Konfigurer ukomplisert brannmur (UFW) på Ubuntu 14.04

Sikkerhet er avgjørende når du kjører din egen server. Du vil forsikre deg om at bare autoriserte brukere har tilgang til serveren, konfigurasjonen og tjenestene dine.

I Ubuntu er det en brannmur som leveres forhåndslastet. Det kalles UFW (Ukomplisert brannmur). Selv om UFW er en ganske enkel brannmur, er den brukervennlig, utmerker seg ved å filtrere trafikk og har god dokumentasjon. Noen grunnleggende Linux-kunnskaper bør være nok til å konfigurere denne brannmuren på egen hånd.

Installer UFW

Legg merke til at UFW vanligvis er installert som standard i Ubuntu. Men hvis noe, kan du installere det selv. For å installere UFW, kjør følgende kommando.

sudo apt-get install ufw

Tillat tilkoblinger

Hvis du kjører en webserver, vil du åpenbart at verden skal kunne få tilgang til nettsiden(e). Derfor må du sørge for at standard TCP-port for web er åpen.

sudo ufw allow 80/tcp

Generelt kan du tillate hvilken som helst port du trenger ved å bruke følgende format:

sudo ufw allow <port>/<optional: protocol>

Avslå tilkoblinger

Hvis du trenger å nekte tilgang til en bestemt port, bruk denne:

sudo ufw deny <port>/<optional: protocol>

La oss for eksempel nekte tilgang til vår standard MySQL-port.

sudo ufw deny 3306

UFW støtter også en forenklet syntaks for de vanligste tjenesteportene.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Det anbefales sterkt å begrense tilgangen til SSH-porten din (som standard er det port 22) fra hvor som helst unntatt dine pålitelige IP-adresser (eksempel: kontor eller hjemme).

Tillat tilgang fra en pålitelig IP-adresse

Vanligvis må du bare tillate tilgang til offentlig åpne porter som port 80. Tilgang til alle andre porter må begrenses eller begrenses. Du kan hvitliste hjemme-/kontor-IP-adressen din (fortrinnsvis er det ment å være en statisk IP) for å få tilgang til serveren din via SSH eller FTP.

sudo ufw allow from 192.168.0.1 to any port 22

La oss også gi tilgang til MySQL-porten.

sudo ufw allow from 192.168.0.1 to any port 3306

Ser bedre ut nå. La oss gå videre.

Aktiver UFW

Før du aktiverer (eller gjenoppretter) UFW, må du sørge for at SSH-porten har tillatelse til å motta tilkoblinger fra IP-adressen din. For å starte/aktivere UFW-brannmuren, bruk følgende kommando:

sudo ufw enable

Du vil se dette:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Skriv Y , og trykk deretter Enter for å aktivere brannmuren.

Firewall is active and enabled on system startup

Sjekk UFW-status

Ta en titt på alle reglene dine.

sudo ufw status

Du vil se utdata som ligner på følgende.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Bruk "verbose"-parameteren for å se en mer detaljert statusrapport.

sudo ufw status verbose

Deaktiver/last inn/start UFW på nytt

For å deaktivere (stoppe) UFW, kjør denne kommandoen.

sudo ufw disable

Hvis du trenger å laste inn UFW på nytt (reload regler), kjør følgende.

sudo ufw reload

For å starte UFW på nytt, må du først deaktivere det, og deretter aktivere det igjen.

sudo ufw disable
sudo ufw enable

Igjen, før du aktiverer UFW, sørg for at SSH-porten er tillatt for IP-adressen din.

Fjerner regler

For å administrere UFW-reglene dine må du liste dem opp. Du kan gjøre det ved å sjekke UFW-status med parameteren "nummerert". Du vil se utdata som ligner på følgende.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Har du lagt merke til tallene i hakeparenteser? Nå, for å fjerne noen av disse reglene, må du bruke disse tallene.

sudo ufw delete [number]

Aktiverer IPv6-støtte

Hvis du bruker IPv6 på din VPS, må du sørge for at IPv6-støtte er aktivert i UFW. For å gjøre det, åpne konfigurasjonsfilen i et tekstredigeringsprogram.

sudo nano /etc/default/ufw

Når den er åpnet, sørg for at den IPV6er satt til "ja":

IPV6=yes

Etter å ha gjort denne endringen, lagre filen. Start deretter UFW på nytt ved å deaktivere og aktivere den på nytt.

sudo ufw disable
sudo ufw enable

Tilbake til standardinnstillinger

Hvis du trenger å gå tilbake til standardinnstillingene, skriver du bare inn følgende kommando. Dette vil tilbakestille alle endringene dine.

sudo ufw reset

Konklusjon

Totalt sett er UFW i stand til å beskytte din VPS mot de vanligste hackingforsøkene. Selvfølgelig bør sikkerhetstiltakene dine være mer detaljerte enn bare å bruke UFW. Det er imidlertid en god (og nødvendig) start.

Hvis du trenger flere eksempler på bruk av UFW, kan du henvise til UFW - Community Help Wiki .