Налаштуйте нескладний брандмауер (UFW) на Ubuntu 14.04

Безпека має вирішальне значення, коли ви запускаєте власний сервер. Ви хочете переконатися, що лише авторизовані користувачі мають доступ до вашого сервера, конфігурації та служб.

В Ubuntu є брандмауер, який поставляється попередньо завантаженим. Він називається UFW (неускладнений брандмауер). Хоча UFW є досить простим брандмауером, він зручний для користувачів, відмінно фільтрує трафік і має гарну документацію. Щоб самостійно налаштувати цей брандмауер, має бути достатньо базових знань Linux.

Встановіть UFW

Зверніть увагу, що UFW зазвичай встановлюється за замовчуванням в Ubuntu. Але якщо що, ви можете встановити його самостійно. Щоб встановити UFW, виконайте таку команду.

sudo apt-get install ufw

Дозволити підключення

Якщо ви використовуєте веб-сервер, ви, очевидно, хочете, щоб світ мав доступ до ваших веб-сайтів. Тому вам потрібно переконатися, що TCP-порт за замовчуванням для Інтернету відкритий.

sudo ufw allow 80/tcp

Загалом, ви можете дозволити будь-який потрібний порт, використовуючи такий формат:

sudo ufw allow <port>/<optional: protocol>

Заборонити з'єднання

Якщо вам потрібно заборонити доступ до певного порту, скористайтеся цим:

sudo ufw deny <port>/<optional: protocol>

Наприклад, давайте заборонимо доступ до нашого порту MySQL за замовчуванням.

sudo ufw deny 3306

UFW також підтримує спрощений синтаксис для найпоширеніших службових портів.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Настійно рекомендуємо обмежити доступ до вашого порту SSH (за замовчуванням це порт 22) з будь-якого місця, окрім ваших надійних IP-адрес (наприклад: офіс або будинок).

Дозволити доступ з надійної IP-адреси

Як правило, вам потрібно буде дозволити доступ лише до публічно відкритих портів, таких як порт 80. Доступ до всіх інших портів має бути обмежений або обмежений. Ви можете занести свою домашню/офісну IP-адресу в білий список (бажано, щоб це була статична IP-адреса), щоб мати можливість отримати доступ до свого сервера через SSH або FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Давайте також дозволимо доступ до порту MySQL.

sudo ufw allow from 192.168.0.1 to any port 3306

Зараз виглядає краще. Йдемо далі.

Увімкнути UFW

Перш ніж увімкнути (або перезапустити) UFW, вам потрібно переконатися, що порт SSH дозволяє отримувати з’єднання з вашої IP-адреси. Щоб запустити/увімкнути брандмауер UFW, скористайтеся такою командою:

sudo ufw enable

Ви побачите це:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Введіть Y , а потім натисніть Enter, щоб увімкнути брандмауер.

Firewall is active and enabled on system startup

Перевірте статус UFW

Перегляньте всі свої правила.

sudo ufw status

Ви побачите вихід, подібний до наведеного нижче.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Використовуйте параметр "докладний", щоб переглянути докладніший звіт про статус.

sudo ufw status verbose

Вимкніть/перезавантажте/перезапустіть UFW

Щоб вимкнути (зупинити) UFW, виконайте цю команду.

sudo ufw disable

Якщо вам потрібно перезавантажити UFW (правила перезавантаження), виконайте наступне.

sudo ufw reload

Щоб перезапустити UFW, вам потрібно буде спочатку вимкнути його, а потім знову включити.

sudo ufw disable
sudo ufw enable

Знову ж таки, перш ніж увімкнути UFW, переконайтеся, що порт SSH дозволений для вашої IP-адреси.

Видалення правил

Щоб керувати правилами UFW, вам потрібно їх перерахувати. Ви можете зробити це, перевіривши статус UFW за допомогою параметра "numbered". Ви побачите вихід, подібний до наведеного нижче.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Помітили цифри в квадратних дужках? Тепер, щоб видалити будь-яке з цих правил, вам потрібно буде використовувати ці числа.

sudo ufw delete [number]

Увімкнення підтримки IPv6

Якщо ви використовуєте IPv6 на своєму VPS, вам потрібно переконатися, що підтримка IPv6 увімкнена в UFW. Для цього відкрийте файл конфігурації в текстовому редакторі.

sudo nano /etc/default/ufw

Після відкриття переконайтеся, що IPV6встановлено значення "так":

IPV6=yes

Після внесення цієї зміни збережіть файл. Потім перезапустіть UFW, вимкнувши та знову ввімкнувши його.

sudo ufw disable
sudo ufw enable

Повернутися до налаштувань за замовчуванням

Якщо вам потрібно повернутися до налаштувань за замовчуванням, просто введіть таку команду. Це поверне будь-які ваші зміни.

sudo ufw reset

Висновок

Загалом, UFW здатний захистити ваш VPS від найпоширеніших спроб злому. Звичайно, ваші заходи безпеки мають бути більш детальними, ніж просто використання UFW. Однак це хороший (і необхідний) початок.

Якщо вам потрібні додаткові приклади використання UFW, ви можете звернутися до UFW - Community Help Wiki .