Ha szisztémgazdász vagy, akkor biztosan volt már olyan pillanat a karrieredben, amikor egy hatékony biztonsági rendszert akartál, amely könnyű konfigurálni és kezelni, anélkül, hogy bonyolult dolgokba kellene merülnöd iptables szabályok. UFW, vagy Egyszerű tűzfal egy kiváló hálózati biztonsági eszköz, amely betölti ezt a hiányt egyszerű felülettel. Az UFW segítségével egyszerű parancsokkal szabályozhatod a szervered tűzfalbeállításait.
Ebben az UFW útmutatóban végigvezetünk mindenen, amit az UFW-ről tudnod kell, a telepítéstől a fejlett konfigurációig. Bemutatjuk, hogyan engedélyezheted és letilthatod az UFW-t, megértheted a szintaxisát, és gyakorlati példákat alkalmazhatod a gyakori forgatókönyvekre. Az UFW útmutató végére szilárd ismereteid lesznek arról, hogyan használd az UFW-t a szerver hatékony védelméhez.
UFW Telepítés
Még ha új vagy a tűzfal kezelésében, könnyedén telepítheted az UFW-t, mivel a telepítési folyamat elég egyszerű. Íme egy lépésenkénti UFW útmutató ahhoz, hogy működésre bírdd a szerveren.
1. lépés: Csomaglistájának frissítése
Mielőtt bármilyen új szoftvert telepítesz, jó gyakorlat frissíteni a csomag listádat.
sudo apt update
Lépés 2: UFW telepítése
Az UFW-t egyszerű paranccsal telepítheted:
sudo apt install ufw
3. lépés: A telepítés ellenőrzése
Most, hogy a telepítés kész, ellenőrizheted, hogy sikeres volt-e. Az UFW verzióját a következő parancs futtatásával ellenőrizheted:
ufw version
4. lépés: Kezdeti konfiguráció
Az UFW engedélyezése előtt fontos néhány kezdeti konfigurációt végezni. Így biztosíthatod, hogy az aktiváláskor úgy viselkedik, ahogy vársz. Az egyik legfontosabb lépés az alapértelmezett szabályzatok beállítása. Alapértelmezés szerint az UFW minden bejövő kapcsolatot elutasít és minden kimenő kapcsolatot engedélyez. Az alábbi parancs segítségével ellenőrizheted vagy beállíthatod ezeket az alapértékeket:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Lépés 5: Az UFW engedélyezése
Az UFW engedélyezése aktiválja a tűzfalat az általad definiált szabályokkal és alapértelmezett szabályzatokkal. Az UFW engedélyezéséhez futtasd a következő parancsot:
sudo ufw enable
6. lépés: Az UFW állapotának ellenőrzése
Az UFW állapotát és a jelenleg alkalmazott szabályokat a következő parancs segítségével tekintheted meg:
sudo ufw status
Az UFW útmutató követésével sikeresen telepítheted és engedélyezheted az UFW-t a szerveren. Ez a kezdeti beállítás megkönnyíti a további konfigurációkat. Az UFW olyan testreszabható, hogy specifikus szabályokat adhatsz hozzá a forgalom szükség szerinti engedélyezéséhez vagy blokkolásához.
Alapvető UFW parancsok és szintaxis
Az UFW úgy lett megtervezve, hogy könnyen használható legyen; ezért egyértelmű parancsokkal és világos szintaxissal rendelkezik, amely leegyszerűsíti a tűzfal kezelését. Az alapvető parancsok és azok szintaxisának megértése sokat segít a kiszolgálók tűzfalának konfigurálásában és karbantartásában. Az UFW oktatóanyagunk előző szakaszában az UFW engedélyezésével foglalkoztunk. Tehát kezdjük ezt a szakaszt azzal a paranccsal, amely lehetővé teszi az UFW letiltását a rendszeren.
A UFW letiltása
Hibaelhárítás vagy karbantartás miatt szükséges lehet a UFW letiltása. Ez a parancs ezt teszi meg:
sudo ufw disable
UFW állapotának ellenőrzése
Ha rendszeresen ellenőrzöd a UFW állapotát, mindig tudni fogod, mely szabályok aktívak. Így biztos lehetsz benne, hogy a tűzfal úgy működik, ahogy szeretnéd. A UFW állapotát az alábbi paranccsal ellenőrizheted:
sudo ufw status
A parancs után használhatod a verbose opciót, hogy részletesebb információt kapj a UFW állapotáról.
sudo ufw status verbose
Forgalom engedélyezése
Az UFW egyik elsődleges funkciója, hogy engedélyezze vagy tiltsa le a forgalmat biztonsági követelményeid alapján. Ha engedélyezni szeretnél forgalmat egy adott porton, használd az allow parancsot, amelyet a port száma és a protokoll (tcp/udp) követ. Íme egy példa:
sudo ufw allow 22/tcp
Ez a parancs engedélyezi a bejövő SSH kapcsolatokat a 22-es porton az TCP protokoll használatával.
Forgalmazást megtagadás
A forgalom blokkolásához hasonlóképpen a deny parancsot kell használnod.
sudo ufw deny 23/tcp
Ez a parancs blokkolja a bejövő Telnet kapcsolatokat a 23-as porton az TCP protokoll használatával.
Forgalom engedélyezése IP-cím alapján
UFW még lehetővé teszi, hogy engedélyezz vagy megtagadj forgalmat konkrét IP-címekről. Így specifikusabb biztonsági szabályokat hozható létre. Íme egy példa:
sudo ufw allow from 192.168.1.10
IP-cím szerinti forgalom megtagadása
A forgalom blokkolása IP-cím alapján ugyanolyan egyszerű, mint az előző parancs. Íme egy példa:
sudo ufw deny from 10.0.0.0/8
UFW Szabályok kezelése
Miközben dolgozol a UFW-vel, előfordulhat, hogy szabályokat szeretnél hozzáadni, módosítani vagy eltávolítani. Nézzük meg, mely UFW parancsok teszik ezt lehetővé. Kezdjük az új szabály hozzáadásával. Új szabály hozzáadásához egyszerűen használhatod az allow vagy deny parancsot, amelyeket korábban már magyaráztunk. A szabály eltávolítása azonban több lépést igényel. Szabály eltávolításához előbb fel kell sorolnod a sorszámozott szabályokat. Ez a lépés azért fontos, mert azonosítanod kell azt a konkrét szabályt, amelyet törölni szeretnél. Az alábbi parancs megjeleníti a sorszámozott szabályokat:
sudo ufw status numbered
Ezután a sorszámának megadásával törölheted a szabályt:
sudo ufw delete 1
UFW újratöltése
Valahányszor módosítod a UFW szabályokat, érdemes újratölteni a tűzfalat. Az alábbi UFW parancs újratölti a UFW-t:
sudo ufw reload
Ez a parancs újra érvényesíti az összes szabályt anélkül, hogy le kellene tiltani és újra engedélyezni a tűzfalat.
UFW alaphelyzetbe állítása
Van egy UFW parancs, amely lehetővé teszi, hogy elölről kezdj vagy eltávolítsd az összes meglévő szabályt. De ne feledd, ha visszaállítod a UFW-t, letiltásra kerül és az összes szabály törlődik. Az alábbi UFW parancs visszaállítja a UFW-t:
sudo ufw reset
Az alapvető UFW parancsok megtanulása és szintaxisuk megértése elengedhetetlen a hatékony tűzfalkezeléshez. A következő fejezetekben mélyebben megvizsgáljuk a fejlett konfigurációkat és felhasználási eseteket, amelyek még jobban növelhetik a szervered biztonságát.
UFW kombinálása más biztonsági eszközökkel
Az UFW egy hatékony eszköz a tűzfal kezeléséhez. De lehetőséged van arra, hogy más biztonsági eszközökkel kombinálva a maximumot hozd ki belőle. Az egyik ilyen eszköz az fail2ban, amely segít megelőzni a brute-force támadásokat azáltal, hogy naplókat figyelemmel kísér és tiltólistára teszi azokat az IP-címeket, amelyek gyanús tevékenységet mutatnak. Íme, hogyan integrálhatod a UFW-t a fail2ban-nel a biztonsági beállításaidnak javítása érdekében.
A fail2ban egy biztonsági eszköz, amely képes naplófájlokat átvizsgálni a sikertelen bejelentkezési kísérletek vagy más gyanús tevékenységek mintáiért. Miután gyanús mintákat talál, automatikusan frissítheti a tűzfal szabályait, hogy blokkolja a hibás IP-címeket. A UFW és a fail2ban kombinációja valóban hasznos lehet az ismételt brute-force bejelentkezési kísérletekkel szembeni védekezéshez.
fail2ban telepítése
A fail2ban telepítéséhez futtasd az alábbi parancsot a szerveren:
sudo apt-get install fail2ban
fail2ban konfigurálása UFW-vel
Most megtanulod, hogyan konfigurálj fail2ban-t, hogy működjön a UFW-vel.
1. lépés: Helyi Jail-konfiguráció létrehozása
A fail2ban alapértelmezett konfigurációs fájlja a következő helyen található: /etc/fail2ban/jail.conf. Azonban ajánlott ennek a fájlnak egy helyi másolatát létrehozni, hogy elkerüld a beállítások felülíródását a fail2ban frissítésekor. Ide másolhatod a konfigurációs fájlt:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
2. lépés: A Jail konfigurációs fájl szerkesztése
Nyisd meg a jail.local fájlt a preferált szövegszerkesztőddel az alábbi parancs segítségével:
sudo nano /etc/fail2ban/jail.local
Ebben a fájlban keress rá a [DEFAULT] szakasz és beállítása a tiltás időtartama, időpontkeresés, és maxretry paraméterekre. Íme annak a listája, amit ezek a paraméterek mutatnak:
- Bantime: Azt szabályozza, meddig marad IP-cím tiltva.
- Findtime: Azt mutatja meg, hogy milyen időablakban számítódnak a sikertelen kísérletek.
- Maxretry: Azt mutatja meg, hány sikertelen próbálkozás után lesz az IP-cím tiltva.
Például ezeket a paramétereket az alábbiak szerint állíthatod be:
[DEFAULT] bantime = 600 findtime = 600 maxretry = 5
3. lépés: Az UFW engedélyezése a Jail konfigurációban
Keresés a [sshd] szakasz (vagy bármely más szolgáltatás, amelyet védelemmel szeretne ellátni) a jail.local fájl. Győződj meg róla, hogy az enabled értéke true, és hogy az UFW-t használja az IP-címek tiltásához:
[sshd] enabled = true banaction = ufw port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5
Ez a konfiguráció szükséges ahhoz, hogy a fail2ban figyelje az SSH szolgáltatást és frissítse az UFW szabályokat a kártékony IP-címek tiltásához.
fail2ban elindítása és engedélyezése
A fail2ban konfigurálása után indítsd el a szolgáltatást, és engedélyezd az automatikus indítást:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Most ellenőrizd a fail2ban állapotát, hogy biztosan megfelelően működik:
sudo systemctl status fail2ban
Az UFW és fail2ban kombinálásának előnyei
A fail2ban és az UFW integrálása lehetővé teszi, hogy legyen rétegzett biztonsági megközelítés. Az UFW egyszerű módot biztosít a tűzfalszabályok kezeléséhez, a fail2ban pedig dinamikus védelmet ad azáltal, hogy tiltja a kártékony viselkedést mutató IP-címeket. Ez a hatékony együttműködés csökkenti a brute-force támadások kockázatát és biztosítja a szerver biztonságát.
Összegzés
Ebben az UFW útmutatóban áttekintettük, hogyan lehet az UFW hatékony eszköz a rendszerbiztonság javításához és a tűzfalkezelés egyszerűsítéséhez. Egy könnyen követhető telepítési és konfigurációs folyamatot adtunk az UFW használatához. Azt is elmagyaráztuk, hogy az UFW más biztonsági eszközökkel, például a fail2ban-nel való kombinálása még hatékonyabbá teheti a folyamatot.
Gyakran Ismételt Kérdések
Hogyan tudom eltávolítani az UFW szabályt, amelyet hozzáadtam?
Egy adott UFW szabály eltávolításához az ufw delete parancsot kell használni, ezt követően az eltávolítandó szabály. Például, ha el szeretnél távolítani egy szabályt, amely engedélyezi a forgalmat a 80-as porton (HTTP), a következő parancsot használod:
sudo ufw delete allow 80/tcp
A UFW jobb, mint az iptables?
Az UFW egyszerűvé teszi a tűzfal kezelését könnyebb szintaxissal és felhasználóbarát parancsokkal. Ez ideális választássá teszi a kezdők számára. Az iptables viszont részletesebb vezérlést és testreszabási lehetőségeket kínál. Ezért alkalmas olyan haladó felhasználók számára, akik nagyon specifikus tűzfalszabályokra van szükségük.
Melyik jobb, a Firewalld vagy az UFW?
UFW könnyebb a kezdők számára, mivel egyenes parancsokkal rendelkezik. Ideális az egyszerű konfigurációkhoz. Firewalld több fejlett funkciókat és rugalmasságot kínál, amely jobb eszköz komplex környezetekhez és dinamikus tűzfalszabályokhoz. A választás a te konkrét igényeidtől és az egyes eszközök ismeretétől függ.
Mi a legjobb tűzfal az Ubuntu-hez?
Az Ubuntu legjobb tűzfala az igényeidtől függ. Az UFW az alapértelmezett és ajánlott lehetőség a legtöbb felhasználó számára, mivel egyszerű és könnyen használható. Fejlettebb konfigurációkhoz az iptables részletes irányítást biztosít a tűzfalszabályok felett. A Firewalld egy másik megbízható lehetőség, amely a tűzfalszabályok dinamikus kezelését kínálja. Az UFW-t választhatod az egyszerű feladatokhoz, az iptables vagy a Firewalld pedig a bonyolultabb követelményekhez.
