie hesla superužívateľa. Zadáte to pri každom spustení novej relácie konzoly.
- Po použití príkazu budete upozornení, že predvolené pravidlo nadobudlo účinnosť.
- Podľa toho budete musieť nastaviť druhý príkaz, ktorý umožní odchádzajúce spojenia. Vyzerá to takto:
sudo ufw predvolene povoliť odchádzajúce
. - Opäť sa zobrazí správa, že pravidlo bolo použité.
Teraz sa nemusíte obávať, že akékoľvek neznáme prichádzajúce pokusy o pripojenie budú úspešné a niekto bude mať prístup do vašej siete. Ak sa chystáte blokovať úplne všetky prichádzajúce pokusy o pripojenie, vyššie uvedené pravidlo preskočte a pokračujte v vytváraní vlastného, po podrobnom preštudovaní ďalšieho kroku.
Krok 4: Pridajte svoje vlastné pravidlá brány firewall
Pravidlá brány firewall sú hlavnou konfigurovateľnou možnosťou, ktorú používatelia používajú UFW. Na príklade nástroja OpenSSH teraz zvážime príklad oprávnenia na prístup a nezabudneme ani na blokovanie pomocou portov. Najprv si musíte zapamätať ďalšie syntaxové príkazy zodpovedné za pridanie pravidiel:
ufw povoliť názov_služby
ufw povoliť port
ufw povoliť port / protokol
Potom môžete bezpečne začať vytvárať tolerantné alebo odmietajúce pravidlá. Pozrime sa na jednotlivé typy politík podľa poradia.
- Použite
sudo ufw povoliť OpenSSH
otvoriť prístup k prístavom služby. - Dostanete upozornenie, že pravidlá boli aktualizované.
- Prístup môžete otvoriť aj zadaním portu, nie názvu služby, ktorý vyzerá takto:
sudo ufw povoliť 22
. - To isté sa deje aj na porte / protokole -
sudo ufw povoliť 22 / tcp
. - Po pridaní pravidiel skontrolujte zoznam dostupných aplikácií zadaním
sudo ufw zoznam aplikácií
... Ak bolo všetko úspešne použité, požadovaná služba sa zobrazí v jednom z nasledujúcich riadkov. - Pokiaľ ide o povolenie a zákaz prenosu prenosu na portoch, vykoná sa to zadaním syntaxe
ufw povoliť smerový port
... Na snímke obrazovky nižšie vidíte príklad povolenia odchádzajúcej prevádzky podľa portu (sudo ufw povoliť 80 / tcp
), ako aj zákaz politiky rovnakým smerom v prichádzajúcom smere (sudo ufw odmietnuť v 80 / tcp
). - Ak vás zaujíma príklad pridania politiky zadaním širšej notácie syntaxe, použite príklad
ufw povoliť proto protokol z source_ip do destination_ip port destination_port
.
Krok 5: nastavenie pravidiel limitu
Tému nastavenia limitných pravidiel sme presunuli do samostatnej fázy, pretože o tom musíme hovoriť podrobnejšie. Toto pravidlo obmedzuje počet pripojených IP adries na jeden port. Najzrejmejším použitím tejto možnosti je ochrana pred útokmi hrubou silou. Štandardná politika je nainštalovaná nasledovne:
- V konzole napíš
sudo ufw limit ssh / tcp
a kliknite na Zadajte. - Zadajte heslo pre svoj účet superužívateľa.
- Zobrazí sa upozornenie, že aktualizácia pravidiel bola úspešná.
Rovnakým spôsobom sú politiky obmedzení nastavené aj na iné aplikácie. Použite na to názov služby, port alebo port / protokol.
Krok 6: Zobrazte stav UFW
Používateľ niekedy potrebuje vidieť aktuálny stav brány firewall, a to nielen z hľadiska aktivity, ale aj stanovených pravidiel. Existuje na to samostatný príkaz, o ktorom sme hovorili už skôr, a teraz ho zvážime podrobnejšie.
- Registrovať
sudo ufw status
získať štandardné informácie. - Všetky nainštalované politiky podľa adries, protokolov a názvov služieb sa zobrazia v nových riadkoch. Akcie a pokyny sú zobrazené vpravo.
- Pri použití ďalšieho argumentu sa zobrazia podrobnejšie informácie a príkaz sa stane
sudo ufw stav verbose
. - Zobrazí sa zoznam všetkých pravidiel v podobe, ktorá je pre začínajúcich používateľov nezrozumiteľná
sudo ufw show raw
.
Existujú ďalšie možnosti, ktoré zobrazujú konkrétne informácie o existujúcich pravidlách a stave brány firewall. Poďme sa rýchlo pozrieť na všetky z nich:
-
surový
- zobrazuje všetky aktívne pravidlá pomocou formátu prezentácie iptables. -
builtins
- obsahuje iba pravidlá pridané ako predvolené. -
pred-pravidlá
- Zobrazí politiky, ktoré sa vykonajú pred prijatím balíka z externého zdroja. -
užívateľské pravidlá
- zobrazuje zásady pridané používateľom. -
dodatočné pravidlá
- rovnaké ako pravidlá pred, ale zahŕňa iba tie pravidlá, ktoré sa aktivujú po prijatí balíkov. -
pravidlá ťažby
- zobrazuje informácie o udalostiach, ktoré sa zapisujú do protokolu. -
počúvanie
- slúži na prezeranie aktívnych (počúvajúcich) portov. -
doplnené
- sa používa pri prezeraní novo pridaných pravidiel.
V prípade potreby môžete pomocou ktorejkoľvek z týchto možností získať požadované informácie a použiť ich na svoje vlastné účely.
Krok 7: Odstránenie existujúcich pravidiel
Niektorí používatelia, ktorí dostali potrebné informácie o existujúcich pravidlách, chcú niektoré z nich odstrániť, aby vytvorili spojenie alebo nastavili nové pravidlá. Uvažovaný firewall vám umožňuje urobiť to kedykoľvek, čo je k dispozícii, a to nasledovne:
- Vložiť príkaz
sudo ufw delete allow out 80 / tcp
... Automaticky odstráni pravidlo umožňujúce odchádzajúce pripojenia na porte / protokole 80 / tcp. - Dostanete upozornenie, že politika bola úspešne odstránená pre IPv4 aj IPv6.
- To isté platí aj pre blokovanie pripojení, napríklad
sudo ufw delete deny in 80 / tcp
.
Pomocou možností stavu zobrazenia skopírujte požadované pravidlá a odstráňte ich, ako je to znázornené v príklade.
Krok 8: Povoľte protokolovanie
Posledný krok dnešného článku zahŕňa aktiváciu možnosti, ktorá z času na čas automaticky uloží informácie o správaní UFW do samostatného súboru. Nie je to nevyhnutné pre všetkých používateľov, ale používa sa nasledovne:
- Napíš
sudo ufw prihlasovanie
a stlačte Zadajte. - Počkajte na upozornenie, že protokol sa teraz uloží.
- Môžete napríklad použiť aj inú možnosť
sudo ufw logovacie médium
... Tam je stále nízka (ukladá iba informácie o blokovaných balíkoch) a vysoká (uloží všetky informácie). Stredná možnosť prihlási blokované a povolené pakety.
Vyššie ste sa naučili celých osem krokov, ktoré sa používajú na konfiguráciu brány firewall UFW v operačnom systéme Ubuntu. Ako vidíte, jedná sa o veľmi jednoduchý firewall, ktorý vďaka ľahkému ovládaniu syntaxe vyhovie aj začínajúcim používateľom. UFW možno stále nazývať dobrou náhradou za štandardné tabuľky iptables, ak s nimi nie ste spokojní.