Sukonfigūruokite nesudėtingą ugniasienę (UFW) Ubuntu 14.04

Saugumas yra labai svarbus, kai naudojate savo serverį. Norite įsitikinti, kad tik įgalioti vartotojai gali pasiekti jūsų serverį, konfigūraciją ir paslaugas.

Ubuntu yra ugniasienė, kuri yra iš anksto įkelta. Tai vadinama UFW (nesudėtinga ugniasienė). Nors UFW yra gana paprasta ugniasienė, ji yra patogi vartotojui, puikiai filtruoja srautą ir turi gerą dokumentaciją. Norint savarankiškai sukonfigūruoti šią užkardą, turėtų pakakti kai kurių pagrindinių Linux žinių.

Įdiekite UFW

Atkreipkite dėmesį, kad UFW paprastai yra įdiegtas pagal numatytuosius nustatymus Ubuntu. Bet jei ką, galite įdiegti patys. Norėdami įdiegti UFW, paleiskite šią komandą.

sudo apt-get install ufw

Leisti jungtis

Jei naudojate žiniatinklio serverį, akivaizdu, kad norite, kad pasaulis galėtų pasiekti jūsų svetainę (-es). Todėl turite įsitikinti, kad numatytasis žiniatinklio TCP prievadas yra atidarytas.

sudo ufw allow 80/tcp

Apskritai galite leisti bet kurį reikalingą prievadą naudodami šį formatą:

sudo ufw allow <port>/<optional: protocol>

Neigti ryšius

Jei jums reikia uždrausti prieigą prie tam tikro prievado, naudokite:

sudo ufw deny <port>/<optional: protocol>

Pavyzdžiui, uždrauskime prieigą prie numatytojo MySQL prievado.

sudo ufw deny 3306

UFW taip pat palaiko supaprastintą dažniausiai naudojamų paslaugų prievadų sintaksę.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Labai rekomenduojama apriboti prieigą prie SSH prievado (pagal numatytuosius nustatymus tai yra 22 prievadas) iš bet kurios vietos, išskyrus patikimus IP adresus (pavyzdžiui, biure ar namuose).

Leisti pasiekti iš patikimo IP adreso

Paprastai jums reikės leisti prieigą tik prie viešai atidarytų prievadų, pvz., 80 prievado. Prieiga prie visų kitų prievadų turi būti apribota arba apribota. Galite įtraukti savo namų / biuro IP adresą į baltąjį sąrašą (pageidautina, kad jis būtų statinis IP), kad galėtumėte pasiekti serverį per SSH arba FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Taip pat leiskime prieiti prie MySQL prievado.

sudo ufw allow from 192.168.0.1 to any port 3306

Dabar atrodo geriau. Eikime toliau.

Įgalinti UFW

Prieš įjungdami (arba iš naujo nustatydami) UFW, turite įsitikinti, kad SSH prievadui leidžiama priimti ryšius iš jūsų IP adreso. Norėdami paleisti / įjungti UFW užkardą, naudokite šią komandą:

sudo ufw enable

Pamatysite tai:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Įveskite Y , tada paspauskite Enter, kad įjungtumėte ugniasienę.

Firewall is active and enabled on system startup

Patikrinkite UFW būseną

Pažvelkite į visas savo taisykles.

sudo ufw status

Pamatysite išvestį, panašią į toliau pateiktą.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Norėdami pamatyti išsamesnę būsenos ataskaitą, naudokite parametrą „išsamus“.

sudo ufw status verbose

Išjungti / iš naujo įkelti / iš naujo paleisti UFW

Norėdami išjungti (sustabdyti) UFW, paleiskite šią komandą.

sudo ufw disable

Jei reikia iš naujo įkelti UFW (perkrovimo taisykles), atlikite toliau nurodytus veiksmus.

sudo ufw reload

Norėdami iš naujo paleisti UFW, pirmiausia turėsite jį išjungti, o tada vėl įjungti.

sudo ufw disable
sudo ufw enable

Vėlgi, prieš įjungdami UFW, įsitikinkite, kad SSH prievadas leidžiamas jūsų IP adresui.

Taisyklių pašalinimas

Norėdami tvarkyti savo UFW taisykles, turite jas išvardyti. Tai galite padaryti patikrinę UFW būseną su parametru "numeruota". Pamatysite išvestį, panašią į toliau pateiktą.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Ar pastebėjote skaičius laužtiniuose skliaustuose? Dabar, norėdami pašalinti bet kurią iš šių taisyklių, turėsite naudoti šiuos skaičius.

sudo ufw delete [number]

Įgalinamas IPv6 palaikymas

Jei savo VPS naudojate IPv6, turite užtikrinti, kad UFW įjungtas IPv6 palaikymas. Norėdami tai padaryti, atidarykite konfigūracijos failą teksto rengyklėje.

sudo nano /etc/default/ufw

Atidarę įsitikinkite, kad IPV6nustatyta „taip“:

IPV6=yes

Atlikę šį pakeitimą išsaugokite failą. Tada iš naujo paleiskite UFW jį išjungdami ir vėl įgalindami.

sudo ufw disable
sudo ufw enable

Grįžti į numatytuosius nustatymus

Jei reikia grįžti į numatytuosius nustatymus, tiesiog įveskite šią komandą. Tai atšauks visus jūsų pakeitimus.

sudo ufw reset

Išvada

Apskritai, UFW gali apsaugoti jūsų VPS nuo dažniausiai pasitaikančių įsilaužimų. Žinoma, jūsų saugos priemonės turėtų būti išsamesnės nei naudojant UFW. Tačiau tai gera (ir būtina) pradžia.

Jei jums reikia daugiau UFW naudojimo pavyzdžių, galite kreiptis į UFW - Community Help Wiki .