„Ubuntu“ užkardos „Howto“

Įvadas

„Ubuntu“ yra „Linux“ operacinė sistema, kuri yra gana populiari tarp serverio administratorių dėl išplėstinių funkcijų, kurias ji teikia pagal numatytuosius nustatymus. Viena tokių savybių yra ugniasienė, kuri yra apsaugos sistema, stebinti tiek gaunamus, tiek išeinančius tinklo ryšius, kad priimtų sprendimus atsižvelgiant į iš anksto nustatytas saugumo taisykles. Norint apibrėžti tokias taisykles, prieš ją naudojant reikia sukonfigūruoti užkardą, o šiame vadove parodyta, kaip lengvai įjungti ir konfigūruoti užkardą „Ubuntu“, kartu su kitais naudingais patarimais, kaip konfigūruoti užkardą.

Kaip įjungti ugniasienę

Pagal numatytuosius nustatymus „Ubuntu“ yra ugniasienė, vadinama UFW (nesudėtinga užkarda), kurios pakanka kartu su kai kuriais kitais trečiųjų šalių paketais, kad apsaugotų serverį nuo išorinių grėsmių. Tačiau kadangi ugniasienė neįgalinta, ją reikia įjungti prieš viską. Norėdami įgalinti numatytąjį UFW „Ubuntu“, naudokite šią komandą.

1. Pirmiausia patikrinkite esamą užkardos būseną, kad įsitikintumėte, jog ji išjungta. Norėdami gauti išsamią būseną, naudokite ją kartu su žodine komanda.
   sudo ufw būsena
   sudo ufw statusas

2. Jei jis išjungtas, tai įgalina ši komanda
   sudo ufw įjungti

3. Įjungę užkardą, iš naujo paleiskite sistemą, kad pakeitimai įsigaliotų. R parametras naudojamas nurodant komandą, skirtą paleisti iš naujo, dabar parametras, nurodantis, kad paleisti iš naujo reikia nedelsiant ir nedelsiant.
   sudo išjungimas -r dabar

Užblokuokite visas trafikas naudodami užkardą

UFW, pagal numatytuosius nustatymus blokuoja / leidžia visus srautus, nebent tai pakeista konkrečiais prievadais. Kaip matyti pirmiau pateiktose ekrano kopijose, ufw blokuoja visus gaunamus srautus ir leidžia visą išeinantį srautą. Tačiau naudojant šias komandas, visą srautą galima išjungti be jokių išimčių. Tai išvalo visas UFW konfigūracijas ir neleidžia pasiekti bet kokio ryšio.

          sudo ufw atstatyti

          sudo ufw numatytoji atmesti gaunamus

          sudo ufw pagal nutylėjimą atsisakyti išeiti

Kaip įjungti prievadą HTTP?

HTTP reiškia hiperteksto perdavimo protokolą, kuris apibrėžia, kaip pranešimas formatuojamas perduodant bet kuriame tinkle, pvz., Visame pasaulyje žiniatinklyje, žinomas kaip internetas. Kadangi žiniatinklio naršyklė pagal numatytuosius nustatymus prisijungia prie interneto serverio per HTTP protokolą, kad galėtų sąveikauti su turiniu, turi būti įjungtas HTTP priklausantis prievadas. Be to, jei žiniatinklio serveris naudoja SSL / TLS (saugaus lizdo sluoksnio / transportavimo sluoksnio saugumas), taip pat turi būti leidžiama naudoti HTTPS.

          sudo ufw leisti http

          sudo ufw leisti https

Kaip įjungti prievadą SSH?

SSH reiškia saugų apvalkalą, kuris naudojamas prisijungti prie sistemos per tinklą, paprastai per internetą; taigi, jis plačiai naudojamas prisijungti prie serverių internetu iš vietinės mašinos. Kadangi pagal numatytuosius nustatymus „Ubuntu“ blokuoja visus gaunamus ryšius, įskaitant SSH, jis turi būti įjungtas, kad galėtumėte prisijungti prie serverio per internetą.

          sudo ufw leisti ssh

Jei SSH sukonfigūruotas naudoti kitą prievadą, vietoj profilio pavadinimo turi būti aiškiai nurodytas prievado numeris.

          sudo ufw leisti 1024

Kaip įjungti prievadą TCP / UDP

TCP, dar žinomas kaip perdavimo valdymo protokolas, apibrėžia, kaip užmegzti ir palaikyti tinklo pokalbį, kad programa galėtų keistis duomenimis. Pagal numatytuosius nustatymus žiniatinklio serveris naudoja TCP protokolą; vadinasi, jis turi būti įjungtas, tačiau, laimei, įjungus uostą, uostas vienu metu įgalinamas ir TCP / UDP. Tačiau jei konkretus prievadas skirtas įjungti tik TCP arba UDP, protokolas turi būti nurodytas kartu su prievado numeriu / profilio pavadinimu.

          sudo ufw allow | deny portnumber | profilename / tcp / udp

          sudo ufw leisti 21 / tcp

          sudo ufw neigti 21 / udp

Kaip visiškai išjungti ugniasienę?

Kartais numatytoji ugniasienė turi būti išjungta norint išbandyti tinklą arba kai ketinama įdiegti kitą ugniasienę. Ši komanda visiškai išjungia užkardą ir be jokių sąlygų leidžia visus gaunamus ir išeinančius ryšius. Tai nerekomenduojama, nebent minėti ketinimai yra priežastis, dėl kurių negalima naudotis. Išjungus ugniasienę, jos konfigūracijos nėra atkuriamos ar ištrinamos; taigi jį vėl galima įgalinti taikant ankstesnius nustatymus.

          sudo ufw išjungti

Įgalinti numatytąją politiką

Numatytojoje politikoje nurodoma, kaip ugniasienė reaguoja į ryšį, kai jokia taisyklė neatitinka jos, pavyzdžiui, jei ugniasienė pagal numatytuosius nustatymus leidžia visus gaunamus ryšius, tačiau jei prievado numeris 25 yra užblokuotas gaunamiems ryšiams, likę prievadai vis tiek veikia gaunant ryšius išskyrus prievado numerį 25, nes jis pakeičia numatytąjį ryšį. Šios komandos atmeta gaunamus ryšius ir pagal nutylėjimą leidžia išeinančius ryšius.

          sudo ufw numatytoji atmesti gaunamus

          sudo ufw pagal nutylėjimą leidžia išeiti

Įgalinti konkretų prievado diapazoną

Uosto diapazonas nurodo, kuriems uostams taikoma ugniasienės taisyklė. Diapazonas nurodytas startPort: endPort formatą, po jo eina ryšio protokolas, kurį šiuo atveju įpareigoti nurodyti.

          sudo ufw leisti 6000: 6010 / tcp

          sudo ufw leisti 6000: 6010 / udp

Leisti / atmesti konkretų IP adresą / adresus

Ne tik tam tikrą prievadą galima leisti arba atmesti išeinančiam ar gaunamam, bet ir IP adresą. Kai taisyklėje nurodomas IP adresas, bet kokiai šio konkretaus IP užklausai taikoma tik nurodyta taisyklė, pavyzdžiui, šioje komandoje ji leidžia visas užklausas nuo 67.205.171.204 IP adresas, tada jis leidžia visas užklausas nuo 67.205.171.204 tiek 80, tiek 443 prievadams, tai reiškia, kad bet kuris įrenginys, turintis šį IP, gali siųsti sėkmingas užklausas į serverį neatmetamas, kai numatytoji taisyklė blokuoja visus gaunamus ryšius. Tai yra gana naudinga privatiems serveriams, kuriuos naudoja vienas asmuo ar konkretus tinklas.

          sudo ufw leisti nuo 67.205.171.204

          sudo ufw leisti nuo 67.205.171.204 į bet kurį 80 uostą

          sudo ufw leisti nuo 67.205.171.204 į bet kurį 443 uostą

Įgalinti registravimą

Registravimo funkcija registruoja kiekvienos užklausos į serverį ir iš jo techninę informaciją. Tai naudinga derinant; todėl rekomenduojama jį įjungti.

          sudo ufw prisijungimas

Leisti / atmesti konkretų potinklį

Kai yra IP adresų diapazonas, sunku rankiniu būdu pridėti kiekvieną IP adreso įrašą į užkardos taisyklę, kad būtų galima atmesti arba leisti, todėl IP adresų diapazonus galima nurodyti CIDR žymėjime, kurį paprastai sudaro IP adresas ir suma jame esančių kompiuterių ir kiekvieno kompiuterio IP.

Šiame pavyzdyje jis naudoja šias dvi komandas. Pirmajame pavyzdyje jis naudoja / 24 netmask, taigi taisyklė galioja nuo 192.168.1.Nuo 1 iki 192.168.1.254 IP adresai. Antrame pavyzdyje ta pati taisyklė galioja tik 25 prievado numeriui. Taigi, jei gaunamos užklausos pagal numatytuosius nustatymus blokuojamos, dabar minėtiems IP adresams leidžiama siųsti užklausas į 25 serverio prievado numerius.

           sudo ufw leisti nuo 192.168.1.1/24

           sudo ufw leisti nuo 192.168.1.1/24 į bet kurį 25 uostą

Ištrinkite taisyklę iš užkardos

Taisyklės gali būti pašalintos iš užkardos. Ši pirmoji komanda eilutėje įrašo kiekvieną užkardos taisyklę su skaičiumi, tada naudojant antrąją komandą taisyklę galima ištrinti nurodant taisyklei priklausantį numerį.

          sudo ufw būsena sunumeruota

          sudo ufw ištrinti 2

Iš naujo nustatyti ugniasienės konfigūraciją

Galiausiai, norėdami pradėti nuo užkardos konfigūracijos, naudokite šią komandą. Tai yra gana naudinga, jei užkarda pradeda veikti keistai arba jei užkarda elgiasi netikėtai.

          sudo ufw atstatyti