Hvis du bruger eller planlægger at bruge Linux, er et godt incitament den relative sikkerhed, der implementeres som standard. Linux-systemer er ufølsomme for et stort flertal af Windows og Mac OS-vira, og GNU-projektet i sig selv sikrer ægtheden af ​​softwaren. Men hver (paranoid) geek ved, at der ikke er noget som et helt beskyttet system. I dag vil vi vise dig, hvordan du kan forbedre din Linux-sikkerhed ved at foretage nogle få ændringer i dine Firewall-indstillinger.

I stedet for blot at gennemse Firewall-software vil jeg fokusere mere på firewallindstillingerne, som f.eks. Regler og porte, da de står til grund for en effektiv firewall.

Det traditionelle program til en firewall i Linux er kommandobaserede IPTables. Direkte afledt af Unix ide, er det meget kraftfuldt og alligevel meget kompliceret for en nybegynder. IPTables starter ikke selv ved opstart, så det er brugerens pligt at konfigurere firewallen i et script og køre det lige efter login. En nemmere mulighed er at bruge UFW (Uncomplicated FireWall). UFW er en kommandobaseret firewall, men med en meget enklere syntaks. Det starter sig ved opstart, og kommer med samme sikkerhedsniveau som IPTables. En endnu nemmere måde at omgå kommandolinjen helt er at bruge gUFW - en grafisk grænseflade til UFW.

Installation

I Ubuntu er alt du skal gøre, at bruge kommandoen (du kan også installere via Ubuntu Software Center):

 sudo apt-get install gufw 

Konfiguration

Kør gUFW applikationen. Du bør få et godt gråt vindue.

For at fungere korrekt kræver gUFW superbrugerens rettigheder, hvilket betyder at i en terminal bruger du kommandoen:

 sudo gufw 

Hvis du lancerede det fra applikationsmenuen, kan du klikke på guldlåsen nederst til højre i vinduet gUFW og indtaste dit kodeord for at hæve brugerens tilladelse.

Vinduet skal komme til live, og du kan nu starte konfigurationen.

For det første vil du aktivere firewall ved at klikke på linjen ved siden af ​​"Status", så "On" vises. Du kan derefter vælge hvad du vil gøre med den indgående og udgående trafik. Som standard nægtes den indkommende, og den udgående er autoriseret. Dette er et godt grundlag, men generelt med Linux, vil du bruge din fulde kontrol til at gå længere end standard. Konfigurationen som det er nu forhindrer noget i at komme ind i din computer, men vil ikke stoppe computeren i at kommunikere. Forestil dig, at din computer allerede er inficeret, eller at en malware lykkes i at gå gennem firewallen. I dette tilfælde vil UFW ikke stoppe ham fra at kommunikere med internettet og måske fra at overføre dine data til en ond cracker.

Derfor råder jeg dig til at anvende drastiske foranstaltninger: næg alt - indgående og udgående!

På dette tidspunkt vil du opdage, at du har afskåret dig fra internettet. Ved at benægte alt, nægter du også enhver webtrafik fra at komme ind / ud til dit system. Bekymre ikke, vi skal indstille regler for kun at tillade de applikationer, du har brug for, og tillid til at få adgang til internettet. Tilføjelse af en regel er enkel. Du skal bare klikke på knappen "+" nederst til venstre i vinduet. Ligeledes er "-" knappen for at slette regel.

Klik nu på knappen "+". Du skal nu være foran en ny dialogboks med tre faner.

Fanen "Forkonfigureret" er til at skabe nogle regler for bestemte og specifikke opgaver, som for Skype eller Transmission. Det er den nemme måde at sætte regler hurtigt på: Afgør hvilket program eller den tjeneste, du vil bruge fra listen, hvis du tillader indkommende eller udgående, og reglerne vil tilføje sig.

Hvis du for eksempel vælger at tillade i Skype-forbindelser, tillader gUFW indgående forbindelser til port 443 ved hjælp af TCP-protokollen.

Det er så nemt at bruge som denne fane er, men det er ufuldstændigt. Der er stadig en masse ting, som du ikke kan gøre uden at gå ind på fanen "Simple". Jeg lover, vi går ikke længere, ingen "Avanceret" faneblad for i dag.

Denne fane er ikke meget kompleks at bruge. Alt du skal gøre for at tilføje regler er at vælge mellem indgående eller udgående forbindelser, den anvendte protokol og portnummeret. Jeg vil ikke lære dig forskellen mellem UDP-protokollen eller TCP, men i stedet vil jeg give dig en ikke-udtømmende liste over porte, som du måske vil beholde åbnet, og grundene til det.

Ikke-udtømmende liste over havne

Udgående forbindelser:

  • 80 / tcp for HTTP
  • 53 / udp for DNS
  • 443 / tcp for HTTPS (sikret HTTP)
  • 21 / tcp for FTP (File Transfer Protocol)
  • 465 / tcp for SMTP (send e-mails)
  • 25 / tcp for usikker SMTP
  • 22 / tcp for SSH (sikker forbindelse fra computer til computer)
  • 993 / tcp & udp for IMAP (modtag e-mails)
  • 143 / tcp & udp for usikker IMAP
  • 9418 / tcp for GIT (version control system)

Indgående forbindelser:

  • 993 / tcp & udp for IMAP (modtag e-mails)
  • 143 / tcp & udp for usikker IMAP
  • 110 / tcp for POP3 (gammel måde at modtage e-mails)
  • 22 / tcp for SSH (sikker forbindelse fra computer til computer)
  • 9418 / tcp for GIT (version control system)

Igen er denne liste ufuldstændig, men det er en god start. Tøv ikke med at søge, hvis du har andre behov, og kontroller først fanen "Forkonfigureret".

Nogle tjenester, som IMAP, kræver en indgående og en udgående forbindelse, der fungerer korrekt. Og i nogle tilfælde beder krypterede forbindelser om en anden port.

Konklusion

Nu er du klar til helt at styre din egen firewall og forsikre dig selv om din sikkerhed. Endelig skal UFW tilføjes til dine dæmoner ved opstart. Brug kommandoen:

 sudo update-rc.d ufw defaults 

Og i andre distributioner som Archlinux, rediger din /etc/rc.conf fil. Det er selvfølgelig bedre at tilføje UFW-dæmonen før dæmonen, der etablerer en internetforbindelse (f.eks. Wicd eller network-manager).

Bruger du en anden firewall? Eller har du nogle andre regler, som du anbefaler? Lad os vide det i kommentaren.