Konfigurer Uncomplicated Firewall (UFW) på Ubuntu 14.04

Sikkerhed er afgørende, når du kører din egen server. Du vil sikre dig, at kun autoriserede brugere kan få adgang til din server, konfiguration og tjenester.

I Ubuntu er der en firewall, der er forudindlæst. Det hedder UFW (Ukompliceret firewall). Selvom UFW er en ret grundlæggende firewall, er den brugervenlig, udmærker sig ved at filtrere trafik og har god dokumentation. Nogle grundlæggende Linux viden burde være nok til at konfigurere denne firewall på egen hånd.

Installer UFW

Bemærk, at UFW typisk er installeret som standard i Ubuntu. Men hvis noget, du kan installere det selv. For at installere UFW skal du køre følgende kommando.

sudo apt-get install ufw

Tillad forbindelser

Hvis du kører en webserver, vil du naturligvis gerne have, at verden kan få adgang til din(e) hjemmeside(r). Derfor skal du sikre dig, at standard TCP-porten til web er åben.

sudo ufw allow 80/tcp

Generelt kan du tillade enhver port, du har brug for, ved at bruge følgende format:

sudo ufw allow <port>/<optional: protocol>

Afvis forbindelser

Hvis du har brug for at nægte adgang til en bestemt port, skal du bruge denne:

sudo ufw deny <port>/<optional: protocol>

Lad os for eksempel nægte adgang til vores standard MySQL-port.

sudo ufw deny 3306

UFW understøtter også en forenklet syntaks for de mest almindelige serviceporte.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Det anbefales stærkt at begrænse adgangen til din SSH-port (som standard er det port 22) hvor som helst undtagen dine betroede IP-adresser (eksempel: kontor eller hjemme).

Tillad adgang fra en pålidelig IP-adresse

Typisk skal du kun tillade adgang til offentligt åbne porte såsom port 80. Adgang til alle andre porte skal begrænses eller begrænses. Du kan hvidliste din hjemme-/kontor-IP-adresse (helst skal det være en statisk IP) for at kunne få adgang til din server via SSH eller FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Lad os også give adgang til MySQL-porten.

sudo ufw allow from 192.168.0.1 to any port 3306

Ser bedre ud nu. Lad os gå videre.

Aktiver UFW

Før du aktiverer (eller gentager) UFW, skal du sikre dig, at SSH-porten har tilladelse til at modtage forbindelser fra din IP-adresse. For at starte/aktivere din UFW firewall skal du bruge følgende kommando:

sudo ufw enable

Du vil se dette:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Skriv Y , og tryk derefter på Enter for at aktivere firewallen.

Firewall is active and enabled on system startup

Tjek UFW-status

Tag et kig på alle dine regler.

sudo ufw status

Du vil se output svarende til det følgende.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Brug parameteren "verbose" for at se en mere detaljeret statusrapport.

sudo ufw status verbose

Deaktiver/genindlæs/genstart UFW

Kør denne kommando for at deaktivere (stop) UFW.

sudo ufw disable

Hvis du har brug for at genindlæse UFW (genindlæsningsregler), skal du køre følgende.

sudo ufw reload

For at genstarte UFW skal du først deaktivere det og derefter aktivere det igen.

sudo ufw disable
sudo ufw enable

Igen, før du aktiverer UFW, skal du sørge for, at SSH-porten er tilladt for din IP-adresse.

Fjernelse af regler

For at administrere dine UFW-regler skal du angive dem. Det kan du gøre ved at kontrollere UFW-status med parameteren "nummereret". Du vil se output svarende til det følgende.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Har du bemærket tallene i firkantede parenteser? Nu, for at fjerne nogen af ​​disse regler, skal du bruge disse numre.

sudo ufw delete [number]

Aktiverer IPv6-understøttelse

Hvis du bruger IPv6 på din VPS, skal du sikre dig, at IPv6-understøttelse er aktiveret i UFW. For at gøre det skal du åbne konfigurationsfilen i en teksteditor.

sudo nano /etc/default/ufw

Når den er åbnet, skal du sørge for, at den IPV6er indstillet til "ja":

IPV6=yes

Når du har foretaget denne ændring, skal du gemme filen. Genstart derefter UFW ved at deaktivere og genaktivere det.

sudo ufw disable
sudo ufw enable

Tilbage til standardindstillingerne

Hvis du har brug for at gå tilbage til standardindstillingerne, skal du blot indtaste følgende kommando. Dette vil fortryde enhver af dine ændringer.

sudo ufw reset

Konklusion

Samlet set er UFW i stand til at beskytte din VPS mod de mest almindelige hackingforsøg. Selvfølgelig skal dine sikkerhedsforanstaltninger være mere detaljerede end blot at bruge UFW. Det er dog en god (og nødvendig) start.

Hvis du har brug for flere eksempler på brug af UFW, kan du henvise til UFW - Community Help Wiki .