Ha Ön rendszergazda, akkor minden bizonnyal voltak olyan pillanatok a karrierje során, amikor azt kívánta, bárcsak lenne egy hatékony biztonsági rendszere, amely könnyen konfigurálható és felügyelhető anélkül, hogy bonyolult dolgokba kellene nyúlnia. iptables szabályok. UFW, ill Egyszerű tűzfal egy nagyszerű hálózati biztonsági eszköz, amely egy egyszerű interfészt kínálva pótolja ezt a hiányt. Az UFW lehetővé teszi a kiszolgáló tűzfalbeállításainak egyszerű parancsokkal történő vezérlését.
Ebben az UFW-oktatóanyagban mindent végigvezetünk, amit az UFW-ről tudnia kell, a telepítéstől a speciális konfigurációig. Kitérünk az UFW engedélyezésére és letiltására, megértjük a szintaxisát, és gyakorlati példákat alkalmazunk a gyakori forgatókönyvekre. Ennek az UFW-oktatóanyagnak a végére alapos ismerete lesz arról, hogyan használhatja az UFW-t szervere hatékony védelmére.
UFW telepítés
Még akkor is könnyedén telepítheti az UFW-t, ha még nem ismeri a tűzfalkezelést, mivel a telepítési folyamat meglehetősen egyszerű. Íme egy lépésről lépésre bemutatott UFW oktatóanyag a szerveren való üzembe helyezéshez.
1. lépés: Frissítse csomaglistáját
Új szoftver telepítése előtt célszerű frissíteni a csomaglistát.
sudo apt update
2. lépés: Telepítse az UFW-t
Az UFW-t egy egyszerű paranccsal telepítheti:
sudo apt install ufw
3. lépés: Ellenőrizze a telepítést
Most, hogy a telepítés befejeződött, ellenőrizheti, hogy a telepítés sikeres volt-e. Az UFW telepítés verzióját a következő futtatásával ellenőrizheti:
ufw version
4. lépés: Kezdeti konfiguráció
Az UFW engedélyezése előtt fontos elvégezni néhány kezdeti konfigurációt. Így megbizonyosodhat arról, hogy az aktiváláskor a várt módon működik. Az egyik legkritikusabb lépés az alapértelmezett házirendek beállítása. Alapértelmezés szerint az UFW úgy van beállítva, hogy megtagadjon minden bejövő kapcsolatot, és engedélyezze az összes kimenő kapcsolatot. A következő paranccsal ellenőrizheti vagy beállíthatja ezeket az alapértelmezett értékeket:
sudo ufw default deny incoming
sudo ufw default allow outgoing
5. lépés: Engedélyezze az UFW-t
Az UFW engedélyezése aktiválja a tűzfalat a meghatározott szabályokkal és alapértelmezett házirendekkel. Az UFW engedélyezéséhez futtassa a következő parancsot:
sudo ufw enable
6. lépés: Az UFW állapotának ellenőrzése
Az UFW állapotát és a jelenleg alkalmazott szabályokat a következő paranccsal tekintheti meg:
sudo ufw status
Ennek az UFW-oktatóanyagnak a követésével sikeresen telepítheti és engedélyezheti az UFW-t a szerverén. Ez a kezdeti beállítás megkönnyíti a további konfigurációkat. Az UFW így testreszabható, és lehetővé teszi, hogy speciális szabályokat adjon hozzá a forgalom szükség szerinti engedélyezéséhez vagy blokkolásához.
Alapvető UFW parancsok és szintaxis
Az UFW-t úgy tervezték, hogy könnyen használható legyen; ezért rendelkezik egyszerű parancsokkal és világos szintaxissal, amely leegyszerűsíti a tűzfal kezelését. Ezen alapvető parancsok és szintaxisuk megértése sokat segít a kiszolgáló tűzfalának beállításában és karbantartásában. UFW oktatóanyagunk utolsó részében az UFW engedélyezésével foglalkoztunk. Tehát kezdjük ezt a részt azzal a paranccsal, amely lehetővé teszi az UFW letiltását a rendszeren.
UFW letiltása
Hibaelhárítási vagy karbantartási okokból előfordulhat, hogy le kell tiltania az UFW-t. Ez a parancs ezt teszi:
sudo ufw disable
UFW állapot ellenőrzése
Ha rendszeresen ellenőrzi az UFW állapotát, tudni fogja, hogy mely szabályok vannak jelenleg aktívak. Így megbizonyosodhat arról, hogy a tűzfal pontosan úgy működik, ahogy elvárja tőle. Az UFW állapotát a következő UFW paranccsal ellenőrizheti:
sudo ufw status
A parancs utáni bőbeszédű beállítás használatával további részleteket kaphat az UFW állapotáról.
sudo ufw status verbose
Forgalom engedélyezése
Az UFW egyik elsődleges funkciója a forgalom engedélyezése vagy letiltása a biztonsági követelmények alapján. Ha egy adott porton keresztül szeretné engedélyezni a forgalmat, használja az enable parancsot, majd a portszámot és a protokollt (tcp/udp). Íme egy példa:
sudo ufw allow 22/tcp
Ez a parancs lehetővé teszi a bejövő SSH kapcsolatokat a 22-es porton a TCP protokoll használatával.
Forgalom tiltása
Hasonlóképpen, a forgalom blokkolásához használja a deny parancsot.
sudo ufw deny 23/tcp
Ez a parancs blokkolja a bejövő Telnet kapcsolatokat a 23-as porton a TCP protokoll használatával.
Forgalom engedélyezése IP-cím alapján
Az UFW még azt is lehetővé teszi, hogy engedélyezze vagy tiltsa le az adott IP-címekről érkező forgalmat. Így konkrétabb biztonsági szabályokat is beállíthat. Íme egy példa:
sudo ufw allow from 192.168.1.10
Forgalom tiltása IP-cím alapján
A forgalom IP-cím alapján történő megtagadása ugyanolyan egyszerű, mint az utolsó parancs. Íme egy példa, hogyan teheti ezt meg:
sudo ufw deny from 10.0.0.0/8
Az UFW szabályok kezelése
Az UFW használata során előfordulhat, hogy szeretne szabályokat hozzáadni, módosítani vagy eltávolítani. Lássuk, milyen UFW parancsok teszik ezt lehetővé. Először is kezdjük egy új szabály hozzáadásával. Ha új szabályt szeretne hozzáadni az UFW-hez, egyszerűen használja a korábban ismertetett UFW engedélyezési vagy megtagadási parancsait. Egy szabály eltávolítása azonban több lépést is magában foglal. Szabály eltávolításához először felsorolnia kell a számozott szabályokat. Ez a lépés azért fontos, mert meg kell határoznia a törölni kívánt szabályt. A következő parancs számozott szabályokat sorol fel Önnek:
sudo ufw status numbered
Ezután törölheti a szabályt a számának megadásával:
sudo ufw delete 1
UFW újratöltése
Amikor módosítja az UFW-szabályokat, érdemes újratölteni a tűzfalat. A következő UFW parancs újratölti az UFW-t:
sudo ufw reload
Ez a parancs újra alkalmazza az összes szabályt anélkül, hogy le kellene tiltani és újra engedélyezni kellene a tűzfalat.
UFW visszaállítása
Van egy UFW parancs, amely lehetővé teszi az összes létező szabály újraindítását vagy eltávolítását. De ne feledje, ha visszaállítja az UFW-t, az letiltásra kerül, és az összes szabály törlődik. A következő UFW parancs visszaállítja az UFW-t:
sudo ufw reset
Ezen alapvető UFW-parancsok megtanulása és szintaxisuk megértése elengedhetetlen a hatékony tűzfalkezeléshez. A következő szakaszokban mélyebben belemerülünk a speciális konfigurációkba és olyan felhasználási esetekbe, amelyek tovább javíthatják szervere biztonságát.
Az UFW kombinálása más biztonsági eszközökkel
Az UFW egy hatékony eszköz a tűzfal kezelésére. De lehetősége van más biztonsági eszközökkel kombinálni, hogy a legtöbbet hozza ki belőle. Az egyik ilyen eszköz az fail2ban, amely a naplók figyelésével és a rosszindulatú jeleket mutató IP-címek kitiltásával segít megelőzni a brute force támadásokat. Így integrálhatja az UFW-t a fail2ban-szal a biztonsági beállítások javítása érdekében.
A fail2ban egy biztonsági eszköz, amely képes átvizsgálni a naplófájlokat a sikertelen bejelentkezési kísérletek vagy más gyanús tevékenységek mintái után. A gyanús minták megtalálása után automatikusan frissíti a tűzfalszabályokat, hogy blokkolja a sértő IP-címeket. Az UFW és a Fail2ban kombinációja igazán hasznos lehet az ismételt brute force bejelentkezési kísérletek elleni védekezésben.
A fail2ban telepítése
A fail2ban telepítéséhez futtassa a következő parancsot a kiszolgálón:
sudo apt-get install fail2ban
A fail2ban beállítása UFW-vel
Most megtudhatja, hogyan konfigurálhatja a fail2ban-t az UFW-vel való együttműködésre.
1. lépés: Hozzon létre egy helyi börtön konfigurációt
A fail2ban alapértelmezett konfigurációs fájlja a címen található /etc/fail2ban/jail.conf. Javasoljuk azonban, hogy készítsen egy helyi másolatot erről a fájlról, hogy elkerülje a beállítások felülírását a fail2ban frissítésekor. Ide másolhatja a konfigurációs fájlt:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
2. lépés: Szerkessze a börtön konfigurációját
Nyissa meg a jail.local fájlt a kívánt szövegszerkesztőben a következő paranccsal:
sudo nano /etc/fail2ban/jail.local
Ebben a fájlban keresse meg a [Alapértelmezett] szakaszt, és állítsa be a bantime, időt találni, és maxretry paramétereket. Íme egy lista arról, hogy ezek a paraméterek mit mutatnak:
- Bantime: Azt szabályozza, hogy mennyi ideig legyen tiltva egy IP.
- Idő keresése: Megmutatja azt az időtartamot, amely alatt a sikertelen kísérleteket a rendszer számolja.
- Maxretry: A tiltás előtti megengedett hibák számát mutatja.
Például ezeket a paramétereket a következőképpen állíthatja be:
[DEFAULT] bantime = 600 findtime = 600 maxretry = 5
3. lépés: Engedélyezze az UFW-t a Jail konfigurációban
Keresse meg a [sshd] szakaszban (vagy bármely más védeni kívánt szolgáltatásban) a jail.local fájlt. Most győződjön meg arról, hogy az enabled értéke igaz, és adja meg, hogy az UFW-t kell használni a kitiltáshoz:
[sshd] enabled = true banaction = ufw port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5
Ez a konfiguráció szükséges annak biztosításához, hogy a fail2ban figyelje az SSH-szolgáltatást, és frissítse az UFW-szabályokat a rosszindulatú IP-címek kitiltása érdekében.
A fail2ban indítása és engedélyezése
A fail2ban konfigurálása után indítsa el a szolgáltatást, és engedélyezze a futását rendszerindításkor:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Most ellenőrizze a fail2ban állapotát, hogy megbizonyosodjon arról, hogy megfelelően működik:
sudo systemctl status fail2ban
Az UFW és a fail2ban kombinálásának előnyei
A fail2ban integrálása az UFW-vel lehetővé teszi, hogy a réteges biztonsági megközelítés. Az UFW egyszerű módot biztosít a tűzfalszabályok kezelésére, a fail2ban pedig dinamikus védelmet biztosít a rosszindulatú viselkedést mutató IP-címek kitiltásával. Ez a hatékony csapatmunka csökkenti a brute force támadások kockázatát, és gondoskodik a szerver biztonságáról.
Tekerje fel
Ebben az UFW-oktatóanyagban áttekintettük, hogy az UFW hogyan lehet nagyszerű eszköz a rendszerbiztonság fokozására és a tűzfalkezelés egyszerűsítésére. Könnyen követhető telepítési és konfigurációs folyamatot biztosítottunk az UFW használatához. Azt is elmagyaráztuk, hogy az UFW más biztonsági eszközökkel, például a fail2ban-nel való használata hogyan teheti még optimálisabbá a folyamatot.
GYIK
Hogyan távolíthatom el az általam hozzáadott UFW-szabályt?
Egy adott UFW-szabály eltávolításához használja az ufw delete parancsot, majd az eltávolítani kívánt szabályt. Például, ha el szeretne távolítani egy szabályt, amely engedélyezi a forgalmat a 80-as porton (HTTP), használja a következő parancsot:
sudo ufw delete allow 80/tcp
Az UFW jobb, mint az iptables?
Az UFW egyszerűbb szintaxissal és felhasználóbarát parancsokkal egyszerűsíti a tűzfalkezelést. Ez ideális választássá teszi kezdők számára. Az iptables viszont részletesebb vezérlési és testreszabási lehetőségeket kínál. Ezért alkalmas haladó felhasználók számára, akiknek nagyon specifikus tűzfalszabályokra van szükségük.
Melyik a jobb, Firewall vagy UFW?
Az UFW egyszerűbb a kezdők számára, mivel egyszerű parancsokkal rendelkezik. Ideális egyszerű konfigurációkhoz. Tűzfal fejlettebb szolgáltatásokat és rugalmasságot kínál, amelyek jobb eszközzé teszik összetett környezetekhez és dinamikus tűzfalszabályokhoz. A választás az Ön egyedi igényeitől és az egyes eszközök ismeretétől függ.
Melyik a legjobb tűzfal az Ubuntu számára?
Az Ubuntu legjobb tűzfala az Ön igényeitől függ. Az UFW az alapértelmezett és ajánlott opció a legtöbb felhasználó számára, mert egyszerű és könnyen használható. A fejlettebb konfigurációkhoz az iptables részletes vezérlést biztosít a tűzfalszabályok felett. A Firewall egy másik robusztus lehetőség, amely a tűzfalszabályok dinamikus kezelését kínálja. Választhatja az UFW-t az egyszerű feladatokhoz, és fontolja meg az iptables vagy a Firewall használatát az összetettebb követelményekhez.
