Kui soovite oma Raspberry Pi (i.e., veebiserver, andmebaasiserver, Minecrafti server) ja muutke need Internetis avalikult kättesaadavaks (hostimine), siis on teie Raspberry Pi serveri turvamine tulemüüriprogrammiga väga oluline.

Raspberry Pi OS-is (Raspberry Pi üheplaadiga arvutite ametlik operatsioonisüsteem) on saadaval palju tasuta ja avatud lähtekoodiga tulemüüriprogramme. Nende programmide hulgas on UFW ja tulemüür levinumad tulemüüriprogrammid.

Selles artiklis kasutan UFW tulemüüri programmi, et näidata teile, kuidas oma Raspberry Pi turvata. Alustame siis.

Asjad, mida vajate:

Selle artikli järgimiseks vajate Raspberry Pi peata režiimis seadistamiseks järgmisi asju:

1. Raspberry Pi 3 või Raspberry Pi 4 üheplaadiline arvuti.
2. Mikro-USB (Raspberry Pi 3) või USB Type-C (Raspberry Pi 4) toiteadapter.
3. Vilkus Raspberry Pi OS-ga 16 GB või 32 GB microSD-kaart.
4. Raspberry Pi võrguühendus.
5. Sülearvuti või lauaarvuti VNC kaugtöölaua juurdepääsuks või SSH-juurdepääsuks Raspberry Pi-le.

Kui te ei soovi oma Raspberry Pi 4 peata režiimis seadistada, vajate ka järgmist:

6. Monitor
7. HDMI- või mikro-HDMI-kaabel
8. Klaviatuur
9. Hiir.

Kui vajate abi Raspberry Pi OS-i pildi vilkumisel microSD-kaardil, vaadake minu artiklit Raspberry Pi Imageri installimine ja kasutamine.

Kui olete Raspberry Pi algaja ja vajate Raspberry Pi OS-i installimisel oma Raspberry Pi-le abi, vaadake minu artiklit Raspberry Pi OS installimine Raspberry Pi 4-le.

Kui vajate Raspberry Pi peata seadistamisel abi, vaadake minu artiklit Raspberry Pi OS installimine ja konfigureerimine Raspberry Pi 4-le ilma välise monitorita.

Raspberry Pi OS-i värskendamine:

Kuna proovime oma Raspberry Pi turvata, on mõistlik värskendada kõiki Raspberry Pi OS-i olemasolevaid pakette. See muudab teie Raspberry Pi OS turvalisemaks, kuna see installib kõik uusimad turbevärskendused ja veaparandused.

Kõigepealt värskendage APT paketi hoidla vahemälu järgmise käsuga:

$ sudo apt värskendus

Raspberry Pi OS-i kõigi olemasolevate pakettide värskendamiseks käivitage järgmine käsk:

$ sudo apt täisversioon

Värskenduste installimise kinnitamiseks vajutage Y ja seejärel vajutage <Sisenema>.

APT paketihaldur laadib kõik vajalikud paketid Internetist alla. Selle täitmine võib võtta mõnda aega.

Kui paketid on alla laaditud, installib APT paketihaldur need ükshaaval. Selle täitmine võib võtta mõnda aega.

Siinkohal peaksid kõik värskendused olema installitud.

Muudatuste jõustumiseks taaskäivitage oma Raspberry Pi järgmise käsuga:

$ sudo taaskäivitage

UFW installimine - lihtne tulemüür:

Kui teie Raspberry Pi on käivitunud, saate UFW tulemüüri programmi installida järgmise käsuga:

$ sudo apt install ufw -y

UFW tuleks installida.

Muudatuste jõustumiseks taaskäivitage oma Raspberry Pi järgmise käsuga:

$ sudo taaskäivitage

Kui teie Raspberry Pi saapad on, ufw teenus systemd peaks olema aktiivne, nagu näete alloleval ekraanipildil.

$ sudo systemctl olek ufw

Järgmise käsuga saate kontrollida, kas UFW on lubatud

$ sudo ufw olek

Nagu näete, pole UFW vaikimisi lubatud.

UFW lubamiseks käivitage järgmine käsk:

$ sudo ufw lubada

Nagu näete, on UFW nüüd lubatud.

$ sudo ufw olek

Pordidele juurdepääsu lubamine rakenduse profiilide abil:

UFW-l on mõned rakenduste vaikeprofiilid. Igal rakenduse profiilil on mõned eelnevalt määratletud pordid, millele saate juurdepääsu lubada / keelata.

Kõigi saadaolevate rakenduseprofiilide loetlemiseks käivitage järgmine käsk:

$ sudo ufw rakenduste loend

Kõik installitud rakenduse profiilid peaksid olema loetletud.

Kui olete oma Raspberry Pi-ga ühendatud SSH või VNC kaudu (nagu mina), peate lubama sellele juurdepääsu OpenSSH ja VNC rakenduse profiilid. Vastasel korral ei pääse järgmine kord, kui oma Raspberry Pi käivitate, sellele kaugjuurdepääsu, kuna tulemüür blokeerib kõik pordid, sealhulgas SSH ja VNC pordid. Nii et see on väga oluline.

Näete, millised pordid on rakenduse profiilis määratletud (st.e., OpenSSH) järgmise käsuga:

$ sudo ufw rakenduse teave OpenSSH

Nagu sa näed, TCP port 22 on määratletud rakenduse profiilis OpenSSH.

Samamoodi TCP port 5900 on määratletud VNC rakenduse profiil.

$ sudo ufw rakenduse teave VNC

Juurdepääsu võimaldamiseks VNC rakenduse profiil, käivitage järgmine käsk:

$ sudo ufw lubab VNC-d

Nagu näete, VNC rakenduse profiil on lubatud tulemüüri kaudu.

$ sudo ufw olek nummerdatud

Samamoodi lubage juurdepääs jaotises määratletud sadamatele OpenSSH rakenduse profiil järgmise käsuga:

$ sudo ufw lubab OpenSSH-d

Nagu näete, OpenSSH rakenduse profiil on lubatud tulemüüri kaudu.

$ sudo ufw olek nummerdatud

Sadamatele juurdepääsu lubamine pordinumbri abil:

Mõnikord pole porti, millele soovite juurdepääsu lubada / keelata, üheski saadaolevas rakenduse profiilis määratletud. Niisiis peate lubama / keelama juurdepääsu nendele pordidele, kasutades pordi numbrit.

Näiteks saate lubada juurdepääsu TCP port 8080 järgmise käsuga:

$ sudo ufw lubab 8080 / tcp

Nagu näete, TCP port 8080 on lubatud juurdepääs tulemüüri kaudu.

$ sudo ufw olek nummerdatud

Samamoodi saate lubada juurdepääsu UDP port 8888 järgmise käsuga:

$ sudo ufw luba 8888 / udp

Nagu näete, UDP port 8888 on lubatud juurdepääs tulemüüri kaudu.

$ sudo ufw olek nummerdatud

Sadamatele juurdepääsu keelamine:

UFW tulemüüri programmi vaikekäitumine on keelata kõik, mis pole lubatud. Niisiis, ühegi pordi juurdepääsu keelamiseks ei pea te midagi tegema.

Konkurentsi huvides näitan teile, kuidas UFW-s sadamaid ikkagi keelata.

Näiteks juurdepääsu keelamine TCP port 9900, käivitage järgmine käsk:

$ sudo ufw eitab 9900 / tcp

Nagu näete, TCP port 9900 keelatakse juurdepääs tulemüüri kaudu.

$ sudo ufw olek nummerdatud

Samamoodi saate keelata rakenduse profiilis määratletud pordid (st.e.,  WWW) järgnevalt:

$ sudo ufw eitab WWW-d

Konkreetsete IP-aadresside serverile juurdepääsu keelamine:

Mõnikord peate võib-olla keelama juurdepääsu konkreetsele IP-aadressile või IP-alamvõrgule, et kaitsta oma Raspberry Pi serverit DDoS (Distributed Denial of Service) rünnakute eest. UFW abil saate seda teha.

IP-aadresside keelamise katsetamiseks kasutan Apache veebiserverit.

Apache veebiserveri saate oma Raspberry Pi installida järgmise käsuga:

$ sudo apt install apache2

Installimise kinnitamiseks vajutage Y ja seejärel vajutage <Sisenema>.

APT paketihaldur laadib kõik paketid Internetist alla ja installib need ükshaaval. Selle täitmine võib võtta mõnda aega.

Siinkohal peaks olema installitud Apache veebiserver.

Kui Apache veebiserver on installitud, looge lihtne käsileht järgmise käsuga:

$ echo "

Tere tulemast LinuxHinti

"| sudo tee / var / www / html / index.HTML

The apache2 teenus systemd peaks töötama, nagu näete alloleval ekraanipildil.

$ sudo systemctl olek apache2

Luba juurdepääs Apache veebiserveri porti (TCP port 80) rakenduse profiili abil WWW järgnevalt:

$ sudo ufw luba www

Nagu näete, on rakenduse profiilis määratletud pordid WWW on lubatud juurdepääs tulemüüri kaudu.

Leidke oma Raspberry Pi IP-aadress järgmise käsuga:

$ hostinimi -I

Nagu näete, on minu Raspberry Pi IP-aadress 192.168.0.106. Teie jaoks on see erinev. Niisiis, asendage see edaspidi kindlasti oma omaga.

Peaksite Apache veebiserverile juurde pääsema teistest seadmetest, nagu näete alloleval ekraanipildil.

Arvutil, mida kasutan Apache veebiserveri juurde pääsemiseks, on IP-aadress 192.168.0.109.

IP-aadressi keelamiseks 192.168.0.109 juurdepääsuks teie Raspberry Pi serverile, peate ülalt lisama tulemüüri reegli (1. positsioon). UFW reeglite järjekord loeb palju. Kõigepealt peaksid minema kõige piiravamad reeglid.

$ sudo ufw olek nummerdatud

IP-aadressi keelamiseks 192.168.0.109 juurdepääsu Raspberry Pi serverile, käivitage järgmine käsk:

$ sudo ufw sisesta 1 eitus 192-st.168.0.109 suvalisele

UFW-reegel IP-aadressi keelamiseks 192.168.0.109 juurdepääs Raspberry Pi serverile peaks olema ülim reegel, nagu on näidatud alloleval ekraanipildil.

$ sudo ufw olek nummerdatud

Te ei pääse oma Raspberry Pi-s töötava Apache veebiserveri juurde IP-aadressiga arvutist 192.168.0.109 enam, nagu näete alloleval ekraanipildil.

Kuid Raspberry Pi-s töötavale Apache veebiserverile pääseb juurde teistest arvutitest.

Kui soovite keelata juurdepääsu IP-alamvõrgule, peate enne varem lisatud reeglit lisama nõutava UFW-reegli, kuna see on piiravam reegel.

$ sudo ufw olek nummerdatud

Näiteks keelata juurdepääs igale arvutile IP-alamvõrgus 192.168.20.0/24, käivitage järgmine käsk:

$ sudo ufw sisesta 1 eitus 192-st.168.20.0/24 ükskõik millisele

UFW reegel tuleks lisada õigesse kohta, nagu on näidatud alloleval ekraanipildil. Nüüd pole ühtegi arvutit IP-alamvõrgust 192.168.20.0/24 peaks olema juurdepääs teie Raspberry Pi serverile.

$ sudo ufw olek nummerdatud

UFW-reeglite eemaldamine:

Mõnikord peate võib-olla mõned UFW-reeglid eemaldama. Seda on väga lihtne teha.

Kõigi saadaolevate UFW-reeglite saate loetleda järgmise käsuga:

$ sudo ufw olek nummerdatud

Kõik olemasolevad UFW reeglid peaksid olema loetletud. Oletame, et soovite eemaldada UFW reegli number 10 (reegel 10. positsioonil).

UFW-reegli number 10 eemaldamiseks käivitage järgmine käsk:

$ sudo ufw kustuta 10

Eemaldamistoimingu kinnitamiseks vajutage Y ja seejärel vajutage <Sisenema>.

UFW reegel number 10 tuleks eemaldada.

Nagu näete, eemaldatakse UFW reegel ja reeglid järjestatakse ümber (11. positsioonil olnud UFW reegel on nüüd positsioonil 10).

$ sudo ufw olek nummerdatud

Järeldus:

Selles artiklis olen näidanud, kuidas installida UFW tulemüüriprogramm oma Raspberry Pi-le (töötab Raspberry Pi OS-ga). Samuti olen teile näidanud, kuidas lubada / keelata porte UFW tulemüüri programmi abil. Olen teile näidanud, kuidas keelata konkreetsele IP-aadressile või IP-alamvõrgule juurdepääs Raspberry Pi-le ka UFW tulemüüri programmi abil.