Конфигурирайте неусложнена защитна стена (UFW) на Ubuntu 14.04

Сигурността е от решаващо значение, когато управлявате собствен сървър. Искате да сте сигурни, че само оторизирани потребители имат достъп до вашия сървър, конфигурация и услуги.

В Ubuntu има защитна стена, която е предварително инсталирана. Нарича се UFW (Неусложнена защитна стена). Въпреки че UFW е доста основна защитна стена, тя е удобна за потребителя, превъзхожда филтрирането на трафика и има добра документация. Някои основни познания за Linux трябва да са достатъчни, за да конфигурирате тази защитна стена самостоятелно.

Инсталирайте UFW

Забележете, че UFW обикновено се инсталира по подразбиране в Ubuntu. Но ако има нещо, можете да го инсталирате сами. За да инсталирате UFW, изпълнете следната команда.

sudo apt-get install ufw

Разрешаване на връзки

Ако използвате уеб сървър, очевидно искате светът да има достъп до вашия уебсайт(ове). Следователно, трябва да се уверите, че TCP портът по подразбиране за уеб е отворен.

sudo ufw allow 80/tcp

Като цяло можете да разрешите всеки порт, от който се нуждаете, като използвате следния формат:

sudo ufw allow <port>/<optional: protocol>

Отказване на връзки

Ако трябва да откажете достъп до определен порт, използвайте това:

sudo ufw deny <port>/<optional: protocol>

Например, нека да откажем достъп до нашия MySQL порт по подразбиране.

sudo ufw deny 3306

UFW също така поддържа опростен синтаксис за най-често срещаните сервизни портове.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Силно препоръчително е да ограничите достъпа до вашия SSH порт (по подразбиране това е порт 22) отвсякъде, освен от вашите доверени IP адреси (пример: офис или дом).

Разрешете достъп от доверен IP адрес

Обикновено ще трябва да разрешите достъп само до публично отворени портове, като порт 80. Достъпът до всички други портове трябва да бъде ограничен или ограничен. Можете да включите в белия списък вашия домашен/офис IP адрес (за предпочитане, той да е статичен IP), за да имате достъп до вашия сървър чрез SSH или FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Нека също така разрешим достъп до порта MySQL.

sudo ufw allow from 192.168.0.1 to any port 3306

Сега изглежда по-добре. Да продължим напред.

Активирайте UFW

Преди да активирате (или рестартирате) UFW, трябва да се уверите, че SSH портът е разрешен да получава връзки от вашия IP адрес. За да стартирате/активирате вашата UFW защитна стена, използвайте следната команда:

sudo ufw enable

Ще видите това:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Въведете Y , след което натиснете Enter, за да активирате защитната стена.

Firewall is active and enabled on system startup

Проверете състоянието на UFW

Разгледайте всичките си правила.

sudo ufw status

Ще видите изход, подобен на следния.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Използвайте параметъра „подробно“, за да видите по-подробен отчет за състоянието.

sudo ufw status verbose

Деактивирайте/презаредете/рестартирайте UFW

За да деактивирате (спирате) UFW, изпълнете тази команда.

sudo ufw disable

Ако трябва да презаредите UFW (правила за презареждане), изпълнете следното.

sudo ufw reload

За да рестартирате UFW, първо ще трябва да го деактивирате и след това да го активирате отново.

sudo ufw disable
sudo ufw enable

Отново, преди да активирате UFW, уверете се, че SSH портът е разрешен за вашия IP адрес.

Премахване на правила

За да управлявате вашите UFW правила, трябва да ги изброите. Можете да направите това, като проверите състоянието на UFW с параметъра "номериран". Ще видите изход, подобен на следния.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Забелязахте числата в квадратни скоби? Сега, за да премахнете някое от тези правила, ще трябва да използвате тези числа.

sudo ufw delete [number]

Активиране на поддръжка на IPv6

Ако използвате IPv6 на вашия VPS, трябва да се уверите, че поддръжката на IPv6 е активирана в UFW. За да направите това, отворете конфигурационния файл в текстов редактор.

sudo nano /etc/default/ufw

След като отворите, уверете се, че IPV6е зададено на "да":

IPV6=yes

След като направите тази промяна, запазете файла. След това рестартирайте UFW, като го деактивирате и активирате отново.

sudo ufw disable
sudo ufw enable

Обратно към настройките по подразбиране

Ако трябва да се върнете към настройките по подразбиране, просто въведете следната команда. Това ще върне всички ваши промени.

sudo ufw reset

Заключение

Като цяло UFW е в състояние да защити вашия VPS срещу най-често срещаните опити за хакване. Разбира се, вашите мерки за сигурност трябва да бъдат по-подробни, отколкото просто да използвате UFW. Това обаче е добро (и необходимо) начало.

Ако имате нужда от повече примери за използване на UFW, можете да се обърнете към UFW - Wiki Help на общността .