אם אתה משתמש או מתכנן להשתמש ב- Linux, תמריץ טוב הוא האבטחה היחסית שמופעלת כברירת מחדל. מערכות לינוקס אינן רגישות לרוב טוב של וירוסי Windows ו- Mac OS, ופרוייקט גנו כשלעצמו מבטיח את האותנטיות של התוכנה. עם זאת, כל חנון (פרנואיד) יודע כי אין דבר כזה מערכת מוגן לחלוטין. היום, נראה לך כיצד לשפר את האבטחה של Linux על-ידי ביצוע מספר שינויים בהגדרות חומת האש.

במקום רק לבדוק את תוכנת חומת האש, אני יתמקד יותר בהגדרות חומת האש, כגון הכללים והיציאות, שכן הם עומדים כבסיס לחומת אש יעילה.

התוכנית המסורתית עבור חומת אש ב- Linux היא IPTables מבוססי פקודות. נגזר ישירות מן האידיאל של יוניקס, הוא חזק מאוד, ועם זאת מסובך מאוד למתחילים. IPTables אינו משגר את עצמו על האתחול, ולכן חובת המשתמש להגדיר את חומת האש בסקריפט ולהפעיל אותו מיד לאחר הכניסה. אפשרות קלה יותר היא להשתמש ב- UFW (FireWall מסובך). UFW הוא חומת אש מבוססת פקודות, אך עם תחביר פשוט הרבה יותר. הוא משגר את עצמו ב אתחול, והוא מגיע עם רמת אבטחה זהה IPTables. דרך קלה עוד יותר לעקוף את שורת הפקודה לחלוטין היא להשתמש gUFW - ממשק גרפי עבור UFW.

הַתקָנָה

באובונטו, כל שעליכם לעשות הוא להשתמש בפקודה (ניתן גם להתקין באמצעות מרכז התוכנה של אובונטו):

 sudo apt-get להתקין gfw

תְצוּרָה

הפעל את היישום gUFW. אתה צריך להיות מתבקש עם חלון אפור נחמד.

כדי לפעול כראוי, gUFW זקוקה לזכויות של משתמש-על, מה שאומר שבמסוף, תשתמש בפקודה:

 סודו גופו

אם אתה השיקה את זה מתוך תפריט יישומים, אתה יכול ללחוץ על המנעול זהב בפינה השמאלית התחתונה של החלון gUFW ולהקליד את הסיסמה כדי להעלות את הרשאת המשתמש.

החלון צריך לעלות לחיים ואתה יכול עכשיו להתחיל את התצורה.

ראשית, אתה רוצה להפעיל את חומת האש על ידי לחיצה על סרגל ליד "מצב" כך "On" מוצג. לאחר מכן תוכל לבחור מה אתה רוצה לעשות עם הנכנס ואת התנועה היוצאת. כברירת מחדל, הנמען נדחה והיוצאים מורשים. זהו בסיס טוב, אבל באופן כללי עם לינוקס, אתה רוצה להשתמש שליטה מלאה שלך ללכת רחוק יותר מאשר ברירת המחדל. התצורה כפי שהיא עכשיו ימנע משהו מלהגיע למחשב שלך אבל לא יפסיק את המחשב שלך מן התקשורת. תאר לעצמך שהמחשב שלך כבר נגוע או שתוכנות זדוניות מצליחות לעבור דרך חומת האש. במקרה זה, UFW לא ימנע ממנו לתקשר עם האינטרנט ואולי משדר את הנתונים שלך לקרקר מרושע.

לכן אני ממליץ לך ליישם צעדים דרסטיים: להכחיש הכל - נכנסות ויוצאות!

ברגע זה, תמצא כי יש לך לחתוך את עצמך מהאינטרנט. על ידי הכחשת הכל, אתה גם להכחיש כל תעבורת האינטרנט מ בא / החוצה למערכת שלך. דאגה לא, אנחנו הולכים לקבוע כללים רק לאפשר את היישומים שאתה צריך אמון כדי לגשת לאינטרנט. הוספת כלל היא פשוטה. אתה רק צריך ללחוץ על כפתור "+" בפינה השמאלית התחתונה של החלון. כמו כן, כפתור "-" הוא למחוק את הכלל.

עכשיו, לחץ על כפתור "+". עכשיו אתה צריך להיות מול תיבת דו שיח חדשה עם שלוש כרטיסיות.

הכרטיסייה "מוגדרת מראש" היא ליצור כמה כללים למשימות מוגדרות וספציפיות, כמו עבור סקייפ או שידור. זוהי הדרך הקלה לקבוע כללים במהירות: להחליט איזה תוכנית או שירות אתה רוצה להשתמש מהרשימה, אם אתה מאפשר נכנס או יוצא, ואת הכללים יוסיף את עצמם.

לדוגמה, אם תחליט לאפשר בחיבורי סקייפ, gUFW יאפשר חיבורים נכנסים ליציאה 443 באמצעות פרוטוקול TCP.

קל לשימוש כמו הכרטיסייה הזו, היא עדיין לא שלם. יש עדיין חבורה של דברים שאתה לא יכול לעשות בלי להיכנס לכרטיסייה "פשוט". אני מבטיח, לא נמשיך הלאה, לא "מתקדם" הכרטיסייה להיום.

לשונית זו אינה מורכבת במיוחד לשימוש. כל מה שאתה צריך לעשות עבור הוספת כללים היא לבחור בין חיבורים נכנסים או יוצאים, פרוטוקול בשימוש, ואת מספר היציאה. אני לא הולך ללמד אותך את ההבדל בין פרוטוקול UDP או TCP, אבל במקום זאת, אני יספק לך רשימה בלתי ממצה של יציאות כי ייתכן שתרצה לשמור נפתח, ואת הסיבות לכך.

רשימה בלתי ממצה של יציאות

חיבורים יוצאים:

  • 80 / tcp עבור HTTP
  • 53 / udp עבור DNS
  • 443 / tcp עבור HTTPS (HTTP מאובטח)
  • 21 / tcp עבור FTP (File Transfer Protocol)
  • 465 / tcp עבור SMTP (שליחת הודעות דוא"ל)
  • 25 / tcp עבור SMTP לא מאובטח
  • 22 / tcp עבור SSH (חיבור מאובטח ממחשב למחשב)
  • 993 / tcp & udp עבור IMAP (קבלת הודעות דוא"ל)
  • 143 / tcp & udp עבור IMAP לא מאובטח
  • 9418 / tcp עבור GIT (מערכת בקרת גרסאות)

חיבורים נכנסים:

  • 993 / tcp & udp עבור IMAP (קבלת הודעות דוא"ל)
  • 143 / tcp & udp עבור IMAP לא מאובטח
  • 110 / tcp עבור POP3 (דרך ישנה לקבל הודעות דוא"ל)
  • 22 / tcp עבור SSH (חיבור מאובטח ממחשב למחשב)
  • 9418 / tcp עבור GIT (מערכת בקרת גרסאות)

שוב, רשימה זו אינה שלמה, אבל זה התחלה טובה. אל תהסס לחפש אם יש לך צרכים אחרים, לבדוק את הכרטיסייה "Preconfigured" הראשון.

שירותים מסוימים, כגון IMAP, מחייבים חיבור נכנס ויוצא לעבודה כראוי. ובמקרים מסוימים, חיבורים מוצפנים מבקשים יציאה אחרת.

סיכום

עכשיו אתה מוכן לשלוט באופן מושלם על חומת האש שלך ולהבטיח את עצמך אבטחה. לבסוף, UFW צריך להתווסף הדמונים שלך בעת האתחול. השתמש בפקודה:

 הגדרות ברירת המחדל של sudo update-rc.d ufw

ובחלוקות אחרות כמו Archlinux, ערוך את הקובץ /etc/rc.conf . זה כמובן טוב יותר כדי להוסיף את הדמון UFW לפני הדמון כי יוצר חיבור לאינטרנט (כמו wicd או מנהל רשת למשל).

האם אתה משתמש בחומת אש אחרת? או האם יש לך כמה כללים אחרים שאתה ממליץ? אנא יידע אותנו בתגובתך.