Konfigureerige Ubuntu 14.04 tüsistusteta tulemüür (UFW).

Installige UFW

Luba ühendused

Keela ühendused

Luba juurdepääs usaldusväärselt IP-aadressilt

Luba UFW

Kontrollige UFW olekut

UFW keelamine / uuesti laadimine / taaskäivitamine

Reeglite eemaldamine

IPv6 toe lubamine

Tagasi vaikeseadete juurde

Järeldus

Turvalisus on oma serveri haldamisel ülioluline. Soovite veenduda, et teie serverile, konfiguratsioonile ja teenustele pääsevad juurde ainult volitatud kasutajad.

Ubuntus on tulemüür, mis on eellaaditud. Seda nimetatakse UFW-ks (Uncomplicated Firewall). Kuigi UFW on üsna lihtne tulemüür, on see kasutajasõbralik, sobib suurepäraselt liikluse filtreerimisega ja sellel on hea dokumentatsioon. Selle tulemüüri iseseisvaks konfigureerimiseks peaks piisama mõningatest Linuxi algteadmistest.

Installige UFW

Pange tähele, et UFW on tavaliselt Ubuntus vaikimisi installitud. Aga kui midagi, saate selle ise installida. UFW installimiseks käivitage järgmine käsk.

sudo apt-get install ufw

Luba ühendused

Kui kasutate veebiserverit, tahate ilmselgelt, et maailm pääseks teie veebisaidile (veebilehtedele) juurde. Seetõttu peate veenduma, et veebi jaoks mõeldud TCP vaikeport on avatud.

sudo ufw allow 80/tcp

Üldiselt saate lubada mis tahes vajaliku pordi, kasutades järgmist vormingut:

sudo ufw allow <port>/<optional: protocol>

Keela ühendused

Kui teil on vaja keelata juurdepääs teatud pordile, kasutage järgmist:

sudo ufw deny <port>/<optional: protocol>

Näiteks keelame juurdepääs meie MySQL-i vaikepordile.

sudo ufw deny 3306

UFW toetab ka kõige tavalisemate teenindusportide lihtsustatud süntaksit.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Soovitatav on piirata juurdepääsu oma SSH-pordile (vaikimisi on see port 22) kõikjal, välja arvatud teie usaldusväärsed IP-aadressid (näiteks: kontor või kodu).

Luba juurdepääs usaldusväärselt IP-aadressilt

Tavaliselt peate lubama juurdepääsu ainult avalikult avatud portidele, nagu port 80. Juurdepääs kõigile teistele portidele peab olema piiratud või piiratud. Saate lisada oma kodu/kontori IP-aadressi valgesse nimekirja (eelistatavalt peaks see olema staatiline IP), et pääseda oma serverile SSH või FTP kaudu.

sudo ufw allow from 192.168.0.1 to any port 22

Lubame ka juurdepääsu MySQL-i pordile.

sudo ufw allow from 192.168.0.1 to any port 3306

Praegu näeb parem välja. Liigume edasi.

Luba UFW

Enne UFW lubamist (või taaskäivitamist) peate veenduma, et SSH-pordil on lubatud teie IP-aadressilt ühendusi vastu võtta. UFW tulemüüri käivitamiseks/lubamiseks kasutage järgmist käsku:

sudo ufw enable

Näete seda:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Tippige Y ja vajutage tulemüüri lubamiseks sisestusklahvi .

Firewall is active and enabled on system startup

Kontrollige UFW olekut

Vaadake üle kõik oma reeglid.

sudo ufw status

Näete järgmisega sarnast väljundit.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Üksikasjalikuma olekuaruande vaatamiseks kasutage parameetrit "sõnaline".

sudo ufw status verbose

UFW keelamine / uuesti laadimine / taaskäivitamine

UFW keelamiseks (peatamiseks) käivitage see käsk.

sudo ufw disable

Kui peate uuesti laadima UFW (reload reeglid), käivitage järgmine.

sudo ufw reload

UFW taaskäivitamiseks peate selle esmalt keelama ja seejärel uuesti lubama.

sudo ufw disable
sudo ufw enable

Jällegi, enne UFW lubamist veenduge, et SSH-port on teie IP-aadressi jaoks lubatud.

Reeglite eemaldamine

UFW-reeglite haldamiseks peate need loetlema. Seda saate teha, kontrollides UFW olekut parameetriga "numered". Näete järgmisega sarnast väljundit.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Kas märkasite nurksulgudes olevaid numbreid? Nüüd peate nende reeglite eemaldamiseks kasutama neid numbreid.

sudo ufw delete [number]

IPv6 toe lubamine

Kui kasutate oma VPS-is IPv6, peate tagama, et IPv6 tugi on UFW-s lubatud. Selleks avage tekstiredaktoris konfiguratsioonifail.

sudo nano /etc/default/ufw

Pärast avamist veenduge, et see IPV6on seatud väärtusele "jah":

IPV6=yes

Pärast selle muudatuse tegemist salvestage fail. Seejärel taaskäivitage UFW, keelates ja uuesti lubades.

sudo ufw disable
sudo ufw enable

Tagasi vaikeseadete juurde

Kui peate naasma vaikeseadetele, tippige lihtsalt järgmine käsk. See tühistab kõik teie muudatused.

sudo ufw reset

Järeldus

Üldiselt suudab UFW kaitsta teie VPS-i kõige tavalisemate häkkimiskatsete eest. Muidugi peaksid teie turvameetmed olema üksikasjalikumad kui lihtsalt UFW kasutamine. Siiski on see hea (ja vajalik) algus.

Kui vajate rohkem näiteid UFW kasutamise kohta, võite vaadata UFW - Community Help Wiki .