Якщо ви системний адміністратор, то впевнено були моменти у вашій кар'єрі, коли вам не вистачало потужної системи безпеки, яка легко налаштовується та керується без необхідності занурення в складні правила iptables. UFW, або Простий брандмауер - чудовий інструмент для безпеки мережі, який закриває цю прогалину, пропонуючи простий інтерфейс. UFW дозволяє вам контролювати параметри брандмауера вашого сервера простими командами.
У цьому посібнику з UFW ми розповімо вам все, що потрібно знати про UFW - від встановлення до розширеної конфігурації. Ми розглянемо, як увімкнути та вимкнути UFW, розберемо його синтаксис і покажемо практичні приклади для типових сценаріїв. Завершивши цей посібник, ви матимете міцне розуміння того, як користуватися UFW для ефективного захисту вашого сервера.
Встановлення UFW
Навіть якщо ви новачок в управлінні брандмауером, встановити UFW просто - процес установки досить прямолінійний. Ось покроковий посібник з UFW, щоб запустити його на вашому сервері.
Крок 1. Оновіть список пакетів
Перед встановленням будь-якого нового програмного забезпечення добре оновити список пакетів.
sudo apt update
Крок 2. Встановіть UFW
Встановити UFW можна простою командою:
sudo apt install ufw
Крок 3: перевірте встановлення
Тепер, коли встановлення завершено, ви можете перевірити його успішність. Версію установленого UFW можна перевірити, запустивши:
ufw version
Крок 4. Первинна конфігурація
Перед увімкненням UFW важливо провести первинну конфігурацію. Так ви переконаєтесь, що він працює як очікується при активації. Один із найкритичніших кроків - встановити політики за замовчуванням. За замовчуванням UFW налаштований на відхилення всіх вхідних з'єднань та дозвіл усіх вихідних. Щоб перевірити або встановити ці налаштування за замовчуванням, використовуйте команду:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Крок 5. Увімкніть UFW
Увімкнення UFW активує брандмауер з вашими визначеними правилами та політиками за замовчуванням. Щоб увімкнути UFW, виконайте команду:
sudo ufw enable
Крок 6. Перевірка статусу UFW
Переглянути статус UFW та активні правила можна командою:
sudo ufw status
Дотримуючись цього посібника з UFW, ви успішно встановите та увімкнете UFW на вашому сервері. Це початкове налаштування спростить подальші конфігурації. UFW дуже гнучкий і дозволяє додавати конкретні правила для дозволу або блокування трафіку за необхідністю.
Основні команди та синтаксис UFW
UFW розроблений для легкого використання. Він має простозрозумілі команди та чіткий синтаксис, які спрощують управління брандмауером. Розуміння цих базових команд та їхнього синтаксису допоможе вам при конфігуруванні та обслуговуванні брандмауера сервера. У попередній частині посібника ми розглядали увімкнення UFW. Тепер почнемо цей розділ з команди, яка дозволяє вимкнути UFW на вашій системі.
Вимикання UFW
Для усунення несправностей або обслуговування вам може знадобитися вимкнути UFW. Ця команда це робить:
sudo ufw disable
Перевірка статусу UFW
Якщо ви регулярно перевіряєте статус UFW, ви знатимете, які правила наразі активні. Так ви переконаєтесь, що брандмауер працює як потрібно. Перевірити статус UFW можна командою:
sudo ufw status
Після цієї команди можна використати опцію verbose, щоб отримати більше деталей про статус UFW.
sudo ufw status verbose
Дозвіл трафіку
Одна з основних функцій UFW - дозволяти або блокувати трафік на основі ваших вимог безпеки. Якщо ви хочете дозволити трафік через конкретний порт, використовуйте команду allow, за якою йде номер порту та протокол (tcp/udp). Ось приклад:
sudo ufw allow 22/tcp
Ця команда дозволяє вхідні з'єднання SSH на порту 22 з використанням протоколу TCP.
Блокування трафіку
Аналогічно, щоб заблокувати трафік, використовуйте команду deny.
sudo ufw deny 23/tcp
Ця команда блокує вхідні з'єднання Telnet на порту 23 з використанням протоколу TCP.
Дозвіл трафіку за IP-адресою
UFW також дозволяє вам дозволити або заблокувати трафік з певних IP-адрес. Таким чином ви можете встановити більш точні правила безпеки. Ось приклад:
sudo ufw allow from 192.168.1.10
Блокування трафіку за IP-адресою
Блокування трафіку за IP-адресою так само просто, як попередня команда. Ось приклад того, як це зробити:
sudo ufw deny from 10.0.0.0/8
Керування правилами UFW
Під час роботи з UFW вам може знадобитися додавати, змінювати або видаляти правила. Давайте подивимося, які команди UFW це дозволяють. Почнемо з додавання нового правила. Щоб додати нове правило до UFW, ви можете просто використати команди allow або deny, які ми пояснили раніше. Однак видалення правила потребує більше кроків. Щоб видалити правило, спочатку необхідно вивести список пронумерованих правил. Цей крок важливий, оскільки вам потрібно визначити конкретне правило, яке ви хочете видалити. Наступна команда виведе для вас пронумеровані правила:
sudo ufw status numbered
Потім ви можете видалити правило, вказавши його номер:
sudo ufw delete 1
Перезавантаження UFW
Кожного разу, коли ви змінюєте правила UFW, рекомендується перезавантажити брандмауер. Наступна команда UFW перезавантажує UFW для вас:
sudo ufw reload
Ця команда повторно застосовує всі правила без необхідності вимикати та повторно вмикати брандмауер.
Скидання UFW
Існує команда UFW, яка дозволяє вам почати заново або видалити всі існуючі правила. Однак пам'ятайте, що якщо ви скидаєте UFW, він буде вимкнено, а всі правила буде видалено. Наступна команда UFW скидає UFW:
sudo ufw reset
Вивчення цих базових команд UFW та розуміння їхного синтаксису є важливим для ефективного керування брандмауером. У наступних розділах ми глибше вивчимо розширені конфігурації та сценарії використання, які можуть додатково підвищити безпеку вашого сервера.
Поєднання UFW з іншими інструментами безпеки
UFW - це потужний інструмент для керування брандмауером. Але ви маєте можливість поєднати його з іншими інструментами безпеки, щоб отримати максимум користі. Один з таких інструментів - fail2ban, який допомагає запобігти атакам перебору пароля, моніторячи журнали та блокуючи IP-адреси, які проявляють ознаки шкідливої діяльності. Ось як ви можете інтегрувати UFW з fail2ban, щоб підвищити безпеку вашої установки.
fail2ban - це інструмент безпеки, який може сканувати файли журналу в пошуках схем невдалих спроб входу або іншої підозрілої діяльності. Виявивши підозрілі схеми, він може автоматично оновити правила брандмауера, щоб заблокувати IP-адреси порушників. Поєднання UFW та fail2ban може бути дуже корисним для захисту від повторних атак перебору пароля.
Встановлення fail2ban
Щоб установити fail2ban, запустіть на своєму сервері наступну команду:
sudo apt-get install fail2ban
Конфігурування fail2ban з UFW
Тепер ви дізнаєтесь, як налаштувати fail2ban для роботи з UFW.
Крок 1: створення локальної конфігурації в'язниці
Файл конфігурації за замовчуванням для fail2ban розташований у /etc/fail2ban/jail.conf. Однак рекомендується створити локальну копію цього файлу, щоб уникнути перезапису ваших параметрів при оновленні fail2ban. Ось як ви можете скопіювати файл конфігурації:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Крок 2: редагування конфігурації в'язниці
Відкрити jail.local файл у вашому улюбленому текстовому редакторі за допомогою наступної команди:
sudo nano /etc/fail2ban/jail.local
У цьому файлі знайдіть [DEFAULT] розділ та встановіть час блокування, знайти час, і maxretry параметрів. Ось список того, що показує кожен з цих параметрів:
- Час бану: Контролює, як довго IP-адреса залишається заблокованою.
- Знайти час: Показує часовий період, протягом якого враховуються невдалі спроби входу.
- Максспроб: Показує кількість дозволених невдалих спроб перед блокуванням.
Наприклад, ви можете встановити ці параметри так:
[DEFAULT] bantime = 600 findtime = 600 maxretry = 5
Крок 3: Увімкніть UFW у конфігурації Jail
Знайти [sshd] розділ (або будь-який інший сервіс, який ви хочете захистити) у jail.local файлі. Переконайтеся, що параметр enabled встановлений у true, і вкажіть, що UFW слід використовувати для блокування:
[sshd] enabled = true banaction = ufw port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5
Ця конфігурація необхідна для того, щоб fail2ban моніторив сервіс SSH і оновлював правила UFW для блокування шкідливих IP-адрес.
Запуск та активація fail2ban
Після налаштування fail2ban запустіть сервіс та активуйте його для автоматичного запуску при завантаженні системи:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Тепер перевірте статус fail2ban, щоб переконатися, що він працює коректно:
sudo systemctl status fail2ban
Переваги поєднання UFW та fail2ban
Інтеграція fail2ban з UFW дозволяє вам реалізувати багатошарову стратегію захисту. UFW забезпечує простий спосіб керування правилами брандмауера, а fail2ban додає динамічний захист, блокуючи IP-адреси з ознаками шкідливої поведінки. Такий ефективний синтез зменшує ризик атак перебору пароля та забезпечує безпеку вашого сервера.
Підсумок
У цьому посібнику UFW ми розглянули, як UFW може бути відмінним інструментом для підвищення безпеки системи та спрощення керування брандмауером. Ми надали легкі для розуміння інструкції з встановлення та налаштування UFW. Ми також пояснили, як використання UFW разом з іншими інструментами безпеки, такими як fail2ban, може зробити процес ще більш ефективним.
Часто задавані питання
Як видалити правило UFW, яке я додав?
Щоб видалити конкретне правило UFW, скористайтесь командою ufw delete і вкажіть правило, яке ви хочете видалити. Наприклад, якщо ви хочете видалити правило, яке дозволяє трафік на порт 80 (HTTP), виконайте таку команду:
sudo ufw delete allow 80/tcp
UFW краще за iptables?
UFW спрощує керування брандмауером завдяки простішому синтаксису та зрозумілим командам. Це робить його ідеальним вибором для початківців. iptables, з іншого боку, пропонує більш детальний контроль і опції для налаштування. Тому він підходить для досвідчених користувачів, яким потрібні дуже специфічні правила брандмауера.
Що краще: Firewalld або UFW?
UFW простіший для початківців, оскільки має зрозумілі команди. Він ідеальний для простих конфігурацій. Firewalld пропонує більш розширені функції та гнучкість, що роблять його кращим інструментом для складних середовищ та динамічних правил брандмауера. Вибір залежить від ваших конкретних потреб та знайомства з кожним інструментом.
Який найкращий брандмауер для Ubuntu?
Найкращий брандмауер для Ubuntu залежить від ваших потреб. UFW — це стандартний та рекомендований варіант для більшості користувачів, оскільки він простий у використанні. Для складніших конфігурацій iptables забезпечує детальний контроль над правилами брандмауера. Firewalld — ще один надійний варіант, що пропонує динамічне управління правилами брандмауера. Виберіть UFW для простих завдань, а iptables або Firewalld розглядайте для складніших вимог.
