Konfigurirajte nezapleteni požarni zid (UFW) v Ubuntu 14.04

Varnost je ključnega pomena, ko zaženete svoj strežnik. Želite zagotoviti, da lahko samo pooblaščeni uporabniki dostopajo do vašega strežnika, konfiguracije in storitev.

V Ubuntuju je požarni zid, ki je prednaložen. Imenuje se UFW (Nezapleteni požarni zid). Čeprav je UFW precej osnovni požarni zid, je uporabniku prijazen, odlično filtrira promet in ima dobro dokumentacijo. Nekaj ​​osnovnega znanja o Linuxu bi moralo biti dovolj, da lahko sami konfigurirate ta požarni zid.

Namestite UFW

Upoštevajte, da je UFW običajno privzeto nameščen v Ubuntu. Če pa kaj, ga lahko namestite sami. Če želite namestiti UFW, zaženite naslednji ukaz.

sudo apt-get install ufw

Dovoli povezave

Če uporabljate spletni strežnik, očitno želite, da lahko svet dostopa do vaših spletnih mest. Zato se morate prepričati, da so privzeta vrata TCP za splet odprta.

sudo ufw allow 80/tcp

Na splošno lahko dovolite katera koli vrata, ki jih potrebujete, z uporabo naslednje oblike:

sudo ufw allow <port>/<optional: protocol>

Zavrni povezave

Če morate zavrniti dostop do določenih vrat, uporabite to:

sudo ufw deny <port>/<optional: protocol>

Na primer, zavrnimo dostop do naših privzetih vrat MySQL.

sudo ufw deny 3306

UFW podpira tudi poenostavljeno sintakso za najpogostejša servisna vrata.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Zelo priporočljivo je, da omejite dostop do vrat SSH (privzeto so to vrata 22) od koder koli, razen od zaupanja vrednih naslovov IP (na primer: pisarna ali dom).

Dovoli dostop z zaupanja vrednega naslova IP

Običajno bi morali dovoliti dostop samo do javno odprtih vrat, kot so vrata 80. Dostop do vseh drugih vrat mora biti omejen ali omejen. Svoj domači/pisarni IP naslov lahko uvrstite na seznam dovoljenih (po možnosti, da bi bil to statični IP), da boste lahko dostopali do svojega strežnika prek SSH ali FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Dovolimo tudi dostop do vrat MySQL.

sudo ufw allow from 192.168.0.1 to any port 3306

Zdaj izgleda bolje. Gremo naprej.

Omogoči UFW

Preden omogočite (ali ponovno nastavite) UFW, se morate prepričati, da lahko vrata SSH sprejemajo povezave z vašega naslova IP. Če želite zagnati/omogočiti požarni zid UFW, uporabite naslednji ukaz:

sudo ufw enable

To boste videli:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Vnesite Y in pritisnite Enter, da omogočite požarni zid.

Firewall is active and enabled on system startup

Preverite stanje UFW

Oglejte si vsa svoja pravila.

sudo ufw status

Videli boste izhod, podoben naslednjemu.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Za podrobnejše poročilo o stanju uporabite parameter "verbose".

sudo ufw status verbose

Onemogočite/ponovno naložite/znova zaženite UFW

Če želite onemogočiti (ustaviti) UFW, zaženite ta ukaz.

sudo ufw disable

Če morate znova naložiti UFW (pravila ponovnega nalaganja), zaženite naslednje.

sudo ufw reload

Če želite znova zagnati UFW, ga boste morali najprej onemogočiti in nato znova omogočiti.

sudo ufw disable
sudo ufw enable

Še enkrat, preden omogočite UFW, se prepričajte, da so vrata SSH dovoljena za vaš naslov IP.

Odstranjevanje pravil

Če želite upravljati svoja pravila UFW, jih morate navesti. To lahko storite tako, da preverite stanje UFW s parametrom "numbered". Videli boste izhod, podoben naslednjemu.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Ste opazili številke v oglatih oklepajih? Zdaj, če želite odstraniti katero koli od teh pravil, boste morali uporabiti te številke.

sudo ufw delete [number]

Omogočanje podpore IPv6

Če uporabljate IPv6 na svojem VPS, morate zagotoviti, da je podpora IPv6 omogočena v UFW. Če želite to narediti, odprite konfiguracijsko datoteko v urejevalniku besedil.

sudo nano /etc/default/ufw

Ko ga odprete, se prepričajte, da IPV6je nastavljeno na "da":

IPV6=yes

Ko naredite to spremembo, shranite datoteko. Nato znova zaženite UFW tako, da ga onemogočite in znova omogočite.

sudo ufw disable
sudo ufw enable

Nazaj na privzete nastavitve

Če se morate vrniti na privzete nastavitve, preprosto vnesite naslednji ukaz. To bo razveljavilo vse vaše spremembe.

sudo ufw reset

Zaključek

Na splošno UFW lahko zaščiti vaš VPS pred najpogostejšimi poskusi vdora. Seveda bi morali biti vaši varnostni ukrepi bolj podrobni kot le uporaba UFW. Vendar je to dober (in potreben) začetek.

Če potrebujete več primerov uporabe UFW, se lahko obrnete na UFW - Wiki pomoč skupnosti .