Konfigurirajte jednostavni vatrozid (UFW) na Ubuntu 14.04

Sigurnost je ključna kada pokrećete vlastiti poslužitelj. Želite biti sigurni da samo ovlašteni korisnici mogu pristupiti vašem poslužitelju, konfiguraciji i uslugama.

U Ubuntuu postoji firewall koji dolazi unaprijed. Zove se UFW (Nekomplicirani vatrozid). Iako je UFW prilično osnovni vatrozid, jednostavan je za korištenje, ističe se u filtriranju prometa i ima dobru dokumentaciju. Neka osnovna znanja o Linuxu trebala bi biti dovoljna da sami konfigurirate ovaj vatrozid.

Instalirajte UFW

Primijetite da je UFW obično instaliran prema zadanim postavkama u Ubuntu. Ali ako ništa drugo, možete ga sami instalirati. Da biste instalirali UFW, pokrenite sljedeću naredbu.

sudo apt-get install ufw

Dopusti veze

Ako koristite web poslužitelj, očito želite da svijet može pristupiti vašim web stranicama. Stoga morate biti sigurni da je zadani TCP port za web otvoren.

sudo ufw allow 80/tcp

Općenito, možete dopustiti bilo koji priključak koji vam je potreban korištenjem sljedećeg formata:

sudo ufw allow <port>/<optional: protocol>

Zabranite veze

Ako trebate zabraniti pristup određenom portu, upotrijebite ovo:

sudo ufw deny <port>/<optional: protocol>

Na primjer, zabranimo pristup našem zadanom MySQL portu.

sudo ufw deny 3306

UFW također podržava pojednostavljenu sintaksu za najčešće uslužne portove.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Preporučljivo je ograničiti pristup svom SSH portu (prema zadanim postavkama to je port 22) s bilo kojeg mjesta osim s pouzdanih IP adresa (primjer: ured ili dom).

Dopustite pristup s pouzdane IP adrese

Obično biste trebali dopustiti pristup samo javno otvorenim portovima kao što je port 80. Pristup svim ostalim portovima mora biti ograničen ili ograničen. Možete staviti svoju kućnu/uredsku IP adresu na bijelu listu (po mogućnosti, to bi trebala biti statična IP adresa) da biste mogli pristupiti svom poslužitelju putem SSH ili FTP-a.

sudo ufw allow from 192.168.0.1 to any port 22

Dopustimo i pristup MySQL portu.

sudo ufw allow from 192.168.0.1 to any port 3306

Sada izgleda bolje. Idemo dalje.

Omogućite UFW

Prije nego što omogućite (ili ponovno pokrenete) UFW, morate biti sigurni da je SSH portu dopušteno primanje veza s vaše IP adrese. Da biste pokrenuli/omogućili svoj UFW vatrozid, koristite sljedeću naredbu:

sudo ufw enable

Vidjet ćete ovo:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Upišite Y , a zatim pritisnite Enter da biste omogućili vatrozid.

Firewall is active and enabled on system startup

Provjerite status UFW

Pogledajte sva svoja pravila.

sudo ufw status

Vidjet ćete izlaz sličan sljedećem.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Upotrijebite parametar "opširno" da vidite detaljnije izvješće o statusu.

sudo ufw status verbose

Onemogućite/ponovno učitajte/ponovno pokrenite UFW

Da biste onemogućili (zaustavili) UFW, pokrenite ovu naredbu.

sudo ufw disable

Ako trebate ponovno učitati UFW (pravila ponovnog učitavanja), pokrenite sljedeće.

sudo ufw reload

Da biste ponovno pokrenuli UFW, morat ćete ga prvo onemogućiti, a zatim ponovno omogućiti.

sudo ufw disable
sudo ufw enable

Opet, prije nego što omogućite UFW, provjerite je li SSH port dopušten za vašu IP adresu.

Uklanjanje pravila

Da biste upravljali svojim UFW pravilima, morate ih navesti. To možete učiniti provjerom UFW statusa s parametrom "numered". Vidjet ćete izlaz sličan sljedećem.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Primijetili ste brojeve u uglastim zagradama? Sada, da biste uklonili bilo koje od ovih pravila, morat ćete koristiti ove brojeve.

sudo ufw delete [number]

Omogućavanje podrške za IPv6

Ako koristite IPv6 na svom VPS-u, morate osigurati da je podrška za IPv6 omogućena u UFW. Da biste to učinili, otvorite konfiguracijsku datoteku u uređivaču teksta.

sudo nano /etc/default/ufw

Nakon otvaranja, provjerite je li IPV6postavljeno na "da":

IPV6=yes

Nakon što izvršite ovu promjenu, spremite datoteku. Zatim ponovno pokrenite UFW tako da ga onemogućite i ponovno omogućite.

sudo ufw disable
sudo ufw enable

Povratak na zadane postavke

Ako se trebate vratiti na zadane postavke, jednostavno upišite sljedeću naredbu. Ovo će poništiti sve vaše promjene.

sudo ufw reset

Zaključak

Općenito, UFW je u stanju zaštititi vaš VPS od najčešćih pokušaja hakiranja. Naravno, vaše sigurnosne mjere trebale bi biti detaljnije nego samo korištenje UFW-a. Međutim, to je dobar (i neophodan) početak.

Ako trebate više primjera korištenja UFW-a, možete se obratiti na UFW - Wiki Help Community .