UFW installimine ja seadistamine Ubuntu 20-s.04 LTS

UFW ehk tüsistusteta tulemüür on Linuxi iptable'i kasutajasõbralik eesseade. UFW on kirjutatud Pythonis (toetab Python 3-d.5 ja uuemad versioonid) ning on praegune de facto tulemüüri haldamise utiliit Ubuntu süsteemides. See utiliit on väga kasutajasõbralik ja toimib suurepärase hostipõhise tulemüürina.

See artikkel näitab, kuidas installida ja kasutada UFW-d oma Ubuntu 20-s.04 LTS süsteem.

Paigaldamine

UFW on eelinstallitud enamikus Ubuntu süsteemides. Kui teie buildis pole seda programmi veel installitud, saate selle installida kas snap- või apt-paketihaldurite abil.$ sudo snap install ufw

$ sudo apt installib ufw

Ma isiklikult eelistan selleks apt-paketi haldurit, sest snap on vähem populaarne ja ma ei taha, et see oleks eriti keeruline. Selle kirjutamise ajal on UFW jaoks avaldatud versioon 0.36 20-le.04 vabastamine.

Sissetulevad vs. Väljaminev liiklus

Kui olete võrguvõrgus algaja, peate kõigepealt selgitama sissetuleva ja väljuva liikluse erinevust.

Kui installite värskendusi apt-get abil, sirvige Internetti või kontrollige oma e-posti aadressi, saadate teie väljaminevate päringute serveritele, nagu Ubuntu, Google, jne. Nendele teenustele juurdepääsemiseks pole teil vaja isegi avalikku IP-d. Tavaliselt eraldatakse näiteks avalik lairibaühendus ühele avalikule IP-aadressile ja igal seadmel on oma privaatne IP. Seejärel haldab ruuter liiklust, kasutades nime NAT või Network Address Translation.

NATi ja privaatsete IP-aadresside üksikasjad jäävad selle artikli reguleerimisalast välja, kuid ülaltoodud link on suurepärane lähtepunkt. Tulles tagasi UFW juurde, lubab UFW vaikimisi kogu tavalise väljuva veebiliikluse. Teie brauserid, paketihaldurid ja muud programmid valivad juhusliku pordi numbri - tavaliselt üle 3000 - ja nii saab iga rakendus jälgida oma ühendust (ühendusi).

Kui kasutate servereid pilves, on neil tavaliselt avalik IP-aadress ja ülaltoodud väljuva liikluse lubamise reeglid kehtivad endiselt. Kuna kasutate endiselt selliseid utiliite nagu pakettihaldurid, mis räägivad muu maailmaga „kliendina”, lubab UFW seda vaikimisi.

Lõbu algab sissetuleva liiklusega. Rakendused, näiteks OpenSSH-server, mida kasutate oma VM-i sisselogimiseks, kuulavad konkreetseid porte (nt 22) sissetulevad taotlusi, nagu ka teisi rakendusi. Veebiserverid vajavad juurdepääsu porti 80 ja 443.

Tulemüüri ülesanne on lubada konkreetsetel rakendustel teatud sissetulevat liiklust kuulata, blokeerides kõik mittevajalikud. Teil võib olla teie VM-i installitud andmebaasiserver, kuid tavaliselt ei pea see avaliku IP-ga liidesel sissetulevaid taotlusi kuulama. Tavaliselt kuulab see taotlusi lihtsalt loopback-liideses.

Veebis on palju roboteid, mis pommitavad servereid pidevalt võltsnõuetega, et jõuda jõuliselt sisse või teha lihtne teenuse keelamise rünnak. Hästi konfigureeritud tulemüür peaks suutma enamiku neist shenaniganitest blokeerida selliste kolmandate osapoolte pistikprogrammide abil nagu Fail2ban.

Kuid praegu keskendume väga põhilisele seadistamisele.

Põhikasutus

Nüüd, kui olete oma süsteemi installinud UFW, vaatame selle programmi mõningaid põhikasutusi. Kuna tulemüüri reegleid rakendatakse kogu süsteemis, käivitatakse järgmised käsud juurkasutajana. Kui soovite, võite selle protseduuri jaoks kasutada sobivate õigustega sudot.

# ufw olek
Staatus: passiivne

Vaikimisi on UFW passiivses olekus, mis on hea. Te ei soovi blokeerida kogu sissetulevat liiklust pordis 22, mis on vaikimisi SSH-port. Kui olete SSH kaudu kaugserverisse sisse logitud ja blokeerite pordi 22, lukustatakse teid serverist välja.

UFW teeb meile lihtsalt auku pistmise lihtsalt OpenSSH jaoks. Käivitage järgmine käsk:

[meiliga kaitstud]: ~ # ufw rakenduste loend
Saadaval olevad rakendused:
OpenSSH

Pange tähele, et ma pole ikka veel tulemüüri lubanud. Lisame nüüd OpenSSH-i oma lubatud rakenduste loendisse ja lubame seejärel tulemüüri. Selleks sisestage järgmised käsud:

# ufw lubab OpenSSH-d
Reegleid värskendati
Reegleid värskendatud (v6)
# ufw lubamine

Käsk võib häirida olemasolevaid SSH-ühendusi. Jätkake toiminguga (y | n)? y.

Tulemüür on nüüd süsteemi käivitamisel aktiivne ja lubatud.

Palju õnne, UFW on nüüd aktiivne ja töötab. UFW lubab nüüd ainult OpenSSH-l kuulata sissetulevaid päringuid pordis 22. Tulemüüri oleku igal ajal kontrollimiseks käivitage järgmine kood:

# ufw olek
Staatus: aktiivne
Toimingule Alates
-- ------ ----
OpenSSH LUBA kõikjal
OpenSSH (v6) lubage kõikjal (v6)

Nagu näete, saab OpenSSH nüüd päringuid vastu võtta kõikjalt Internetist, tingimusel et see jõuab 22. porti. Rida v6 näitab, et reegleid rakendatakse ka IPv6 puhul.

Võite muidugi keelata konkreetsed IP-vahemikud või lubada ainult teatud IP-vahemikke, sõltuvalt turbepiirangutest, milles töötate.

Rakenduste lisamine

Kõige populaarsemate rakenduste puhul värskendab käsk ufw rakenduste loend installimisel automaatselt oma poliitikate loendit. Näiteks Nginxi veebiserveri installimisel näete järgmisi uusi suvandeid:

# apt install nginx
# ufw rakenduste loend
Saadaval olevad rakendused:
Nginx täis
Nginx HTTP
Nginx HTTPS
OpenSSH

Jätkake ja proovige nende reeglitega katsetada. Pange tähele, et saate lubada lihtsalt pordinumbrid, selle asemel et oodata rakenduse profiili kuvamist. Näiteks pordi 443 lubamiseks HTTPS-liikluse jaoks kasutage lihtsalt järgmist käsku:

# ufw luba 443
# ufw olek
Staatus: aktiivne
Toimingule Alates
-- ------ ----
OpenSSH LUBA kõikjal
443 Luba kõikjal
OpenSSH (v6) lubage kõikjal (v6)
443 (v6) LUBA kõikjal (v6)

Järeldus

Nüüd, kui teil on UFW põhitõed sorteeritud, saate uurida muid võimsaid tulemüüri võimalusi, alustades IP-vahemike lubamisest ja blokeerimisest. Selgete ja turvaliste tulemüürireeglite olemasolu tagab teie süsteemide turvalisuse ja kaitse.