เหตุใดจึงปิดใช้งานไฟร์วอลล์เป็นค่าเริ่มต้น

64

เหตุใด ufw firewall จึงรวมอยู่ใน Ubuntu เมื่อไม่ได้เปิดใช้งานและกำหนดค่าล่วงหน้าไว้ล่วงหน้า ผู้ใช้ส่วนใหญ่ไม่ทราบว่ามีเพราะไม่มีส่วนหน้า GUI ให้

security  firewall  ufw  gufw 
6205
แหล่งที่มา
6
ฉันช็อคเมื่อพบว่ามีการติดตั้งไฟร์วอลล์ แต่ปิดการใช้งาน! ข้อโต้แย้งที่กล่าวถึงในที่นี้ค่อนข้างอ่อนแอ
HRJ
1
ฉันมีคำถามเดียวกันนั่นคือสาเหตุที่ฉันมาถึงที่นี่เพียงเดาได้ว่าผู้ใช้ลีนุกซ์ (ตรงกันข้ามกับผู้ใช้ Windows ที่มีแนวโน้มจะเป็นผู้ใช้เดสก์ท็อปปกติ) มีการใช้ลินุกซ์ที่หลากหลาย: สำหรับการทดสอบ การใช้งานsshบางอย่างไม่ทำอะไรมากมายใช้เป็นเว็บเซิร์ฟเวอร์ฐานข้อมูลหรือเซิร์ฟเวอร์ smtp ... ปรัชญา Linux จะให้ผู้ใช้ทุกคนกำหนดค่าไฟร์วอลล์ของเขาตามที่เห็นสมควร
user10089632
นี่เป็นการตัดสินใจออกแบบที่ไม่ดีอย่างไม่น่าเชื่อ เพียงแค่ไม่ดีอย่างน่าประหลาดใจ!
iono

คำตอบ:

37

ออกจากกล่องแล้ว Ubuntu มาพร้อมกับพอร์ต TCP หรือ UDP ที่เปิดอยู่ดังนั้นจึงเชื่อว่าไม่มีเหตุผลที่จะเรียกใช้Uncomplicated Firewall (ufw)ตามค่าเริ่มต้น ฉันยอมรับว่าการปิดใช้งาน ufw เป็นการตัดสินใจที่ผิดปกติ เหตุผลของฉันคือผู้ใช้ที่ไม่มีประสบการณ์มักจะติดตั้งสิ่งต่าง ๆ เช่น Samba, Apache และเช่นที่พวกเขาทดลองกับระบบที่วางไว้ก่อนหน้าพวกเขา หากพวกเขาไม่เข้าใจความหมายของสิ่งนี้พวกเขาจะเปิดเผยตัวเองว่าเป็นผู้ที่ได้รับอันตรายบนอินเทอร์เน็ต

ตัวอย่าง - ฉันมีแล็ปท็อปของฉันกำหนดค่าด้วย Samba ซึ่งใช้ได้ในเครือข่ายในบ้านของฉันที่ได้รับการป้องกันด้วย WPA2 แต่ถ้าฉันนำแล็ปท็อปของฉันไปที่สตาร์บัคส์ฉันอาจไม่ได้คิดอะไรเลย แต่ตอนนี้แล็ปท็อปนั้นโฆษณาหุ้นของฉันไปยังทุกคน ด้วยไฟร์วอลล์ฉันสามารถ จำกัด พอร์ต samba ของฉันเฉพาะเซิร์ฟเวอร์ภายในบ้านหรืออุปกรณ์เพียร์ ไม่ต้องกังวลมากไปกว่าตอนนี้ว่าใครกำลังพยายามเชื่อมต่อกับแล็ปท็อปของฉัน การใช้งาน VNC, SSH หรือบริการที่มีประโยชน์อื่น ๆ อีกมากมายแล็ปท็อปของฉันอาจทำงานอยู่หรือพยายามเชื่อมต่อ

Ubuntu ใช้วิธีการเปิด / ปิดอย่างมากกับองค์ประกอบด้านความปลอดภัยซึ่งเป็นปรัชญาที่ฉันไม่เห็นด้วย ความปลอดภัยอาจเปิดหรือปิดทางเทคนิค แต่ด้วยการจัดองค์ประกอบด้านความปลอดภัยซึ่งกันและกันคุณจะได้ระบบที่ดีขึ้น แน่นอนความปลอดภัยของ Ubuntu นั้นดีพอสำหรับกรณีการใช้งานจำนวนมาก แต่ไม่ใช่ทั้งหมด

บรรทัดล่างเรียกใช้ ufw ปลอดภัยกว่าดีกว่าขออภัย

ไม่ซับซ้อน Firewall มีจำนวนของปลายด้านหน้ากราฟิก แต่ที่ง่ายที่สุดคือGufw

โลโก้ GUFW

sudo apt-get install gufw

ที่นี่ฉันอนุญาตการรับส่งข้อมูลทั้งหมดจากเซิร์ฟเวอร์ VLAN เฉพาะในสภาพแวดล้อมองค์กรของฉันและฉันได้เพิ่มกฎเพื่ออนุญาตพอร์ตที่จำเป็นสำหรับเซสชัน SSH ย้อนกลับเพื่อกระเด็นเครื่องนี้

ภาพหน้าจอของ GUFW

Scaine
แหล่งที่มา
ufw เป็นเพียงการควบคุม iptables - นั่นคือสาเหตุที่ไม่ได้เปิดใช้งานโดยค่าเริ่มต้น ผู้ใช้ขั้นสูงสามารถใช้ iptables
papukaija
3
@papukaija - ผู้ใช้ขั้นสูงของ iptables สามารถใช้ iptables ได้ ผู้ใช้ขั้นสูงในระบบ bsd จะใช้ pf แต่นั่นไม่ได้ทำให้ผู้ใช้รายนั้นมาถึงอูบุนตูก็ไม่ซับซ้อน เช่นเดียวกันกับคนที่เป็นวิศวกรเครือข่ายเป็นหลัก - บุคคลนั้นจะรู้จักตรรกะของ Cisco หรือ Juniper ACL ไม่ใช่สำหรับทุกคน แต่ ufw สามารถทำให้การกำหนดค่าสามารถเข้าถึงได้มากขึ้นและในความคิดของฉันนี่เป็นสิ่งที่ดี
belacqua
2
@jgbelacqua: จริง แต่คำตอบของ scaine ให้ภาพที่ ufw เป็นไฟร์วอลล์ในขณะที่มันเป็นส่วนหน้าของ iptables
papukaija
1
(คำเตือนคนเดินเท้าแบบก้าวร้าว) ฉันขอแนะนำให้ผู้ใช้ไม่อนุญาตให้มีการสุ่มแพ็คเก็ต UDP / 53 ที่เข้ามาบนพื้นฐานของที่อยู่แหล่งปลอมแปลง พวกมันถูกใช้ในการโจมตีในโลกแห่งความเป็นจริง (พิษ DNS, DoS โดยการขยายการรับส่งข้อมูล) คุณจะต้องทำเช่นนี้เพราะเหตุใด
sourcejedi
ใช่อาจเป็นจริง นั่นเป็นภาพหน้าจอที่ไม่ดีจริงๆของพีซีเครื่องเก่าที่ฉันต้องการ OpenDNS จากบันทึกของฉัน มันไม่ใช่วิธีปฏิบัติที่ดี ถ้าฉันมีเวลาฉันจะพยายามอัปเดตภาพหน้าจอเนื่องจาก GUFW ดูค่อนข้างต่างไปจากวันนี้
Scaine
28

ตรงกันข้ามกับ Microsoft Windows เดสก์ท็อป Ubuntu ไม่จำเป็นต้องใช้ไฟร์วอลล์เพื่อความปลอดภัยบนอินเทอร์เน็ตเนื่องจากโดยปกติแล้ว Ubuntu จะไม่เปิดพอร์ตที่สามารถแนะนำปัญหาด้านความปลอดภัย

โดยทั่วไปแล้วระบบ Unix หรือ Linux ที่ชุบแข็งแล้วจะไม่ต้องการไฟร์วอลล์ ไฟร์วอลล์ (ยกเว้นปัญหาความปลอดภัยบางอย่างกับคอมพิวเตอร์ Windows) เหมาะสมกว่าที่จะบล็อกเครือข่ายภายในกับอินเทอร์เน็ต ในกรณีนี้คอมพิวเตอร์ในพื้นที่สามารถสื่อสารระหว่างกันผ่านพอร์ตเปิดซึ่งเป็นบล็อกทางด้านนอกโดยไฟร์วอลล์ ในกรณีนี้คอมพิวเตอร์จะเปิดขึ้นโดยเจตนาสำหรับการสื่อสารภายในซึ่งไม่ควรใช้นอกเครือข่ายภายใน

เดสก์ท็อป Ubuntu มาตรฐานจะไม่ต้องการสิ่งนี้ดังนั้น ufw จะไม่ถูกเปิดใช้งานตามค่าเริ่มต้น

txwikinger
แหล่งที่มา
(g) ไม่ใช่แค่ส่วนหน้าใช่มั้ย ฉันหมายถึงไฟร์วอลล์ที่แท้จริงคือ iptables ใช่ไหม
papukaija
9
แม้แต่ระบบที่ชุบแข็งอย่างเหมาะสมจะได้รับประโยชน์จากไฟร์วอลล์ ตัวอย่างเช่นถ้าคุณใช้ Samba คุณจะเปิดพอร์ตต่าง ๆ ให้กับทุกคน ด้วย firwall คุณสามารถ จำกัด ได้เฉพาะเซิร์ฟเวอร์หรือเพื่อนของคุณ
Scaine
netfilter + iptables หรือ netfilter + ufw (ซึ่งรวมถึง iptables) ให้ไฟร์วอลล์ แต่ถ้าคุณมี ufw คุณจะมีฟังก์ชั่นไฟร์วอลล์
belacqua
4
[จำเป็น]
ζ--
7
นี่เป็นเรื่องไร้สาระอย่างสมบูรณ์ ไฟร์วอลล์ถูกใช้เพื่อป้องกันการสื่อสารเข้าและออกจากการใช้ที่ไม่ถูกต้อง ... ซึ่งหมายความว่าหากคุณติดตั้ง a เครื่องเล่นเพลงที่เปิดพอร์ตผิดคุณจะต้องเปิดการเชื่อมต่ออินเทอร์เน็ต ที่เรียกว่าการรักษาความปลอดภัยแบบ preemptive คุณปกป้องจากสิ่งที่อาจเกิดขึ้น คำตอบนี้ให้ความรู้สึกผิด ๆ กับความปลอดภัยในสภาพแวดล้อม linux
Daniel
8

ใน Ubuntu หรือ Linux อื่น ๆ ไฟร์วอลล์เป็นส่วนหนึ่งของระบบพื้นฐานและเรียกว่า iptables / netfilter มันเปิดใช้งานอยู่เสมอ

iptables ประกอบด้วยชุดของกฎเกี่ยวกับสิ่งที่ต้องทำและวิธีการทำงานเมื่อแพ็คเก็ตหากออกมาถ้าคุณต้องการปิดกั้นการเชื่อมต่อขาเข้าจาก IP เฉพาะคุณจะต้องเพิ่มกฎ จริงๆแล้วคุณไม่จำเป็นต้องทำเช่นนั้น ผ่อนคลาย.

หากคุณต้องการความปลอดภัยที่ดีจากสิ่งใดโปรดอย่าติดตั้งซอฟต์แวร์แบบสุ่มจากที่ใดก็ได้ มันอาจทำให้การตั้งค่าความปลอดภัยเริ่มต้นของคุณหมดไปอย่าทำงานเหมือนรูทเลย ไว้วางใจ repos อย่างเป็นทางการเสมอ

ฉันคิดว่าสิ่งที่คุณต้องการถามคือถ้าติดตั้ง UI หรือไม่

Manish Sinha
แหล่งที่มา
8
คุณทำให้ดูเหมือนว่าไฟร์วอลล์ "เปิดใช้งานเสมอ" ซึ่งไม่ใช่กรณี อาจรวมเข้าด้วยกัน แต่ถ้าคุณไม่เปิดsudo ufw enableใช้งานซอฟต์แวร์เซิร์ฟเวอร์ชิ้นแรกที่คุณติดตั้งจะเปิดพอร์ตที่ iptables ในตัวไม่ได้ทำอะไร
Scaine
4
@Scaine: ufw ไม่ทำงาน มันทำโดย iptables ซึ่งเปิดใช้งานโดยค่าเริ่มต้น
papukaija
7
ไงพวก UFW เป็นส่วนหน้าของ iptables - เข้าใจแล้ว อย่างไรก็ตามโดยค่าเริ่มต้น iptables ไม่ได้ทำอะไรอย่างแม่นยำ มันไม่ทำงาน ไม่ใช่ไฟร์วอลล์ มันพร้อม แต่ไร้ประโยชน์ คุณต้องเรียกใช้sudo ufw enableก่อนที่ iptables จะได้รับการกำหนดค่าให้ทำอะไร คำตอบของคุณดูเหมือนไฟร์วอลล์กำลังทำงานอยู่ คุณกำลังพูดว่า "ในทางเทคนิคแล้ว" และในทางเทคนิคคุณพูดถูก แต่มันไม่ได้ทำอะไรเลยดังนั้นคุณจะรู้สึกถึงความปลอดภัยที่ผิดพลาดอย่างมาก
Scaine
3
@ manish เกี่ยวกับ "ผู้ใช้ปกติที่ติดตั้งซอฟต์แวร์เซิร์ฟเวอร์" หลายคนจะติดตั้ง Samba ตามตัวอย่างของฉัน ส่วนอีกหลายคนจะใช้เซิร์ฟเวอร์ VNC ในตัวในการตั้งค่า / เดสก์ท็อประยะไกล สิ่งนี้เป็นสิ่งที่ดีในสภาพแวดล้อมภายในบ้าน (อาจจะเป็น) แต่นำแล็ปท็อปนั้นออกไปข้างนอกโดยเปิดใช้งานบริการเหล่านั้นคุณอาจเปิดเผยพฤติกรรมที่เป็นอันตราย
Scaine
2
ssh, เกี่ยวข้องกับการพิมพ์และพอร์ตจดหมายยังเปิดบ่อยสำหรับการดำเนินงานเดสก์ท็อปหรือเซิร์ฟเวอร์ชนิดปกติอย่างสมบูรณ์ สิ่งเหล่านี้สามารถล็อคได้ (เช่น IP ต้นทาง) หรือปิดอย่างสมบูรณ์ด้วย ufw หรือรสชาติของไฟร์วอลล์ / ACL อื่น
belacqua
4

นอกจากนี้ยังgufwสามารถให้ GUI front-end (มันไม่ง่ายกว่าการใช้ ufw ในบรรทัดคำสั่งสำหรับฉัน แต่มันทำให้คุณเห็นภาพที่ชัดเจนว่ามีอะไรอยู่บ้าง) ฉันยอมรับว่าไฟร์วอลล์ยังไม่ได้โฆษณาอย่างดีในปัจจุบัน ถ้าฉันต้องเดาฉันจะพูดแบบนี้เพื่อป้องกันไม่ให้ผู้ใช้ใหม่ยิงตัวเองด้วยการเดินเท้า

belacqua
แหล่งที่มา
-1

เพราะ: รหัสผ่านหรือ crypto-keys

นี่คือคำตอบที่ถูกต้องของ IMO และจนถึงขณะนี้ค่อนข้างแตกต่างจากคำตอบอื่น ๆ ufwถูกปิดใช้งานโดยค่าเริ่มต้นเพื่อความสะดวกของผู้ใช้ Ubuntu ส่วนใหญ่ที่รู้ว่ารหัสผ่านเป็นรูปแบบการป้องกันที่สำคัญเพื่อให้ความเป็นส่วนตัวและการควบคุมที่ จำกัด ผู้ใช้ Ubuntu ส่วนใหญ่จะใช้ซอฟต์แวร์ "vet" โดยติดตั้งจากแหล่งเก็บข้อมูลที่ได้รับการอนุมัติจาก Ubuntu และระมัดระวังเกี่ยวกับแหล่งข้อมูลอื่นเพื่อลดความเสี่ยงโดยทั่วไปไม่ใช่แค่ความเสี่ยงที่เกี่ยวข้องกับพอร์ต โดยการทำเช่นนี้พวกเขาไปไกลเพื่อลดความเสี่ยงที่เกี่ยวข้องกับพอร์ตซึ่งมีขนาดเล็กเพราะพวกเขาใช้รหัสผ่าน "ปกติ" และมีขนาดเล็กมากถ้าพวกเขาใช้รหัสผ่านที่ยากต่อการเดรัจฉานหรือคีย์เข้ารหัส

ความเสี่ยงบางอย่างที่อ้างถึงเช่นไฟล์เซิร์ฟเวอร์ Samba, เซิร์ฟเวอร์ Apache HTTP, SSH, VNC บนสตาร์บัคส์ (สาธารณะ) WiFi โดยทั่วไปแล้วจะถูกกำจัดด้วยรหัสผ่านที่ยากต่อการทำลายบนโฮสต์

ufwซอฟต์แวร์ "หยุด" ตามที่ไฟร์วอลล์ควรใช้ซึ่งเป็นสาเหตุที่ทำให้ปิดใช้งานโดยค่าเริ่มต้น เพื่อทดสอบสิ่งนี้บนการติดตั้งใหม่ของ Ubuntu เซิร์ฟเวอร์ A ติดตั้งsshและเข้าสู่ระบบจากเครื่องอื่นไคลเอ็นต์ B บนเครือข่ายท้องถิ่นเดียวกันและคุณจะเห็นมันทำงานได้ทันที ออกจากระบบ. จากนั้นกลับไปยังเซิร์ฟเวอร์ A sudo ufw enableและ กลับไปที่ไคลเอนต์ B และคุณจะไม่ไปsshยังเซิร์ฟเวอร์ A

H2ONaCl
แหล่งที่มา
1
รหัสผ่านอยู่ในระดับที่สูงขึ้นมาก ระบบสามารถโจมตีผ่านการบัฟเฟอร์ที่เรียบง่ายในระดับที่ต่ำกว่าของสแต็ก
HRJ
ทำไมต้องลงคะแนน
H2ONaCl
@HRJ, "ระบบสามารถถูกโจมตีได้" ไม่ปฏิเสธความสะดวกสบายที่สำคัญ คุณยังไม่ได้แก้ไขความถูกต้องของสิ่งที่ฉันเขียน ฉันถูก. คุณกำลังสัมผัสกัน
H2ONaCl
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.