Hvis du bruker, eller planlegger å bruke Linux, er et godt incitament den relative sikkerheten som implementeres som standard. Linux-systemer er ufølsomme overfor et godt flertall av Windows- og Mac OS-virus, og GNU-prosjektet i seg selv sikrer ektheten av programvaren. Men hver (paranoid) geek vet at det ikke er noe slikt som et helt beskyttet system. I dag vil vi vise deg hvordan du sperrer Linux-sikkerheten din ved å gjøre noen få endringer i brannmurinnstillingene.

I stedet for å bare gjennomgå brannmurprogramvare, vil jeg fokusere mer på brannmurinnstillingene, for eksempel regler og porter, da de står til grunn for en effektiv brannmur.

Det tradisjonelle programmet for en brannmur i Linux er kommandobaserte IPTables. Direkte avledet fra idealet til Unix, er det veldig kraftig, og likevel ekstremt komplisert for en nybegynner. IPTables starter ikke selv ved oppstart, så det er brukerens plikt å konfigurere brannmuren i et skript og kjøre det umiddelbart etter innlogging. Et enklere alternativ er å bruke UFW (Uncomplicated FireWall). UFW er en kommandobasert brannmur, men med en mye enklere syntaks. Den lanserer seg selv ved oppstart, og kommer med samme sikkerhetsnivå som IPTables. En enda enklere måte å omgå kommandolinjen helt, er å bruke GUFW - et grafisk grensesnitt for UFW.

Installasjon

I Ubuntu er alt du trenger å gjøre for å bruke kommandoen (du kan også installere via Ubuntu Software Center):

 sudo apt-get install gufw 

konfigurasjon

Kjør gUFW-programmet. Du bør bli bedt om et fint grått vindu.

For å fungere riktig trenger gUFW superbrukerens rettigheter, noe som betyr at i en terminal vil du bruke kommandoen:

 sudo gufw 

Hvis du lanserte den fra Programmenyen, kan du klikke på gulllåsen nederst til høyre i GUFW-vinduet og skrive inn passordet ditt for å heve brukertillatelsen.

Vinduet skulle komme til liv, og du kan nå starte konfigurasjonen.

Først vil du aktivere brannmuren ved å klikke på linjen ved siden av "Status" slik at "På" vises. Du kan da velge hva du vil gjøre med innkommende og utgående trafikk. Som standard blir innkommende nektet og utgående er autorisert. Dette er et godt grunnlag, men generelt med Linux, vil du bruke full kontroll til å gå lenger enn standard. Konfigurasjonen som den er nå, forhindrer at noe kommer inn i datamaskinen, men vil ikke stoppe datamaskinen fra å kommunisere. Tenk deg at datamaskinen din allerede er infisert eller at en malware lykkes i å gå gjennom brannmuren. I dette tilfellet vil UFW ikke stoppe ham fra å kommunisere med Internett og kanskje fra å overføre dataene til en ond cracker.

Derfor anbefaler jeg deg å søke drastiske tiltak: nekte alt - innkommende og utgående!

For øyeblikket vil du oppdage at du har kuttet deg fra Internett. Ved å nekte alt, nekter du også webtrafikk fra å komme inn / ut i systemet. Bekymre ikke, vi skal sette regler for å bare tillate de applikasjonene du trenger og stoler på å få tilgang til nettet. Å legge til en regel er enkel. Du må bare klikke på "+" knappen nederst til venstre i vinduet. På samme måte er "-" knappen å slette regel.

Klikk nå på "+" -knappen. Du bør nå være foran en ny dialogboks med tre faner.

"Forkonfigurert" -fanen er for å lage noen regler for definerte og spesifikke oppgaver, som for Skype eller Transmission. Det er den enkle måten å sette regler raskt på: bestemme hvilket program eller tjeneste du vil bruke fra listen, hvis du tillater innkommende eller utgående, og reglene vil legge til seg selv.

Hvis du for eksempel bestemmer deg for å tillate i Skype-tilkoblinger, tillater gUFW innkommende tilkoblinger til port 443 ved hjelp av TCP-protokollen.

Like enkelt å bruke som denne fanen er, er den imidlertid ufullstendig. Det er fortsatt en masse ting som du ikke kan gjøre uten å gå inn i kategorien "Enkel". Jeg lover, vi vil ikke gå videre, ingen "Avansert" -fanen for i dag.

Denne kategorien er ikke veldig komplisert å bruke. Alt du trenger å gjøre for å legge til regler er å velge mellom innkommende eller utgående tilkoblinger, protokollen som brukes, og portnummeret. Jeg skal ikke lære forskjellen mellom UDP-protokollen eller TCP, men i stedet vil jeg gi deg en ikke-uttømmende liste over porter som du kanskje vil beholde åpnet, og hvorfor.

Ikke-uttømmende liste over havner

Utgående tilkoblinger:

  • 80 / tcp for HTTP
  • 53 / utp for DNS
  • 443 / tcp for HTTPS (sikret HTTP)
  • 21 / tcp for FTP (File Transfer Protocol)
  • 465 / tcp for SMTP (send e-post)
  • 25 / tcp for usikker SMTP
  • 22 / tcp for SSH (sikker tilkobling fra datamaskin til datamaskin)
  • 993 / tcp & udp for IMAP (motta e-post)
  • 143 / tcp & udp for usikker IMAP
  • 9418 / tcp for GIT (versjonskontrollsystem)

Innkommende tilkoblinger:

  • 993 / tcp & udp for IMAP (motta e-post)
  • 143 / tcp & udp for usikker IMAP
  • 110 / tcp for POP3 (gammel måte å motta e-post)
  • 22 / tcp for SSH (sikker tilkobling fra datamaskin til datamaskin)
  • 9418 / tcp for GIT (versjonskontrollsystem)

Igjen, denne listen er ufullstendig, men det er en god start. Ikke nøl med å søke om du har andre behov, og sjekk først "Preconfigured" -fanen.

Noen tjenester, som IMAP, krever en innkommende og en utgående tilkobling for å fungere skikkelig. Og i noen tilfeller krever krypterte tilkoblinger en annen port.

Konklusjon

Nå er du klar til å fullstendig kontrollere din egen brannmur og forsikre deg selv om sikkerheten din. Til slutt må UFW legges til din demoner ved oppstart. Bruk kommandoen:

 sudo update-rc.d ufw standardinnstillinger 

Og i andre distribusjoner som Archlinux, rediger /etc/rc.conf filen. Det er selvfølgelig bedre å legge til UFW-dæmonen før daemonen som etablerer en Internett-tilkobling (for eksempel wicd eller network-manager for eksempel).

Bruker du en annen brannmur? Eller har du andre regler som du anbefaler? Gi oss beskjed i kommentaren.