Εάν χρησιμοποιείτε ή σκοπεύετε να χρησιμοποιήσετε το Linux, καλό κίνητρο είναι η σχετική ασφάλεια που εφαρμόζεται από προεπιλογή. Τα συστήματα Linux δεν είναι ευαίσθητα σε μια μεγάλη πλειοψηφία των ιών Windows και Mac OS και το έργο GNU από μόνο του εξασφαλίζει την αυθεντικότητα του λογισμικού. Ωστόσο, κάθε (παρανοϊκό) geek ξέρει ότι δεν υπάρχει ένα τέτοιο πράγμα σαν ένα πλήρως προστατευμένο σύστημα. Σήμερα, θα σας δείξουμε πώς μπορείτε να βελτιώσετε την ασφάλεια του Linux κάνοντας κάποιες αλλαγές στις ρυθμίσεις του Firewall.

Αντί να αναθεωρήσω μόνο το λογισμικό τείχους προστασίας, θα επικεντρωθώ περισσότερο στις ρυθμίσεις του τείχους προστασίας, όπως είναι οι κανόνες και οι θύρες, καθώς αποτελούν τη βάση ενός αποτελεσματικού τείχους προστασίας.

Το παραδοσιακό πρόγραμμα για ένα τείχος προστασίας στο Linux είναι το IPTables με βάση την εντολή. Που προέρχεται άμεσα από το ιδανικό του Unix, είναι πολύ ισχυρό, και όμως εξαιρετικά περίπλοκο για έναν αρχάριο. Το IPTables δεν ξεκινάει από την εκκίνηση, επομένως είναι καθήκον του χρήστη να ρυθμίσει το τείχος προστασίας σε μια δέσμη ενεργειών και να το εκτελέσει αμέσως μετά τη σύνδεση. Μια πιο εύκολη επιλογή είναι να χρησιμοποιήσετε το UFW (Uncomplicated FireWall). Το UFW είναι ένα τείχος προστασίας βάσει εντολών, αλλά με μια πολύ απλούστερη σύνταξη. Ξεκινάει κατά την εκκίνηση και έρχεται με το ίδιο επίπεδο ασφάλειας με το IPTables. Ένας ακόμα πιο εύκολος τρόπος να παρακάμψετε εντελώς τη γραμμή εντολών είναι να χρησιμοποιήσετε το gUFW - μια γραφική διεπαφή για το UFW.

Εγκατάσταση

Στο Ubuntu, το μόνο που έχετε να κάνετε είναι να χρησιμοποιήσετε την εντολή (μπορείτε επίσης να εγκαταστήσετε μέσω του λογισμικού του Ubuntu):

 sudo apt-get install gufw

Διαμόρφωση

Εκτελέστε την εφαρμογή gUFW. Θα πρέπει να σας ζητηθεί ένα ωραίο γκρίζο παράθυρο.

Για να λειτουργήσει σωστά, το gUFW χρειάζεται τα δικαιώματα του υπερ-χρήστη, πράγμα που σημαίνει ότι σε ένα τερματικό θα χρησιμοποιήσετε την εντολή:

 sudo gufw

Εάν το ξεκινήσατε από το μενού εφαρμογής, μπορείτε να κάνετε κλικ στο χρυσό κλείδωμα στο κάτω δεξί μέρος του παραθύρου gUFW και να πληκτρολογήσετε τον κωδικό πρόσβασής σας για να αυξήσετε την άδεια χρήσης.

Το παράθυρο πρέπει να έρθει στη ζωή και τώρα μπορείτε να ξεκινήσετε τη διαμόρφωση.

Πρώτον, θέλετε να ενεργοποιήσετε το τείχος προστασίας κάνοντας κλικ στη γραμμή δίπλα στο "Κατάσταση", έτσι ώστε να εμφανίζεται η ένδειξη "On". Στη συνέχεια, μπορείτε να επιλέξετε τι θέλετε να κάνετε με την εισερχόμενη και την εξερχόμενη κίνηση. Από προεπιλογή, η είσοδος απορρίπτεται και η εξερχόμενη είναι εξουσιοδοτημένη. Αυτό είναι μια καλή βάση, αλλά γενικά με το Linux, θέλετε να χρησιμοποιήσετε τον πλήρη έλεγχο για να προχωρήσετε πέρα ​​από την προεπιλογή. Η διαμόρφωση, όπως είναι τώρα, θα εμποδίσει την είσοδο στον υπολογιστή σας, αλλά δεν θα σταματήσει να επικοινωνεί ο υπολογιστής σας. Φανταστείτε ότι ο υπολογιστής σας είναι ήδη μολυσμένος ή ότι ένα κακόβουλο πρόγραμμα επιτυγχάνει να περάσει από το τείχος προστασίας. Σε αυτή την περίπτωση, ο UFW δεν θα τον σταματήσει από την επικοινωνία με το Διαδίκτυο και ίσως από τη μετάδοση των δεδομένων σας σε ένα κακό cracker.

Κατά συνέπεια, σας συμβουλεύω να εφαρμόσετε δραστικά μέτρα: αρνούνται τα πάντα - εισερχόμενα και εξερχόμενα!

Αυτή τη στιγμή, θα διαπιστώσετε ότι έχετε αποκοπεί από το Διαδίκτυο. Απαγορεύοντας τα πάντα, αρνείστε επίσης οποιαδήποτε κυκλοφορία ιστού να έρχεται μέσα / έξω στο σύστημά σας. Μην ανησυχείτε, πρόκειται να ορίσουμε κανόνες που επιτρέπουν μόνο στις εφαρμογές που χρειάζεστε και εμπιστεύεστε να έχουν πρόσβαση στον ιστό. Η προσθήκη ενός κανόνα είναι απλή. Απλά πρέπει να κάνετε κλικ στο κουμπί "+" στο κάτω αριστερό μέρος του παραθύρου. Ομοίως, το κουμπί "-" θα διαγράψει τον κανόνα.

Τώρα, κάντε κλικ στο κουμπί "+". Θα πρέπει να είστε τώρα μπροστά από ένα νέο παράθυρο διαλόγου με τρεις καρτέλες.

Η καρτέλα "Προκαθορισμένη" είναι για τη δημιουργία ορισμένων κανόνων για καθορισμένες και συγκεκριμένες εργασίες, όπως για το Skype ή τη μετάδοση. Είναι ο εύκολος τρόπος για γρήγορη ρύθμιση των κανόνων: αποφασίστε ποιο πρόγραμμα ή υπηρεσία θέλετε να χρησιμοποιήσετε από τη λίστα, εάν επιτρέπετε εισερχόμενες ή εξερχόμενες και οι κανόνες θα προστεθούν.

Για παράδειγμα, αν αποφασίσετε να επιτρέψετε σε συνδέσεις Skype, το gUFW θα επιτρέψει τις εισερχόμενες συνδέσεις στη θύρα 443 χρησιμοποιώντας το πρωτόκολλο TCP.

Όσο πιο εύκολο γίνεται η χρήση αυτής της καρτέλας, είναι εντελώς ατελές. Υπάρχει ακόμα ένα σωρό πράγματα που δεν μπορείτε να κάνετε χωρίς να μπείτε στην καρτέλα "Απλή". Υποσχόμαστε ότι δεν θα προχωρήσουμε περαιτέρω, χωρίς την "Προηγμένη" καρτέλα για σήμερα.

Αυτή η καρτέλα δεν είναι πολύ περίπλοκη στη χρήση. Το μόνο που έχετε να κάνετε για να προσθέσετε κανόνες είναι να επιλέξετε μεταξύ εισερχόμενων ή εξερχόμενων συνδέσεων, του χρησιμοποιούμενου πρωτοκόλλου και του αριθμού θύρας. Δεν πρόκειται να σας διδάξω τη διαφορά μεταξύ του πρωτοκόλλου UDP ή του TCP, αλλά αντ 'αυτού θα σας παράσχουμε μια μη εξαντλητική λίστα με τα λιμάνια που ίσως θέλετε να διατηρήσετε ανοιχτά και τους λόγους για τους οποίους.

Μη εξαντλητικός κατάλογος λιμανιών

Εξερχόμενες συνδέσεις:

  • 80 / tcp για HTTP
  • 53 / udp για το DNS
  • 443 / tcp για HTTPS (ασφαλές HTTP)
  • 21 / tcp για FTP (πρωτόκολλο μεταφοράς αρχείων)
  • 465 / tcp για SMTP (αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου)
  • 25 / tcp για το Insecure SMTP
  • 22 / tcp για SSH (ασφαλής σύνδεση από υπολογιστή σε υπολογιστή)
  • 993 / tcp & udp για IMAP (λήψη μηνυμάτων ηλεκτρονικού ταχυδρομείου)
  • 143 / tcp & udp για το μη ασφαλές IMAP
  • 9418 / tcp για GIT (σύστημα ελέγχου έκδοσης)

Εισερχόμενες συνδέσεις:

  • 993 / tcp & udp για IMAP (λήψη μηνυμάτων ηλεκτρονικού ταχυδρομείου)
  • 143 / tcp & udp για το μη ασφαλές IMAP
  • 110 / tcp για το POP3 (παλιός τρόπος λήψης μηνυμάτων ηλεκτρονικού ταχυδρομείου)
  • 22 / tcp για SSH (ασφαλής σύνδεση από υπολογιστή σε υπολογιστή)
  • 9418 / tcp για GIT (σύστημα ελέγχου έκδοσης)

Και πάλι, αυτός ο κατάλογος είναι ελλιπής, αλλά είναι ένα καλό ξεκίνημα. Μην διστάσετε να ψάξετε αν έχετε άλλες ανάγκες και πρώτα να ελέγξετε την καρτέλα "Προκαθορισμένη".

Ορισμένες υπηρεσίες, όπως το IMAP, απαιτούν την κατάλληλη λειτουργία εισερχόμενης και εξερχόμενης σύνδεσης. Και σε ορισμένες περιπτώσεις, οι κρυπτογραφημένες συνδέσεις ζητούν μια διαφορετική θύρα.

συμπέρασμα

Τώρα είστε έτοιμοι να ελέγξετε τέλεια το δικό σας τείχος προστασίας και να διαβεβαιώσετε τον εαυτό σας την ασφάλειά σας. Τέλος, το UFW πρέπει να προστεθεί στους δαίμονες σας κατά την εκκίνηση. Χρησιμοποιήστε την εντολή:

 sudo update-rc.d ufw προεπιλογές

Και σε άλλες διανομές όπως το Archlinux, επεξεργαστείτε το αρχείο /etc/rc.conf . Είναι φυσικά καλύτερο να προσθέσετε τον δαίμονα UFW πριν από τον δαίμονα που δημιουργεί μια σύνδεση στο Internet (όπως π.χ. wicd ή διαχειριστής δικτύου).

Χρησιμοποιείτε άλλο τείχος προστασίας; Ή έχετε κάποιους άλλους κανόνες που συστήνετε; Ενημερώστε μας στο σχόλιο.