UFW diegimas ir nustatymas „Ubuntu 20“.04 LTS

UFW arba „Nesudėtinga užkarda“ yra patogi „Linux iptables“ sąsaja. UFW parašyta „Python“ (palaiko „Python 3“.5 ir naujesnės versijos) ir yra dabartinė de facto ugniasienės tvarkymo priemonė „Ubuntu“ sistemose. Šis įrankis yra labai patogus naudoti ir veikia kaip puiki pagrindinė ugniasienė.

Šis straipsnis parodo, kaip įdiegti ir naudoti UFW „Ubuntu 20“.04 LTS sistema.

Montavimas

UFW yra iš anksto įdiegtas daugumoje „Ubuntu“ sistemų. Jei jūsų komponavimo versijoje ši programa dar nėra įdiegta, galite ją įdiegti naudodami „snap“ arba „apt“ paketų tvarkykles.$ sudo snap install ufw

$ sudo apt įdiekite ufw

Aš asmeniškai norėčiau tai padaryti naudodamas apt paketų tvarkytuvę, nes „snap“ yra mažiau populiarus ir nenoriu turėti tokio papildomo sudėtingumo. Šiuo metu UFW paskelbta versija yra 0.36 už 20.04 išleidimas.

Gaunamas vs. Išeinantis srautas

Jei esate pradedantysis tinklų pasaulyje, pirmiausia turite išsiaiškinti skirtumą tarp gaunamo ir išeinančio srauto.

Kai diegiate naujinimus naudodami „apt-get“, naršykite internete arba patikrinkite el. Paštą, tai, ką darote, siunčia „siunčiamas“ užklausas į serverius, tokius kaip „Ubuntu“, „Google“ ir kt. Norint naudotis šiomis paslaugomis, jums net nereikia viešo IP. Paprastai, pavyzdžiui, namų plačiajuosčiam ryšiui, skiriamas vienas viešas IP adresas, o kiekvienas įrenginys gauna savo asmeninį IP. Tada maršrutizatorius tvarko srautą naudodamas tai, kas vadinama NAT arba tinklo adreso vertimu.

Išsami informacija apie NAT ir privačius IP adresus nepatenka į šio straipsnio taikymo sritį, tačiau aukščiau pateiktas vaizdo įrašas yra puikus atspirties taškas. Grįžtant prie UFW, pagal numatytuosius nustatymus UFW leis visą įprastą išeinantį žiniatinklio srautą. Jūsų naršyklės, paketų tvarkytuvės ir kitos programos pasirenka atsitiktinį prievado numerį - paprastai numerį, viršijantį 3000 - ir taip kiekviena programa gali sekti savo ryšį (-ius).

Kai naudojate serverius debesyje, jie paprastai būna su viešuoju IP adresu ir pirmiau nurodytos taisyklės, leidžiančios išeinantį srautą, vis dar galioja. Kadangi vis tiek naudosite komunalines paslaugas, pvz., Paketų tvarkykles, kurios kalbėsis su likusiu pasauliu kaip „klientas“, UFW tai leidžia pagal nutylėjimą.

Linksmybės prasideda atvykstančiu srautu. Programos, pvz., „OpenSSH“ serveris, kurį naudojate prisijungdami prie savo VM, klausosi konkrečių prievadų (pvz., 22) gaunamas prašymus, kaip ir kitas programas. Tinklo serveriams reikia prieigos prie 80 ir 443 prievadų.

Tai yra ugniasienės užduotis, leidžianti konkrečioms programoms klausytis tam tikro gaunamo srauto, tuo pačiu blokuojant visus nereikalingus. Jūsų VM gali būti įdiegtas duomenų bazės serveris, tačiau paprastai nereikia klausytis gaunamų užklausų sąsajoje su viešuoju IP. Paprastai jis tiesiog klauso atgalinės sąsajos, kad gautų užklausų.

Žiniatinklyje yra daugybė robotų, kurie nuolat bombarduoja serverius fiktyviais prašymais žiauriai įsiveržti arba atlikti paprastą „Denial of Service“ ataką. Gerai sukonfigūruota užkarda turėtų sugebėti užblokuoti daugumą šių „shenanigans“, naudodama trečiųjų šalių papildinius, tokius kaip „Fail2ban“.

Tačiau kol kas sutelksime dėmesį į labai paprastą sąranką.

Pagrindinis naudojimas

Dabar, kai jūsų sistemoje įdiegėte UFW, mes apžvelgsime keletą pagrindinių šios programos naudojimo būdų. Kadangi užkardos taisyklės taikomos visoje sistemoje, toliau nurodytos komandos vykdomos kaip root vartotojas. Jei norite, šiai procedūrai galite naudoti sudo su teisėmis.

# ufw būsena
Būsena: neaktyvus

Pagal numatytuosius nustatymus UFW yra neaktyvios būsenos, o tai yra gerai. Nenorite blokuoti viso gaunamo srauto 22 prievade, kuris yra numatytasis SSH prievadas. Jei esate prisijungę prie nuotolinio serverio per SSH ir užblokuojate 22 prievadą, būsite užrakintas iš serverio.

UFW leidžia mums lengvai įkišti skylę tik „OpenSSH“. Paleiskite žemiau esančią komandą:

[apsaugotas el. paštu]: ~ # ufw programų sąrašas
Galimos programos:
„OpenSSH“

Atkreipkite dėmesį, kad aš vis dar neįgalinau užkardos. Dabar prie savo leidžiamų programų sąrašo pridėsime „OpenSSH“ ir tada įgalinsime užkardą. Norėdami tai padaryti, įveskite šias komandas:

# ufw leisti „OpenSSH“
Taisyklės atnaujintos
Taisyklės atnaujintos (v6)
# ufw įgalinti

Komanda gali sutrikdyti esamus SSH ryšius. Tęskite operaciją (y | n)? y.

Ugniasienė dabar aktyvi ir įjungta paleidus sistemą.

Sveikiname, UFW dabar aktyvus ir veikia. UFW dabar leidžia tik „OpenSSH“ klausytis gaunamų užklausų 22 uoste. Norėdami bet kada patikrinti užkardos būseną, paleiskite šį kodą:

# ufw būsena
Būsena: aktyvi
Į veiksmą nuo
-- ------ ----
„OpenSSH ALLOW“ bet kur
„OpenSSH“ (v6) „ALLOW Anywhere“ (v6)

Kaip matote, „OpenSSH“ dabar gali gauti užklausas iš bet kurios interneto vietos, jei tik ją pasiekia 22 prievade. V6 eilutė rodo, kad taisyklės taikomos ir IPv6.

Galite, žinoma, uždrausti tam tikrus IP diapazonus arba leisti tik tam tikrus IP diapazonus, atsižvelgdami į saugos apribojimus, kuriuose dirbate.

Programų pridėjimas

Populiariausių programų atveju „ufw“ programų sąrašo komanda automatiškai atnaujina savo politikos sąrašą įdiegus. Pavyzdžiui, įdiegus „Nginx“ žiniatinklio serverį, pamatysite šias naujas parinktis:

# apt įdiegti „nginx“
# ufw programų sąrašas
Galimos programos:
„Nginx Full“
Nginx HTTP
„Nginx HTTPS“
„OpenSSH“

Pabandykite eksperimentuoti su šiomis taisyklėmis. Atminkite, kad galite tiesiog leisti uosto numerius, o ne laukti, kol pasirodys programos profilis. Pvz., Jei norite leisti HTTPS srautui 443 prievadą, tiesiog naudokite šią komandą:

# ufw leisti 443
# ufw būsena
Būsena: aktyvi
Į veiksmą nuo
-- ------ ----
„OpenSSH ALLOW“ bet kur
443 LEISTI bet kur
„OpenSSH“ (v6) „ALLOW Anywhere“ (v6)
443 (v6) LEISTI bet kur (v6)

Išvada

Dabar, kai sutvarkote pagrindinius UFW pagrindus, galite ištirti kitas galingas užkardos galimybes, pradedant nuo IP diapazonų leidimo ir blokavimo. Turėdami aiškią ir saugią užkardos politiką, jūsų sistemos bus saugios ir apsaugotos.