Debian

Najboljši postopki za varnost pri nastavitvi požarnega zidu Debian

Najboljši postopki za varnost pri nastavitvi požarnega zidu Debian

Omejevalni in dopusten pravilnik požarnega zidu

Poleg sintakse, ki jo morate poznati za upravljanje požarnega zidu, boste morali določiti še naloge požarnega zidu, da se odločite, kakšen pravilnik se bo izvajal. Obstajata dve glavni politiki, ki opredeljujejo vedenje požarnega zidu in različne načine njihove izvedbe.

Ko dodate pravila za sprejem ali zavrnitev določenih paketov, virov, ciljev, vrat itd. pravila bodo določala, kaj se bo zgodilo s prometom ali paketi, ki niso uvrščeni v pravila požarnega zidu.

Izjemno preprost primer bi bil: ko določite, ali želite IP x dodati na seznam dovoljenih ali na črni seznam.x.x.x, kaj se zgodi z ostalimi?.

Recimo, da ste dovolili promet, ki prihaja iz IP x.x.x.x.

A dopusten politika bi pomenila vse naslove IP, ki niso x.x.x.x se lahko poveže, torej y.y.y.y ali z.z.z.z se lahko poveže. A omejevalni pravilnik zavrača ves promet, ki prihaja z naslovov, ki niso x.x.x.x.

Skratka, požarni zid, v skladu s katerim ni dovoljen prehod celotnega prometa ali paketov, ki niso opredeljeni med njegovimi pravili omejevalni. Požarni zid, v skladu s katerim je dovoljen ves promet ali paketi, ki niso opredeljeni med njegovimi pravili dopusten.

Politike se lahko razlikujejo za dohodni in odhodni promet, mnogi uporabniki običajno uporabljajo omejevalni pravilnik za dohodni promet, pri čemer ohranjajo dovoljen pravilnik za odhodni promet, kar je odvisno od uporabe zaščitene naprave.

Iptables in UFW

Medtem ko je Iptables čelna stran za konfiguriranje pravil požarnega zidu jedra, je UFW čelna stran za konfiguracijo Iptables, vendar niso dejanski konkurenti, dejstvo je, da je UFW prinesel možnost hitre nastavitve prilagojenega požarnega zidu brez učenja neprijazne sintakse, vendar nekatera pravila lahko se ne uporabljajo prek posebnih pravil UFW za preprečevanje določenih napadov.

Ta vadnica bo pokazala pravila, ki so po mojem mnenju med najboljšimi praksami požarnega zidu, ki se uporabljajo predvsem, vendar ne samo z UFW.

Če še niste namestili UFW, ga namestite tako, da zaženete:

# apt namestite ufw

Uvod v UFW:

Za začetek omogočimo požarni zid ob zagonu tako, da zaženemo:

# sudo ufw omogoči

Opomba: če je potrebno, lahko požarni zid onemogočite z isto sintakso in nadomestite »omogoči« za »onemogoči« (sudo ufw disable).

Kadar koli boste lahko stanje požarnega zidu natančno preverili tako, da zaženete:

# sudo ufw podroben status

Kot lahko vidite v izhodnih podatkih, je privzeti pravilnik za dohodni promet omejevalni, medtem ko je za odhodni promet dovoljen, stolpec "onemogočeno (preusmerjeno)" pomeni, da sta usmerjanje in posredovanje onemogočena.

Za večino naprav menim, da je omejevalni pravilnik del najboljših varnostnih praks požarnega zidu, zato začnimo z zavrnitvijo vsega prometa, razen tistega, ki smo ga opredelili kot sprejemljivega, omejevalnega požarnega zidu:

# sudo ufw privzeto zanika dohodne

Kot lahko vidite, nas požarni zid opozori, naj posodobimo svoja pravila, da se izognemo napakam pri servisiranju odjemalcev, ki se na nas povezujejo. Način, da to storimo z Iptablesom, je lahko:

# iptables -A INPUT -j DROP

The zanikati pravilo o UFW bo prekinilo povezavo, ne da bi obvestilo drugo stran, da je bila povezava zavrnjena, če želite, da druga stran ve, da je bila povezava zavrnjena, lahko uporabite pravilo “zavrni«Namesto tega.

# sudo ufw privzeto zavrne dohodno

Ko blokirate ves dohodni promet neodvisno od kakršnih koli pogojev, lahko začnemo nastavljati diskriminatorna pravila, da sprejmemo, kaj želimo, da bomo posebej sprejeti, na primer, če nastavljamo spletni strežnik in želite sprejeti vse peticije, ki prihajajo na vaš spletni strežnik, v vrata 80, zaženite:

# sudo ufw dopusti 80

Storitev lahko določite tako po številki vrat ali imenu, na primer lahko uporabite prot 80 kot zgoraj ali ime http:

Poleg storitve lahko določite tudi vir, na primer lahko zavrnete ali zavrnete vse dohodne povezave, razen izvornega IP.

# sudo ufw dovoli od

Skupna pravila iptables, prevedena v UFW:

Omejevanje rate_limit z UFW je precej enostavno, to nam omogoča, da preprečimo zlorabe z omejevanjem števila, ki ga lahko določi vsak gostitelj, pri čemer bi UFW omejeval hitrost za ssh:

# sudo ufw limit iz katerega koli pristanišča 22
# sudo ufw limit ssh / tcp

Če si želite ogledati, kako je UFW olajšal nalogo spodaj, imate zgornji prevod navodil UFW, v katerih so navedena ista navodila:

# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOVO
-m nedavno --set --name PRIVLAČENO --maska ​​255.255.255.0 - vir
#sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOVO
-m nedavna --posodobitev --sekunde 30 --hitcount 6 --ime PRIVLAČENO - maska ​​255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept

Pravila, napisana zgoraj z UFW, bi bila:

Upam, da vam je bila ta vadnica o najboljših postopkih za varnost pri namestitvi požarnega zidu Debian koristna.

Igre Najboljši emulatorji igralne konzole za Linux
Najboljši emulatorji igralne konzole za Linux
V tem članku bo navedena priljubljena programska oprema za emulacijo igralne konzole, ki je na voljo za Linux. Emulacija je sloj združljivosti program...
Igre Najboljši Linux Distros za igre na srečo v letu 2021
Najboljši Linux Distros za igre na srečo v letu 2021
Operacijski sistem Linux je daleč od prvotnega, preprostega, strežniškega videza. Ta OS se je v zadnjih letih izjemno izboljšal in se je zdaj razvil v...
Igre Kako zajeti in pretakati svojo igralno sejo v Linuxu
Kako zajeti in pretakati svojo igralno sejo v Linuxu
V preteklosti je bilo igranje iger le hobi, sčasoma pa je igralniška industrija zabeležila veliko rast glede tehnologije in števila igralcev. Občinstv...