Konfigurējiet nekomplicētu ugunsmūri (UFW) Ubuntu 14.04

Drošība ir ļoti svarīga, ja izmantojat savu serveri. Jūs vēlaties pārliecināties, ka tikai pilnvaroti lietotāji var piekļūt jūsu serverim, konfigurācijai un pakalpojumiem.

Ubuntu ir ugunsmūris, kas ir iepriekš ielādēts. To sauc par UFW (Uncomplicated Firewall). Lai gan UFW ir diezgan vienkāršs ugunsmūris, tas ir lietotājam draudzīgs, lieliski filtrē trafiku un tam ir laba dokumentācija. Lai patstāvīgi konfigurētu šo ugunsmūri, vajadzētu pietikt ar dažām Linux pamatzināšanām.

Instalējiet UFW

Ņemiet vērā, ka UFW Ubuntu parasti tiek instalēts pēc noklusējuma. Bet, ja kas, jūs varat to instalēt pats. Lai instalētu UFW, palaidiet šo komandu.

sudo apt-get install ufw

Atļaut savienojumus

Ja izmantojat tīmekļa serveri, jūs noteikti vēlaties, lai pasaule varētu piekļūt jūsu vietnei(-ēm). Tāpēc jums ir jāpārliecinās, vai ir atvērts noklusējuma TCP ports tīmeklim.

sudo ufw allow 80/tcp

Kopumā varat atļaut jebkuru nepieciešamo portu, izmantojot šādu formātu:

sudo ufw allow <port>/<optional: protocol>

Noliegt savienojumus

Ja jums ir nepieciešams liegt piekļuvi noteiktam portam, izmantojiet šo:

sudo ufw deny <port>/<optional: protocol>

Piemēram, liegsim piekļuvi mūsu noklusējuma MySQL portam.

sudo ufw deny 3306

UFW atbalsta arī vienkāršotu sintaksi visizplatītākajiem pakalpojumu portiem.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Ir ļoti ieteicams ierobežot piekļuvi SSH portam (pēc noklusējuma tas ir 22. ports) no jebkuras vietas, izņemot jūsu uzticamās IP adreses (piemēram, biroja vai mājas).

Atļaut piekļuvi no uzticamas IP adreses

Parasti jums ir jāatļauj piekļuve tikai publiski atvērtiem portiem, piemēram, portam 80. Piekļuve visiem pārējiem portiem ir jāierobežo vai jāierobežo. Varat iekļaut baltajā sarakstā savu mājas/biroja IP adresi (vēlams, lai tā būtu statiska IP), lai varētu piekļūt savam serverim, izmantojot SSH vai FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Atļausim arī piekļuvi MySQL portam.

sudo ufw allow from 192.168.0.1 to any port 3306

Tagad izskatās labāk. Ejam tālāk.

Iespējot UFW

Pirms UFW iespējošanas (vai atkārtotas aktivizēšanas), jums ir jāpārliecinās, vai SSH portam ir atļauts saņemt savienojumus no jūsu IP adreses. Lai palaistu/iespētu UFW ugunsmūri, izmantojiet šo komandu:

sudo ufw enable

Jūs redzēsiet šo:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Ierakstiet Y un pēc tam nospiediet taustiņu Enter, lai iespējotu ugunsmūri.

Firewall is active and enabled on system startup

Pārbaudiet UFW statusu

Apskatiet visus savus noteikumus.

sudo ufw status

Jūs redzēsit izvadi, kas ir līdzīga tālāk norādītajai.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Lai skatītu detalizētāku statusa pārskatu, izmantojiet parametru “vērbozs”.

sudo ufw status verbose

Atspējot/pārlādēt/restartēt UFW

Lai atspējotu (apturētu) UFW, palaidiet šo komandu.

sudo ufw disable

Ja nepieciešams atkārtoti ielādēt UFW (pārlādēšanas noteikumi), izpildiet tālāk norādīto.

sudo ufw reload

Lai restartētu UFW, vispirms tas ir jāatspējo un pēc tam vēlreiz jāiespējo.

sudo ufw disable
sudo ufw enable

Atkal, pirms UFW iespējošanas, pārliecinieties, vai jūsu IP adresei ir atļauts SSH ports.

Noteikumu noņemšana

Lai pārvaldītu savus UFW noteikumus, tie ir jāuzskaita. To var izdarīt, pārbaudot UFW statusu ar parametru "numurēts". Jūs redzēsit izvadi, kas ir līdzīga tālāk norādītajai.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Vai pamanījāt ciparus kvadrātiekavās? Tagad, lai noņemtu kādu no šiem noteikumiem, jums būs jāizmanto šie skaitļi.

sudo ufw delete [number]

IPv6 atbalsta iespējošana

Ja savā VPS izmantojat IPv6, jums ir jānodrošina, lai UFW būtu iespējots IPv6 atbalsts. Lai to izdarītu, teksta redaktorā atveriet konfigurācijas failu.

sudo nano /etc/default/ufw

Pēc atvēršanas pārliecinieties, vai tas IPV6ir iestatīts uz "jā":

IPV6=yes

Pēc šo izmaiņu veikšanas saglabājiet failu. Pēc tam restartējiet UFW, to atspējojot un atkārtoti iespējojot.

sudo ufw disable
sudo ufw enable

Atgriezties uz noklusējuma iestatījumiem

Ja jums ir jāatgriežas pie noklusējuma iestatījumiem, vienkārši ierakstiet šo komandu. Tādējādi tiks atsauktas visas jūsu veiktās izmaiņas.

sudo ufw reset

Secinājums

Kopumā UFW spēj aizsargāt jūsu VPS pret visbiežāk sastopamajiem uzlaušanas mēģinājumiem. Protams, jūsu drošības pasākumiem jābūt detalizētākiem nekā tikai UFW lietošanai. Tomēr tas ir labs (un vajadzīgs) sākums.

Ja jums ir nepieciešami citi UFW lietošanas piemēri, varat atsaukties uz UFW - Community Help Wiki .