Ievads
Ubuntu ir Linux operētājsistēma, kas serveru administratoru vidū ir diezgan populāra uzlaboto funkciju dēļ, kas tai tiek nodrošinātas pēc noklusējuma. Viena šāda funkcija ir ugunsmūris, kas ir drošības sistēma, kas uzrauga gan ienākošos, gan izejošos tīkla savienojumus, lai pieņemtu lēmumus atkarībā no iepriekš definētajiem drošības noteikumiem. Lai definētu šādus noteikumus, ugunsmūris ir jākonfigurē pirms tā lietošanas, un šajā rokasgrāmatā ir parādīts, kā viegli iespējot un konfigurēt ugunsmūri Ubuntu, kā arī citi noderīgi padomi ugunsmūra konfigurēšanā.
Kā iespējot ugunsmūri
Pēc noklusējuma Ubuntu nāk ar ugunsmūri, kas pazīstams kā UFW (nekomplicēts ugunsmūris), kas ir pietiekams, kā arī dažas citas trešo pušu paketes, lai aizsargātu serveri no ārējiem draudiem. Tomēr, tā kā ugunsmūris nav iespējots, tas ir jāiespējo pirms jebko. Izmantojiet šo komandu, lai iespējotu noklusējuma UFW Ubuntu.
- Vispirms pārbaudiet ugunsmūra pašreizējo statusu, lai pārliecinātos, ka tas tiešām ir atspējots. Lai iegūtu detalizētu statusu, izmantojiet to kopā ar detalizētu komandu.
sudo ufw statuss
sudo ufw statusa verbose
- Ja tas ir atspējots, to iespējo šī komanda
sudo ufw iespējot
- Kad ugunsmūris ir iespējots, restartējiet sistēmu, lai izmaiņas stātos spēkā. Parametrs r tiek izmantots, lai norādītu, ka komanda ir paredzēta restartēšanai, tagad parametrs ir norādīts, ka restartēšana jāveic nekavējoties, bez kavēšanās.
sudo izslēgšana -r tagad
Bloķējiet visus trafikus, izmantojot ugunsmūri
UFW, pēc noklusējuma bloķē / atļauj visus pārvadājumus, ja vien tas netiek ignorēts ar noteiktām ostām. Kā redzams iepriekšējos ekrānuzņēmumos, ufw bloķē visus ienākošos trafikus un atļauj visu izejošo datplūsmu. Tomēr ar šādām komandām visu datplūsmu var atspējot bez jebkādiem izņēmumiem. Tas ļauj notīrīt visas UFW konfigurācijas un liegt piekļuvi no jebkura savienojuma.
sudo ufw atiestatīšana
sudo ufw noklusējuma atteikt ienākošo
sudo ufw noklusējuma noraidīt izejošo
Kā iespējot portu HTTP?
HTTP nozīmē hiperteksta pārsūtīšanas protokolu, kas nosaka, kā ziņojums tiek formatēts, pārsūtot to jebkurā tīklā, piemēram, vispasaules tīklā jeb internetā. Tā kā tīmekļa pārlūkprogramma pēc noklusējuma izveido savienojumu ar tīmekļa serveri, izmantojot HTTP protokolu, lai mijiedarbotos ar saturu, ir jāiespējo HTTP piederošais ports. Turklāt, ja tīmekļa serveris izmanto SSL / TLS (drošā kontaktligzdas slāņa / transporta slāņa drošība), ir jāatļauj arī HTTPS.
sudo ufw atļaut http
sudo ufw atļaut https
Kā iespējot portu SSH?
SSH nozīmē drošo apvalku, ko izmanto, lai izveidotu savienojumu ar sistēmu tīklā, parasti internetā; līdz ar to to plaši izmanto, lai izveidotu savienojumu ar serveriem, izmantojot internetu, izmantojot vietējo mašīnu. Tā kā pēc noklusējuma Ubuntu bloķē visus ienākošos savienojumus, ieskaitot SSH, tas ir jāiespējo, lai piekļūtu serverim, izmantojot internetu.
sudo ufw atļaut ssh
Ja SSH ir konfigurēts izmantot citu portu, tad profila nosaukuma vietā ir skaidri jānorāda porta numurs.
sudo ufw atļaut 1024
Kā iespējot portu TCP / UDP
TCP, jeb pārraides vadības protokols nosaka, kā izveidot un uzturēt tīkla sarunu, lai lietojumprogramma apmainītos ar datiem. Pēc noklusējuma tīmekļa serveris izmanto TCP protokolu; līdz ar to tas ir jāiespējo, bet par laimi, iespējojot portu, vienlaikus tiek iespējots gan TCP / UDP ports. Tomēr, ja konkrētais ports ir paredzēts tikai TCP vai UDP iespējošanai, protokols jānorāda kopā ar porta numuru / profila nosaukumu.
sudo ufw allow | deny portnumber | profilename / tcp / udp
sudo ufw atļaut 21 / tcp
sudo ufw noliegt 21 / udp
Kā pilnībā atspējot ugunsmūri?
Dažreiz noklusējuma ugunsmūris ir jāatspējo, lai pārbaudītu tīklu vai ja paredzēts instalēt citu ugunsmūri. Šī komanda pilnībā atspējo ugunsmūri un bez ierunām atļauj visus ienākošos un izejošos savienojumus. Tas nav ieteicams, ja vien iepriekšminētie nodomi nav invalīdu iemesls. Atspējojot ugunsmūri, tā konfigurācijas netiek atiestatītas vai izdzēstas; tādējādi to atkal var iespējot ar iepriekšējiem iestatījumiem.
sudo ufw atspējot
Iespējot noklusējuma politikas
Noklusējuma politikas nosaka, kā ugunsmūris reaģē uz savienojumu, ja neviens noteikums tam neatbilst, piemēram, ja ugunsmūris pēc noklusējuma atļauj visus ienākošos savienojumus, bet, ja ienākošajiem savienojumiem porta numurs 25 ir bloķēts, pārējie porti joprojām darbojas ienākošo savienojumu gadījumā izņemot porta numuru 25, jo tas ignorē noklusējuma savienojumu. Šīs komandas liedz ienākošos savienojumus un pēc noklusējuma atļauj izejošos savienojumus.
sudo ufw noklusējuma atteikt ienākošo
sudo ufw noklusējums ļauj izejošajiem
Iespējot noteiktu portu diapazonu
Ostu diapazons norāda, uz kurām ostām attiecas ugunsmūra kārtula. Diapazons ir norādīts startPort: endPort formātā, pēc tam seko savienojuma protokols, kas ir pilnvarots norādīt šajā gadījumā.
sudo ufw atļaut 6000: 6010 / tcp
sudo ufw atļaut 6000: 6010 / udp
Atļaut / noraidīt konkrētu IP adresi / adreses
Ne tikai noteiktu portu var atļaut vai liegt izejošajai vai ienākošajai, bet arī IP adresei. Kad kārtulā ir norādīta IP adrese, jebkurš pieprasījums no šī konkrētā IP tiek pakļauts tieši norādītajam noteikumam, piemēram, nākamajā komandā tā atļauj visus pieprasījumus no 67.205.171.204 IP adrese, tad tā atļauj visus pieprasījumus no 67.205.171.204 gan 80., gan 443. portam, tas nozīmē, ka jebkura ierīce ar šo IP var nosūtīt veiksmīgus pieprasījumus serverim, nenoliedzot tos, ja noklusējuma kārtula bloķē visus ienākošos savienojumus. Tas ir diezgan noderīgi privātiem serveriem, kurus izmanto viena persona vai noteikts tīkls.
sudo ufw atļaut no 67.205.171.204
sudo ufw atļaut no 67.205.171.204 uz jebkuru 80. ostu
sudo ufw atļaut no 67.205.171.204 uz jebkuru 443. ostu
Iespējot reģistrēšanu
Reģistrēšanas funkcionalitāte reģistrē katra pieprasījuma tehnisko informāciju uz serveri un no tā. Tas ir noderīgi atkļūdošanas nolūkā; tāpēc ieteicams to ieslēgt.
sudo ufw pieteikšanās
Atļaut / noraidīt konkrētu apakštīklu
Ja ir iesaistīts IP adrešu diapazons, ir grūti manuāli pievienot katru IP adreses ierakstu ugunsmūra kārtulai, lai to noliegtu vai atļautu, un tādējādi IP adrešu diapazonus var norādīt CIDR apzīmējumā, kas parasti sastāv no IP adreses un apjoma. tajā esošo resursdatoru un katra resursdatora IP.
Šajā piemērā tas izmanto šādas divas komandas. Pirmajā piemērā tas izmanto / 24 netmask, un līdz ar to likums ir spēkā no 192.168. lpp.1.1. līdz 192.168. lpp.1.254 IP adreses. Otrajā piemērā tas pats noteikums ir derīgs tikai porta numuram 25. Tātad, ja ienākošie pieprasījumi pēc noklusējuma tiek bloķēti, tagad minētajām IP adresēm ir atļauts nosūtīt pieprasījumus uz servera porta numuru 25.
sudo ufw atļaut no 192.168. lpp.1.1/24
sudo ufw atļaut no 192.168. lpp.1.1/24 uz jebkuru 25. ostu
Dzēst kārtulu no ugunsmūra
Noteikumus var noņemt no ugunsmūra. Šīs pirmās komandas katru ugunsmūra kārtulu ierindo ar numuru, pēc tam ar otro komandu kārtulu var izdzēst, norādot kārtulai piederošo numuru.
sudo ufw statuss numurēts
sudo ufw dzēst 2
Atiestatīt ugunsmūra konfigurāciju
Visbeidzot, lai sāktu no jauna ugunsmūra konfigurāciju, izmantojiet šo komandu. Tas ir diezgan noderīgi, ja ugunsmūris sāk darboties dīvaini vai ja ugunsmūris izturas negaidīti.
sudo ufw atiestatīšana