Якщо ви системний адміністратор, у вашій кар’єрі точно були моменти, коли ви бажали мати потужну систему безпеки, яку легко налаштовувати та керувати без необхідності заглиблюватись у складні правила iptables. UFW, або Нескладний брандмауер це чудовий інструмент безпеки мережі, який заповнює цю прогалину, пропонуючи простий інтерфейс. UFW дозволяє керувати налаштуваннями брандмауера вашого сервера за допомогою простих команд.
У цьому посібнику UFW ми розповімо вам усе, що вам потрібно знати про UFW, від встановлення до розширеного налаштування. Ми розповімо, як увімкнути та вимкнути UFW, зрозуміємо його синтаксис і застосуємо практичні приклади до типових сценаріїв. Наприкінці цього підручника UFW ви матимете чітке розуміння того, як використовувати UFW для ефективного захисту вашого сервера.
Установка UFW
Навіть якщо ви новачок у управлінні брандмауером, ви можете легко встановити UFW, оскільки процес встановлення досить простий. Ось покроковий підручник UFW, щоб налаштувати його та запустити на вашому сервері.
Крок 1: Оновіть свій список пакетів
Перш ніж установлювати будь-яке нове програмне забезпечення, радимо оновити список пакетів.
sudo apt update
Крок 2: Встановіть UFW
Ви можете встановити UFW за допомогою простої команди:
sudo apt install ufw
Крок 3. Перевірте встановлення
Тепер, коли інсталяція завершена, ви можете перевірити, чи інсталяція пройшла успішно. Ви можете перевірити версію встановлення UFW, виконавши:
ufw version
Крок 4: Початкова конфігурація
Перш ніж увімкнути UFW, важливо виконати початкову конфігурацію. Таким чином ви можете переконатися, що він поводиться належним чином, коли ви його активуєте. Одним із найважливіших кроків є встановлення політик за замовчуванням. За замовчуванням UFW налаштовано на заборону всіх вхідних з’єднань і дозвіл на всі вихідні з’єднання. Ви можете скористатися такою командою, щоб перевірити або встановити ці параметри за замовчуванням:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Крок 5: Увімкніть UFW
Увімкнення UFW активує брандмауер із визначеними вами правилами та політиками за замовчуванням. Щоб увімкнути UFW, виконайте таку команду:
sudo ufw enable
Крок 6. Перевірте статус UFW
Ви можете переглянути статус UFW і правила, які зараз застосовуються, використовуючи таку команду:
sudo ufw status
Дотримуючись цього підручника UFW, ви зможете успішно встановити та ввімкнути UFW на своєму сервері. Це початкове налаштування спрощує подальше налаштування. UFW настільки настроюється, що дозволяє додавати певні правила, щоб дозволяти або блокувати трафік за потреби.
Основні команди та синтаксис UFW
UFW розроблений таким чином, щоб бути простим у використанні; ось чому він має прості команди та чіткий синтаксис, який спрощує керування брандмауером. Розуміння цих основних команд і їх синтаксису дуже допоможе вам у налаштуванні та обслуговуванні брандмауера вашого сервера. В останньому розділі нашого підручника UFW ми розглянули ввімкнення UFW. Отже, давайте почнемо цей розділ з команди, яка дозволяє вимкнути UFW у вашій системі.
Вимкнення UFW
Для усунення несправностей або технічного обслуговування вам може знадобитися вимкнути UFW. Ця команда робить це за вас:
sudo ufw disable
Перевірка статусу UFW
Якщо ви регулярно перевіряєте статус UFW, ви знатимете, які правила зараз активні. Отже, ви можете переконатися, що брандмауер працює саме так, як ви очікуєте. Ви можете перевірити статус UFW за допомогою такої команди UFW:
sudo ufw status
Після цієї команди можна скористатися параметром verbose, щоб отримати докладнішу інформацію про статус UFW.
sudo ufw status verbose
Дозволити трафік
Однією з основних функцій UFW є дозвіл або заборона трафіку на основі ваших вимог безпеки. Якщо ви хочете дозволити трафік через певний порт, вам слід використати команду allow, після якої номер порту та протокол (tcp/udp). Ось приклад:
sudo ufw allow 22/tcp
Ця команда дозволяє вхідні з’єднання SSH на порт 22 за допомогою протоколу TCP.
Відмова в трафіку
Так само, щоб заблокувати трафік, слід використовувати команду deny.
sudo ufw deny 23/tcp
Ця команда блокує вхідні підключення Telnet до порту 23 за допомогою протоколу TCP.
Дозвіл трафіку за IP-адресою
UFW навіть дозволяє дозволяти або забороняти трафік із певних IP-адрес. Таким чином ви можете мати більш конкретні правила безпеки. Ось приклад:
sudo ufw allow from 192.168.1.10
Заборона трафіку за IP-адресою
Заборона трафіку на основі IP-адреси така ж проста, як остання команда. Ось приклад того, як це можна зробити:
sudo ufw deny from 10.0.0.0/8
Керування правилами UFW
Працюючи з UFW, ви можете додавати, змінювати або видаляти правила. Давайте подивимося, які команди UFW дозволять вам це зробити. По-перше, почнемо з додавання нового правила. Щоб додати нове правило до UFW, ви можете просто скористатися командами дозволу або заборони UFW, які ми пояснювали раніше. Однак видалення правила включає більше кроків. Щоб видалити правило, ви повинні спочатку перерахувати пронумеровані правила. Цей крок важливий, оскільки вам потрібно визначити конкретне правило, яке потрібно видалити. Наступна команда покаже для вас список пронумерованих правил:
sudo ufw status numbered
Потім ви можете видалити правило, вказавши його номер:
sudo ufw delete 1
Перезавантаження UFW
Щоразу, коли ви змінюєте правила UFW, доцільно перезавантажувати брандмауер. Наступна команда UFW перезавантажує UFW для вас:
sudo ufw reload
Ця команда повторно застосовує всі правила без необхідності вимикати та повторно вмикати брандмауер.
Скидання UFW
Є команда UFW, яка дозволяє почати заново або видалити всі існуючі правила. Але пам’ятайте, що якщо ви скинете UFW, його буде вимкнено, а всі правила буде видалено. Наступна команда UFW скидає UFW:
sudo ufw reset
Вивчення цих основних команд UFW і розуміння їх синтаксису є важливими для ефективного керування брандмауером. У наступних розділах ми глибше заглибимося в розширені конфігурації та випадки використання, які можуть додатково підвищити безпеку вашого сервера.
Поєднання UFW з іншими засобами безпеки
UFW — потужний інструмент для керування брандмауером. Але у вас є шанс поєднати його з іншими інструментами безпеки, щоб максимально використати його. Одним з таких засобів є fail2ban, який допомагає запобігти атакам грубої сили, відстежуючи журнали та забороняючи IP-адреси, які мають шкідливі ознаки. Ось як ви можете інтегрувати UFW із fail2ban, щоб покращити налаштування безпеки.
fail2ban — це інструмент безпеки, який може сканувати файли журналів на предмет шаблонів невдалих спроб входу чи інших підозрілих дій. Після виявлення підозрілих шаблонів він може автоматично оновлювати правила брандмауера, щоб блокувати IP-адреси, що порушують правила. Комбінація UFW і Fail2ban може бути дуже корисною для захисту від повторних спроб входу грубою силою.
Встановлення fail2ban
Щоб інсталювати fail2ban, виконайте таку команду на своєму сервері:
sudo apt-get install fail2ban
Налаштування fail2ban за допомогою UFW
Тепер ви дізнаєтесь, як налаштувати fail2ban для роботи з UFW.
Крок 1: Створіть локальну конфігурацію Jail
Файл конфігурації за замовчуванням для fail2ban знаходиться за адресою /etc/fail2ban/jail.conf. Однак рекомендується створити локальну копію цього файлу, щоб уникнути перезапису ваших налаштувань під час оновлення fail2ban. Тут ви можете скопіювати файл конфігурації:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Крок 2: Відредагуйте конфігурацію Jail
Відкрийте jail.local файл у вашому текстовому редакторі за допомогою такої команди:
sudo nano /etc/fail2ban/jail.local
У цьому файлі знайдіть [ЗА ПРОМОВЧАННЯМ] розділ і встановіть бантайм, findtime, і maxretry параметри. Ось список того, що показує кожен із цих параметрів:
- Bantime: Контролює тривалість заборони IP-адреси.
- Знайти час: Показує вікно часу, протягом якого підраховуються невдалі спроби.
- Maxretry: Показує кількість дозволених помилок перед забороною.
Наприклад, ви можете встановити ці параметри наступним чином:
[DEFAULT] bantime = 600 findtime = 600 maxretry = 5
Крок 3: Увімкніть UFW у конфігурації Jail
Знайдіть [sshd] розділ (або будь-яка інша служба, яку ви хочете захистити) у jail.local файл. Тепер переконайтеся, що для параметра enabled встановлено значення true, і вкажіть, що для заборони слід використовувати UFW:
[sshd] enabled = true banaction = ufw port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5
Ця конфігурація необхідна, щоб переконатися, що fail2ban відстежує службу SSH і оновлює правила UFW, щоб заборонити шкідливі IP-адреси.
Запуск і ввімкнення fail2ban
Після налаштування fail2ban запустіть службу та ввімкніть її запуск під час завантаження:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Тепер перевірте статус fail2ban, щоб переконатися, що він працює правильно:
sudo systemctl status fail2ban
Переваги поєднання UFW і fail2ban
Інтеграція fail2ban з UFW дозволяє мати a багаторівневий підхід до безпеки. UFW забезпечує простий спосіб керування правилами брандмауера, а fail2ban додає динамічний захист, забороняючи IP-адреси, які демонструють шкідливу поведінку. Така ефективна командна робота знижує ризик атак грубої сили та гарантує безпеку вашого сервера.
Згорнути
У цьому підручнику UFW ми розглянули, як UFW може бути чудовим інструментом для підвищення безпеки системи та полегшення керування брандмауером. Ми надали простий у дотриманні процес встановлення та налаштування для використання UFW. Ми також пояснили, як використання UFW з іншими інструментами безпеки, такими як fail2ban, може зробити процес ще більш оптимальним.
FAQ
Як я можу видалити правило UFW, яке я додав?
Щоб видалити конкретне правило UFW, потрібно використати команду ufw delete, а потім правило, яке потрібно видалити. Наприклад, якщо ви хочете видалити правило, яке дозволяє трафік через порт 80 (HTTP), ви можете використати таку команду:
sudo ufw delete allow 80/tcp
Чи UFW кращий за iptables?
UFW спрощує керування брандмауером завдяки простішому синтаксису та зручним командам. Це робить його ідеальним вибором для новачків. iptables, з іншого боку, пропонує більш детальний контроль і параметри налаштування. Ось чому він підходить для досвідчених користувачів, яким потрібні дуже специфічні правила брандмауера.
Що краще Firewalld чи UFW?
UFW легше для початківців, оскільки він має прості команди. Він ідеально підходить для простих конфігурацій. Брандмауер пропонує більш розширені функції та гнучкість, що робить його кращим інструментом для складних середовищ і динамічних правил брандмауера. Вибір залежить від ваших конкретних потреб і знайомства з кожним інструментом.
Який брандмауер найкращий для Ubuntu?
Найкращий брандмауер для Ubuntu залежить від ваших потреб. UFW є типовим і рекомендованим варіантом для більшості користувачів, оскільки він простий і легкий у використанні. Для більш розширених конфігурацій iptables забезпечує детальний контроль над правилами брандмауера. Firewalld — ще один надійний варіант, який пропонує динамічне керування правилами брандмауера. Ви можете вибрати UFW для простих завдань і розглянути iptables або Firewalld для більш складних вимог.
