Как да се справите и конфигурирате защитната стена в Linux
Ако използвате или планирате да използвате Linux, добър стимул е относителната сигурност, която се изпълнява по подразбиране. Линукс системите не са чувствителни към голяма част от вирусите на Windows и Mac OS, а проектът GNU само по себе си гарантира автентичността на софтуера. Всеки параноик обаче знае, че няма такова нещо като напълно защитена система. Днес ще ви покажем как да подобрите защитата на Линукс, като направите няколко промени в настройките на защитната стена.
Вместо просто да преглеждам софтуера за защитна стена, ще се съсредоточа повече върху настройките на защитната стена, като правилата и портовете, тъй като те стоят в основата на ефективната защитна стена.
Традиционната програма за защитна стена в Linux е IPTables, базирани на команди. Директно извлечен от идеала на Unix, той е много мощен и все пак изключително сложен за начинаещ. IPTables не се стартира на багажника, така че е задължение на потребителя да конфигурира защитната стена в скрипт и да я стартира веднага след вход. По-лесният вариант е да използвате UFW (Uncomplicated FireWall). UFW е защитна стена, базирана на команди, но с много по-опростен синтаксис. Той се стартира при зареждане и идва със същото ниво на сигурност като IPTables. Още по-лесен начин да заобиколите изцяло командния ред е да използвате gUFW - графичен интерфейс за UFW.
Инсталация
В Ubuntu всичко, което трябва да направите, е да използвате командата (можете да инсталирате и чрез софтуера на Ubuntu):
sudo apt-get инсталирате gufw
Конфигурация
Стартирайте приложението gUFW. Трябва да бъдете подканени от хубав сив прозорец.
За да работи правилно, gUFW се нуждае от правата на супер потребител, което означава, че в терминал ще използвате командата:
sudo gufw
Ако го стартирате от менюто за приложения, можете да кликнете върху златната ключалка в долния десен ъгъл на прозореца gUFW и да въведете паролата си, за да издигнете разрешението на потребителя.
Прозорецът трябва да оживее и сега можете да започнете конфигурацията.
Първо, искате да активирате защитната стена, като кликнете върху лентата до "Състояние", така че да се показва "Вкл.". След това можете да изберете какво искате да направите с входящия и изходящия трафик. По подразбиране, входящите данни се отхвърлят и изходящите получават разрешение. Това е добра основа, но по принцип с Linux, искате да използвате пълния си контрол, за да отидете по-далеч от стандартната. Конфигурацията, както е сега, ще попречи на нещо да влезе в компютъра ви, но няма да спре компютъра ви да комуникира. Представете си, че компютърът ви вече е заразен или че злонамерен софтуер успее да премине през защитната стена. В този случай, UFW няма да го спре да комуникира с интернет и може би от предаването на вашите данни на зло крекер.
Ето защо ви съветвам да прилагате драстични мерки: отричайте всичко - входящи и изходящи!
В този момент ще откриете, че сте се откъснали от интернет. Като отричате всичко, Вие също отказвате на уеб трафик да влиза или напуска вашата система. Не се притеснявайте, ще зададем правила, които да позволяват само приложенията, от които се нуждаете, и да имате доверие за достъп до интернет. Добавянето на правило е просто. Просто трябва да кликнете върху бутона "+" в долния ляв ъгъл на прозореца. Също така, бутонът "-" ще изтрие правилото.
Сега кликнете върху бутона "+". Сега трябва да сте пред нов диалогов прозорец с три раздела.
Разделът "Предварително конфигуриран" е за създаване на правила за определени и конкретни задачи, като например за Skype или за предаване. Това е лесният начин да зададете бързо правила: да решите каква програма или услуга искате да използвате от списъка, ако позволите входящи или изходящи и правилата ще се добавят.
Например, ако решите да разрешите в Skype връзки, gUFW ще позволи входящите връзки към порт 443, използвайки протокола TCP.
Тъй като е лесен за използване, както е в този раздел, той все пак е непълен. Все още има куп неща, които не можете да правите, без да влезете в раздела "Обикновено". Обещавам, че няма да продължим нататък, няма раздел "Разширени" за днес.
Този раздел не е много сложен за използване. Всичко, което трябва да направите, за да добавите правила, е да избирате между входящи или изходящи връзки, използвания протокол и номера на порта. Няма да ви науча разликата между протокола UDP или TCP, но вместо това ще ви дам неизчерпателен списък на пристанищата, които може да искате да се отварят, и причините за това.
Неизчерпателен списък на пристанищата
Изходящи връзки:
- 80 / tcp за HTTP
- 53 / udp за DNS
- 443 / tcp за HTTPS (защитен HTTP)
- 21 / tcp за FTP (Протокол за прехвърляне на файлове)
- 465 / tcp за SMTP (изпращане на имейли)
- 25 / tcp за несигурен SMTP
- 22 / tcp за SSH (защитена връзка от компютър към компютър)
- 993 / tcp & udp за IMAP (получаване на имейли)
- 143 / tcp & udp за несигурен IMAP
- 9418 / tcp за GIT (система за управление на версиите)
Входящи връзки:
- 993 / tcp & udp за IMAP (получаване на имейли)
- 143 / tcp & udp за несигурен IMAP
- 110 / tcp за POP3 (стар начин за получаване на имейли)
- 22 / tcp за SSH (защитена връзка от компютър към компютър)
- 9418 / tcp за GIT (система за управление на версиите)
Отново този списък е непълен, но това е добър старт. Не се колебайте да търсите, ако имате други нужди, и първо проверете раздела "Предварително конфигуриран".
Някои услуги, като IMAP, изискват входящата и изходящата връзка да работят правилно. В някои случаи шифрованите връзки изискват друго пристанище.
заключение
Сега сте готови да контролирате перфектно своята защитна стена и да се уверите в сигурността си. И накрая, UFW трябва да се добави към демоните ви при зареждане. Използвайте командата:
sudo update-rc.d ufw по подразбиране
И в други дистрибуции като Archlinux, редактирайте файла си /etc/rc.conf . Разбира се, е по-добре да добавите демона UFW преди демона, който създава интернет връзка (например Wicd или мрежов мениджър).
Използвате ли друга защитна стена? Или имате други правила, които препоръчвате? Моля, уведомете ни в коментара.