Configurarea paravanului de protecție în ubuntu utilizând utilitatea comunității ufw - vscale

Configurarea paravanului de protecție în ubuntu utilizând utilitatea comunității ufw - vscale

introducere

UFW (Uncomplicated Firewall) - o interfață convenabilă pentru gestionarea politicilor de securitate firewall. Serverele noastre sunt în mod constant atacate sau scanate pentru vulnerabilități. Odată ce s-au găsit aceste vulnerabilități, riscăm să devenim parte din botnet, dezvăluim date confidențiale sau pierdem bani din cauza întreruperilor în funcționarea aplicațiilor web. Una dintre primele măsuri de reducere a riscurilor de securitate este configurarea corectă a regulilor de firewall. În acest tutorial, vom examina comenzile și regulile de bază pentru lucrul cu utilitarul UFW.

Cerințe preliminare

Pentru a începe să lucrați cu UFW, aveți nevoie de un superuser (abilitatea de a executa comenzi sub sudo).

Utilitarul UFW este preinstalat în sistem. Dacă, din anumite motive, nu a fost disponibil, îl puteți instala utilizând comanda:

Verificarea regulilor și a stării actuale a UFW

În orice moment, puteți verifica starea UFW folosind comanda:

În mod prestabilit, UFW este dezactivat, deci ar trebui să vedeți ceva de genul:

Dacă funcția UFW este activată, consola va afișa regulile specificate. De exemplu, dacă firewall-ul este configurat în acest fel - conexiunea SSH (portul 22) de oriunde din lume, consola poate arăta astfel:

Deci, puteți afla întotdeauna cum este configurat paravanul de protecție.

Atenție vă rog! Realizați setarea inițială înainte de a porni UFW. În special, SSH (22 port) ar trebui să fie disponibil. În caz contrar, riscați să pierdeți accesul la server.

Setare inițială

Implicit, setările UFW dezactivează toate conexiunile de intrare și permit toate conexiunile de ieșire. Aceasta înseamnă că, dacă cineva încearcă să acceseze serverul dvs., acesta nu va putea să se conecteze, în timp ce orice aplicație de pe server are acces la conexiuni externe.

Regulile firewall corespunzătoare sunt prescrise după cum urmează:

Adăugarea unei reguli pentru conexiunile SSH

Pentru a permite conexiunile SSH primite, lansați următoarea comandă:

Demonul SSH ascultă pe portul 22. UFW cunoaște numele serviciilor comune (ssh, sftp, http, https), astfel încât să le puteți utiliza în locul numărului portului.

Dacă daemonul dvs. SSH utilizează un port diferit, trebuie să îl specificați în mod explicit, de exemplu:

Acum că firewall-ul este configurat, îl puteți activa.

Rularea UFW

Pentru a activa UFW, utilizați următoarea comandă:

Veți primi un avertisment similar:

Aceasta înseamnă că pornirea acestui serviciu poate întrerupe conexiunea curentă ssh.
Dar, din moment ce am adăugat deja ssh regulilor, acest lucru nu se va întâmpla. Deci, apăsați (y).

Adăugați reguli pentru alte conexiuni


Pentru ca aplicațiile dvs. să funcționeze corect, trebuie să adăugați alte reguli. Mai jos veți vedea setările pentru cele mai frecvente servicii.

HTTP (80 port)

Pentru funcționarea serverelor web necriptate, utilizați următoarea comandă:

HTTPS (443)

La fel ca în exemplul precedent, dar pentru conexiuni criptate:

FTP (21 port)

Acest port este utilizat pentru transferul de fișiere necriptat:

Adăugarea porturilor

De asemenea, puteți specifica un protocol specific:

sudo ufw permite 3000: 3100 / tcp
sudo ufw permite 3000: 3100 / udp

Dacă doriți să specificați accesul la un anumit port, utilizați comanda formularului:

Restricție de conectare

Pentru a dezactiva conexiunile HTTP, puteți utiliza următoarea comandă:

Dacă doriți să dezactivați toate conexiunile cu 123.45.67.89, utilizați următoarea comandă:

Ștergerea regulilor

Există două moduri de a șterge regulile. Primul este după numărul de reguli. Executați comanda:


După aceasta, executați comanda de ștergere ufw și specificați numărul regulii pe care doriți să o ștergeți:

A doua modalitate este că, după comanda utf delete, se folosește de exemplu regula actuală

Dezactivarea UFW

Puteți dezactiva UFW utilizând comanda:

Ca urmare a implementării sale, toate regulile create anterior vor deveni nevalide.

Resetarea regulilor

Dacă trebuie să resetați setările curente, utilizați comanda:

Ca urmare a executării sale, toate regulile vor fi dezactivate și șterse.

În Ufw există o opțiune de salvare a jurnalelor - jurnalul de evenimente. Pentru a rula, utilizați comanda:

Ufw suportă mai multe niveluri de logare:

  • off - dezactivat.
  • low - înregistrează toate pachetele blocate care nu se potrivesc cu politica specificată (cu limită de viteză) și pachetele care respectă regulile înregistrate.
  • mediu este tot ceea ce este setat la scăzut. Plus toate pachetele permise care nu se potrivesc cu politica specificată, toate pachetele nevalide și toate conexiunile noi. Toate înregistrările sunt păstrate cu o limită de viteză.
  • mare - funcționează la fel ca mediul. Plus toate pachetele cu o limită de viteză.
  • plin - cât și înalt, dar fără limitare a vitezei.

Pentru a specifica un nivel, specificați-l ca parametru:

În mod implicit, este utilizat nivelul scăzut.

concluzie

Acum, paravanul dvs. de protecție are setările minime necesare pentru o muncă ulterioară. Apoi, asigurați-vă că toate conexiunile utilizate de aplicația dvs. web sunt, de asemenea, permise și blochează cele care nu sunt necesare. Acest lucru va reduce riscul de penetrare pe serverul dvs. și comiterea unor acțiuni rău intenționate de către hackeri.

Articole similare