ทำไม Debian ถึงไม่มีไฟร์วอลล์เปิดใช้งานเป็นค่าเริ่มต้น

15

ฉันใช้ Debian 9.1 กับ KDE และฉันสงสัยว่าทำไมมันถึงไม่มีการติดตั้งไฟร์วอลล์และเปิดใช้งานโดยค่าเริ่มต้น gufw ไม่ได้อยู่ในแพ็คเกจของ DVD1

คาดว่าคนจะเชื่อมต่ออินเทอร์เน็ตก่อนรับไฟร์วอลล์หรือไม่ ทำไม? แม้ว่าพอร์ตทั้งหมดจะถูกปิดโดยค่าเริ่มต้นต่าง ๆ ที่ติดตั้งการปรับปรุงหรือดาวน์โหลดโปรแกรมสามารถเปิดพวกเขา (หรือไม่?) และฉันต้องการไม่ได้แม้แต่เพียงเล็กน้อยจากเครื่องของฉันโดยไม่ได้รับอนุญาต

แก้ไข: ดังนั้นฉันเพิ่งค้นพบเกี่ยวกับiptablesแต่ฉันเดาว่าคำถามนั้นยังคงเป็น iptables เนื่องจากไฟร์วอลล์ดูเหมือนจะไม่เป็นที่รู้จักมากที่สุดกฎเริ่มต้นความสามารถในการเข้าถึงและความสะดวกในการใช้งานและความจริงที่ว่าโดยค่าเริ่มต้น ที่เริ่มต้นใหม่

— mYnDstrEAm
แหล่งที่มา

คำถามที่ดีมาก เซิร์ฟเวอร์ Ubuntu ไม่ได้มาพร้อมกับiptablesการติดตั้งล่วงหน้า! ฉันเดาว่าคนที่พยายามจะนำหลักการแบบ end-to-end มาสู่เลเยอร์ 7 สุดขั้ว ...

— rlf

8

คุณมีเหตุผลอะไรในการระบุว่า iptables คือ "ไม่รู้จักมากที่สุด"

— SaAtomic

1

ฉันถามสิ่งที่คล้ายกันในขณะที่กลับunix.stackexchange.com/questions/127397/…

— StrongBad

1

"แม้ว่าพอร์ตทั้งหมดจะถูกปิดโดยค่าเริ่มต้นที่ติดตั้งต่าง ๆ โปรแกรมที่อัปเดตหรือดาวน์โหลดจะสามารถเปิดได้ ... " - หากคุณคิดปองร้ายการติดตั้งอัปเดตหรือดาวน์โหลดโปรแกรมก็สามารถล้างกฎไฟร์วอลล์ได้

— marcelm

1

@mYnDstrEAm ตัวอย่างเช่นเนื่องจากคุณให้สิทธิ์การเข้าถึงรูทการติดตั้งสคริปต์ของโปรแกรมเหล่านั้นเมื่อคุณให้sudoรหัสผ่านของคุณในsudo apt-get install package ...

— cat

28

อันดับแรกเดเบียนมีแนวโน้มที่จะสมมติว่าคุณรู้ว่าคุณกำลังทำอะไรอยู่และพยายามหลีกเลี่ยงการตัดสินใจเลือกสำหรับคุณ

การติดตั้งเริ่มต้นของ Debian นั้นค่อนข้างเล็กและปลอดภัย - มันไม่ได้เริ่มบริการใด ๆ และแม้แต่ตัวเลือกเสริมมาตรฐาน (เช่นเว็บเซิร์ฟเวอร์, ssh) ที่เพิ่มลงในการติดตั้งมักจะค่อนข้างอนุรักษ์นิยมและปลอดภัย

ดังนั้นจึงไม่จำเป็นต้องใช้ไฟร์วอลล์ในกรณีนี้ Debian (หรือผู้พัฒนา) สันนิษฐานว่าหากคุณเริ่มบริการเพิ่มเติมคุณจะรู้วิธีการป้องกันและสามารถเพิ่มไฟร์วอลล์หากจำเป็น

ที่สำคัญกว่านั้น Debian หลีกเลี่ยงตัวเลือกสำหรับคุณเกี่ยวกับซอฟต์แวร์ไฟร์วอลล์ที่จะใช้ มีตัวเลือกมากมายให้เลือก - ควรใช้อันไหน? และแม้แต่เกี่ยวกับการตั้งค่าไฟร์วอลล์พื้นฐานควรเลือกการตั้งค่าแบบใด ต้องบอกว่าiptablesมีความสำคัญเป็นสิ่งสำคัญดังนั้นจึงมีการติดตั้งโดยค่าเริ่มต้น แต่แน่นอนว่า Debian ไม่รู้ว่าคุณต้องการกำหนดค่าอย่างไรดังนั้นจึงไม่กำหนดค่าให้คุณ และคุณอาจต้องการใช้iptablesตัวตายตัวแทนของต่อnftablesไป

โปรดทราบด้วยว่าฟังก์ชั่นการไฟร์วอลล์นั้นได้สร้างไว้แล้วในเคอร์เนล Linux ในระดับหนึ่ง เช่นและnftables netfilterการแจกแจงแบบเดเบียนและลินุกซ์อื่น ๆ จัดเตรียมเครื่องมือพื้นที่ผู้ใช้เช่นiptablesการจัดการฟังก์ชันการทำงานนั้น แต่สิ่งที่คุณทำกับพวกเขานั้นขึ้นอยู่กับคุณ

โปรดทราบว่าเอนทิตีเหล่านี้ไม่ได้ตั้งชื่ออย่างสม่ำเสมอ หากต้องการอ้างอิงหน้า Wikipedianftables :

nftables ถูกกำหนดค่าผ่านยูทิลิตี้พื้นที่ผู้ใช้ nft ในขณะที่ netfilter ถูกกำหนดค่าผ่านยูทิลิตี iptables, ip6tables, arptables และ ebtables framework

— Faheem Mitha
แหล่งที่มา

4

@sourcejedi เท่าที่ฉันจำได้การติดตั้งเริ่มต้นของ Debian นั้นคล้ายกันมากตั้งแต่มันเป็นอย่างน้อยซึ่งก็คือตอนที่ฉันเริ่มใช้มัน ดังนั้นฉันไม่แน่ใจว่าคุณหมายถึงอะไร

— Faheem Mitha

1

@FaheemMitha เริ่มต้นก่อนหน้านี้ไม่ได้ให้มันยอมรับการเชื่อมต่อจากภายนอก แต่อย่างใด :)

— ฮอบส์

1

+1 สำหรับพยายามหลีกเลี่ยงการเลือกสำหรับคุณ . มีเครื่องมือต่าง ๆ สำหรับการจัดการไฟร์วอลล์แต่ละเครื่องมีข้อดีข้อเสียต่างกันแต่ละกรณีมีการใช้งานที่แตกต่างกัน และมีหลายวิธีที่สามารถกำหนดค่าไฟร์วอลล์ได้ การป้องกันในเชิงลึก (เช่นไฟร์วอลล์ / เราเตอร์แบบสแตนด์อโลนและกฎ iptables ต่อโฮสต์) เป็นสิ่งที่ดี แต่ฉันจะพบว่ามันน่ารำคาญมากหากตัวติดตั้งเดเบียนสันนิษฐานว่ารู้ว่าเครือข่ายของฉันตั้งค่าได้อย่างไร สำหรับฉันที่จะรู้และตัดสินใจ

— cas

4

คำตอบที่ดีแม้ว่า "Debian หลีกเลี่ยงการเลือกสำหรับคุณ [เนื่องจาก] มีตัวเลือกจำนวนมากพร้อมใช้งาน" ไม่ได้ทำให้รู้สึกถึงฉันมากนัก Debian กำลังทำตัวเลือกอยู่แล้ว (เช่นการเลือก Apache บน lighttpd เมื่อฉันเลือก "เว็บเซิร์ฟเวอร์", deb มากกว่า rpm ... ชัดมาก) ที่มีทางเลือกอื่น จุดสำคัญของการ distro ไม่ใช่การตัดสินใจเลือกใช่หรือไม่

— gd1

1

@ gd1 เป็นเรื่องจริง Debian ให้บริการและติดตั้งค่าเริ่มต้นเช่น Exim ที่ผ่านมา แต่พวกมันเปลี่ยนง่าย และฉันคิดว่าiptablesเป็นค่าเริ่มต้นสำหรับ Debian ด้วย แต่สิ่งหนึ่งที่ Debian ไม่ได้ทำด้วยตัวเองคือการกำหนดค่าระบบที่ไม่ชัดเจนสำหรับผู้ใช้

— Faheem Mitha

12

ก่อนอื่นฉันต้องการทำซ้ำสิ่งที่ได้กล่าวไปแล้ว: Debian เหมาะสำหรับกลุ่มผู้ใช้ที่แตกต่างจากผู้ใช้หลักอื่น ๆ โดยเฉพาะอูบุนตู เดเบียนมุ่งเน้นไปที่ผู้ที่รู้ว่าระบบทำงานอย่างไรและผู้ที่ไม่กลัวที่จะมีคนจรจัดกลับมาเป็นครั้งคราวเพื่อเป็นการควบคุมระดับสูงของระบบ ยกตัวอย่างเช่น Ubuntu เหมาะสำหรับกลุ่มเป้าหมายที่แตกต่างกันมาก: ผู้ที่ต้องการทำงานและไม่สนใจสิ่งที่เกิดขึ้นภายใต้ประทุนและแน่นอนไม่ต้องการแก้ไขการกำหนดค่าระบบเพื่อสร้างสิ่งต่าง ๆ งาน. สิ่งนี้ส่งผลกระทบต่อหลายแง่มุมของระบบผลลัพธ์ และในระดับหนึ่งนั่นเป็นหนึ่งในความงดงามของ Linux ระบบฐานเดียวกันสามารถใช้เพื่อสร้างสภาพแวดล้อมที่ตอบสนองความต้องการที่แตกต่างกัน จำไว้ว่า Ubuntu เป็นตราสารอนุพันธ์เดเบียน

gufw ไม่ได้อยู่ในแพ็คเกจของ DVD1

ดิสก์แผ่นแรกมีซอฟต์แวร์ที่ได้รับความนิยมสูงสุดตามที่กำหนดโดยการรวบรวมสถิติที่ไม่ระบุชื่อจากระบบที่ติดตั้ง ความจริงที่ว่า gufw ไม่ได้อยู่ในดิสก์แรกนั้นบ่งบอกว่านี่ไม่ใช่แพ็คเกจยอดนิยม (ในแง่ของฐานการติดตั้ง) ใน Debian นอกจากนี้ยังง่ายต่อการติดตั้งเมื่อคุณมีระบบพื้นฐานที่เชื่อมต่อเครือข่ายและทำงานได้หากคุณต้องการมากกว่าทางเลือกอื่น

คาดว่าคนจะเชื่อมต่ออินเทอร์เน็ตก่อนรับไฟร์วอลล์หรือไม่ ทำไม?

สำหรับสิ่งหนึ่งฉันเชื่อว่า Debian อนุญาตให้ติดตั้งผ่านเครือข่ายได้ (ไม่เพียงดาวน์โหลดแพคเกจจากเครือข่ายในระหว่างการติดตั้งปกติ แต่แท้จริงเริ่มการติดตั้งจากโฮสต์ที่แตกต่างจากที่ติดตั้งบน ) ไฟร์วอลล์ที่กำหนดค่าโดยค่าเริ่มต้นด้วยชุดกฎที่ จำกัด จะเสี่ยงต่อการแทรกแซง เช่นเดียวกันกับการติดตั้งที่ต้องการการเข้าถึงเครือข่ายขาออกในระหว่างกระบวนการติดตั้งเพื่อวัตถุประสงค์อื่นนอกเหนือจากการดาวน์โหลดแพ็คเกจรุ่นล่าสุดที่กำลังติดตั้ง

สำหรับอีกสิ่งหนึ่งนั่นคือสิ่งที่ฉันได้กล่าวไว้ข้างต้น ตามกฎแล้วเดเบียนคาดหวังให้คุณรู้ว่าคุณกำลังทำอะไรอยู่ หากคุณต้องการไฟร์วอลล์คุณคาดว่าจะสามารถกำหนดค่าได้ด้วยตัวคุณเองและคาดว่าคุณจะรู้ดีกว่าผู้ดูแล Debian ว่าคุณต้องการอะไรเป็นพิเศษ เดเบียนเป็นเหมือน OpenBSD ในเรื่องนั้นไม่มากนัก (เมื่อได้รับเลือกระหว่างการทำให้ระบบฐานมีความปลอดภัยเพิ่มขึ้นเล็กน้อยและทำให้สามารถใช้งานได้มากกว่าผู้ดูแล OpenBSD จะรักษาความปลอดภัยอยู่เสมอซึ่งแสดงในสถิติช่องโหว่ด้านความปลอดภัยของระบบฐาน แต่มีผลกระทบอย่างมากต่อการใช้งาน)

และแน่นอนวิชา: Firewall สนับสนุนจะถูกรวมอยู่ในระบบฐาน เป็นเพียงว่ามันถูกตั้งค่าเป็นกฎที่อนุญาตทั้งหมดที่กำหนดโดยค่าเริ่มต้นโดยเคอร์เนลและการติดตั้ง Debian พื้นฐานไม่ได้ทำอะไรเพื่อเปลี่ยนแปลงสิ่งนั้น คุณสามารถเรียกใช้คำสั่งสองสามคำสั่งเพื่อ จำกัด ปริมาณการรับส่งข้อมูล

แม้ว่าพอร์ตทั้งหมดจะถูกปิดโดยค่าเริ่มต้นต่าง ๆ ที่ติดตั้งติดตั้งปรับปรุงหรือดาวน์โหลดโปรแกรมสามารถเปิดพวกเขา (หรือไม่?) และฉันหวังว่าจะไม่แม้แต่น้อยออกจากเครื่องของฉันโดยไม่ได้รับอนุญาต

ก่อนอื่นไฟร์วอลล์มักจะใช้เพื่อ จำกัด ทราฟฟิกที่เข้ามา หากคุณต้องการ จำกัด การส่งออกการจราจรนั้นเป็นปลาที่ค่อนข้างแตกต่างกันไป ทำได้อย่างแน่นอน แต่ต้องการการปรับแต่งให้เหมาะกับสถานการณ์ของคุณมากขึ้น ไฟร์วอลล์ทราฟฟิกบล็อกการส่งออกที่เป็นค่าเริ่มต้นที่เปิดพอร์ตที่ใช้กันทั่วไป (โดยที่พอร์ตที่ใช้กันทั่วไปอาจเป็น ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 และ กลุ่มของผู้อื่น) รวมถึงการอนุญาตทราฟฟิกที่เกี่ยวข้องกับเซสชันที่กำหนดไว้จะไม่ปลอดภัยกว่าไฟร์วอลล์ที่อนุญาตให้ใช้เริ่มต้น เป็นการดีกว่าที่จะตรวจสอบให้แน่ใจว่าชุดของแพ็กเกจที่ติดตั้งโดยระบบพื้นฐานนั้นถูก จำกัด ไว้ที่ชุดที่เข้าใจกันดีตั้งค่าความปลอดภัยเป็นแพ็กเกจที่ส่งมอบและอนุญาตให้ผู้ดูแลระบบตั้งค่ากฎไฟร์วอลล์ที่เหมาะสมหากพวกเขาต้องการการป้องกันมากกว่านั้น

สองพอร์ตปิด (หนึ่งที่ตอบสนองกับ TCP SYN กับ TCP RST / ACKซึ่งโดยทั่วไปแล้วจะรายงานว่า "การเชื่อมต่อถูกปฏิเสธ" - โดยทั่วไปจะเป็นสถานะเริ่มต้นของพอร์ต TCP บนระบบจริงที่สนับสนุน TCP / IP โดยที่ไม่มีการกำหนดค่าในทางตรงกันข้ามหรือการฟังซอฟต์แวร์บน) ไม่เป็นช่องโหว่ที่สำคัญ แม้ในระบบที่ไม่ได้เชื่อมต่อผ่านไฟร์วอลล์แยกต่างหาก ช่องโหว่ที่มีนัยสำคัญเพียงอย่างเดียวในการกำหนดค่าแบบปิดทั้งหมดจะเกิดขึ้นหากมีช่องโหว่ภายในการนำ TCP / IP ไปใช้ของเคอร์เนล แต่แพ็คเก็ตกำลังผ่านรหัส netfilter (iptables) ในเคอร์เนลและข้อผิดพลาดอาจแฝงตัวอยู่ที่นั่นเช่นกัน ตรรกะในการตอบสนองกับสิ่งที่ผลลัพธ์ใน "การเชื่อมต่อถูกปฏิเสธ" ที่ปลายอีกด้านนั้นง่ายพอที่ฉันมีเวลายากที่เชื่อว่ามันจะเป็นแหล่งสำคัญของข้อบกพร่องปล่อยให้ข้อผิดพลาดที่เกี่ยวข้องกับความปลอดภัย

ประการที่สามแพคเกจมักจะติดตั้งเป็นรูทซึ่งคุณ (แพ็กเกจ) สามารถเปลี่ยนกฎ iptables ได้โดยที่คุณไม่รู้ ดังนั้นไม่ใช่ว่าคุณจะได้รับอะไรเช่นต้องการให้ผู้ดูแลระบบของมนุษย์อนุญาตการรับส่งข้อมูลด้วยตนเองผ่านไฟร์วอลล์โฮสต์ หากคุณต้องการการแยกประเภทนี้คุณควรมีไฟร์วอลล์แยกต่างหากจากโฮสต์ที่ป้องกันอยู่ตั้งแต่แรก

ดังนั้นฉันเพิ่งค้นพบเกี่ยวกับ iptables แต่ฉันเดาว่าคำถามนั้นยังคงเป็น iptables เนื่องจากไฟร์วอลล์ดูเหมือนจะไม่เป็นที่รู้จักของผู้ใช้ส่วนใหญ่กฎเริ่มต้นและความสามารถในการเข้าถึงและความสะดวกในการใช้งาน

ฉันจะบอกว่าตรงกันข้ามจริง iptables เป็นไฟร์วอลล์เป็นที่รู้จักกันดี มันยังมีอยู่ในแทบทุกระบบ Linux ที่คุณมีแนวโน้มจะเจอ (มันแทนที่ ipchains ในระหว่างการพัฒนาที่นำไปสู่เคอร์เนล Linux รุ่น 2.4 ประมาณปี 2000 หรือมากกว่านั้นถ้าฉันจำสิ่งต่าง ๆ ได้อย่างถูกต้องการเปลี่ยนแปลงที่ผู้ใช้มองเห็นได้มากที่สุดระหว่างสองกรณีสำหรับการใช้งานทั่วไปของไฟร์วอลล์คือกฎภายใน โซ่ถูกตั้งชื่อเป็นตัวพิมพ์ใหญ่เช่นINPUTแทนที่จะเป็นตัวพิมพ์เล็กเช่นinput)

หากมีสิ่งใด iptables สามารถทำสิ่งอื่นนอกเหนือจากไฟร์วอลล์ซึ่งไม่ได้ใช้กันอย่างแพร่หลายหรือเข้าใจ ตัวอย่างเช่นสามารถใช้เพื่อเขียนแพ็กเก็ต IP ใหม่ก่อนที่จะส่งผ่านไฟร์วอลล์

— CVN
แหล่งที่มา

สรุปประเด็นที่ยอดเยี่ยมและมีรายละเอียด อย่างไรก็ตามคุณเขียนว่า "ประการที่สองพอร์ตปิดไม่ใช่ช่องโหว่ที่สำคัญแม้ในระบบที่ไม่ได้เชื่อมต่อผ่านไฟร์วอลล์แยกต่างหาก" คุณอาจหมายถึงการเขียน "เปิด"? ถ้าไม่คุณสามารถขยายวิธีปิดพอร์ตเป็นช่องโหว่ได้หรือไม่? ขอบคุณ

— Faheem Mitha

"มันแทนที่ ipchains บางครั้งในการพัฒนาเคอร์เนล 2.5 ถ้าฉันจำได้อย่างถูกต้องนั่นเป็นอะไรที่ 15 ปีที่แล้ว" - 2.3 จริง ๆ ซึ่งทำให้ใกล้ถึง 20

— Jules

คำตอบที่ดีเลิศเห็นด้วย ฉันยังเพิ่มว่าเมื่อคุณติดตั้งจากการติดตั้งที่น้อยที่สุดที่เป็นไปได้ iso ในปัจจุบัน netinstall ส่วนหนึ่งของกระบวนการติดตั้งคือการติดตั้งแพ็กเกจจาก apt ผ่านเครือข่ายดังนั้นการติดตั้งของคุณไม่ล้าสมัยเลย ปัจจุบันซึ่งเป็นสิ่งที่คุณต้องการอย่างแน่นอนแม้ว่าคุณจะสามารถเลือกที่จะติดตั้งจากดิสก์ได้ดังนั้นการติดตั้งจึงจำเป็นต้องมีการเชื่อมต่อเครือข่ายที่ใช้งานได้ทันที แต่คำตอบนี้ดีมาก

— Lizardx

1

ความคิดเห็นที่ล่าช้า: "โปรดจำไว้ว่า Ubuntu เริ่มต้นด้วยการแยกเดเบียนและจนถึงทุกวันนี้ก็ยังคงมีความคล้ายคลึงกันอย่างมากกับเดเบียน" เท่าที่ฉันรู้ Ubuntu ยังมาจาก Debian มันไม่ใช่ทางแยก

— Faheem Mitha

6

ถ้าฉันต้องเดาโดยไม่ได้อยู่ในหัวของนักพัฒนาและผู้ดูแล Debian รุ่นหนึ่งฉันเดาว่าจะเป็นเช่นนี้:

เดเบียนได้รับการออกแบบมาเป็นหลักเป็นระบบปฏิบัติการเซิร์ฟเวอร์ทั้ง sid และสาขาการทดสอบมีวัตถุประสงค์หลักในการสร้างสาขาที่เสถียรต่อไปและในเวลาที่แช่แข็งพวกเขาจะถูกแช่แข็งและมีเสถียรภาพใหม่จากการทดสอบเพียง เกิดขึ้นกับยืด

เมื่อพิจารณาถึงสิ่งนี้ฉันจะสมมติต่อไปว่าฉันต้องยืนยันสิ่งนี้กับเพื่อนดูแลระบบไฟร์วอลล์ดาต้าเซ็นเตอร์นั้นเป็นอุปกรณ์ภายนอกความปลอดภัยที่สูงขึ้นมาก (อย่างน้อยก็หวังว่าจะเป็นเช่นนี้) กับเซิร์ฟเวอร์และจัดการกับหลัก งานไฟร์วอลล์ แม้กระทั่งบน LAN ขนาดเล็กที่มีเราเตอร์ในกรณีนี้เราเตอร์คือไฟร์วอลล์ฉันไม่ใช้กฎไฟร์วอลล์ท้องถิ่นในระบบใด ๆ ของฉันทำไมฉันถึงต้องทำ

ฉันคิดว่าคนอาจสับสนเดสก์ท็อปเดสก์ท็อปหรือไฟล์เซิร์ฟเวอร์เดียวในสำนักงานหรือที่บ้านกับงานจริงที่เชื่อมต่อกับ Debian ซึ่งฉันเชื่อว่าส่วนใหญ่เน้นที่การใช้งานจริง

ฉันไม่แน่ใจเกี่ยวกับเรื่องนี้ แต่หลังจากใช้ Debian มานานกว่าทศวรรษแล้วนั่นเป็นความรู้สึกของฉันทั้งในฐานะนักพัฒนาและผู้สนับสนุน Debian ในหลาย ๆ ด้าน

ฉันสามารถตรวจสอบเรื่องนี้ได้เนื่องจากเป็นคำถามที่ดี แต่ฉันเดาว่าเครือข่ายจริงจะถูกส่งผ่านไฟร์วอลล์ที่จุดทางเข้าสู่เครือข่ายไม่ใช่บนพื้นฐานต่อเครื่องหรืออย่างน้อยนั่นเป็นแนวคิดพื้นฐานที่อาจขับได้ Debian นอกจากนี้แน่นอนว่าถ้าไม่ใช่ในกรณีนั้นดูแลระบบจะตั้งค่ากฎไฟร์วอลล์บนเครื่องต่อเครื่องโดยใช้สิ่งที่คล้ายกับ Chef ไม่พึ่งพาการติดตั้งเริ่มต้นใด ๆ ซึ่งไม่น่าจะเป็นไปได้ เพื่อความไว้วางใจตัวอย่างเช่นการกำหนดค่าเริ่มต้นของ Debian ssh ไม่ใช่สิ่งที่ฉันจะใช้เป็นการส่วนตัวเป็นค่าเริ่มต้นเช่นพวกเขาอนุญาตให้เข้าสู่ระบบรูทโดยค่าเริ่มต้นและมันขึ้นอยู่กับ sysadmin เพื่อแก้ไขว่าหากพวกเขาพบว่า .

นั่นคือมีข้อสันนิษฐานของความสามารถฉันคิดว่า Debian ใหม่ที่อาจหายไปใน distros อื่น ๆ เช่นเดียวกับในคุณจะเปลี่ยนสิ่งที่คุณต้องการเปลี่ยนสร้างภาพจัดการพวกเขาด้วยซอฟต์แวร์การจัดการไซต์และอื่น ๆ นี่เป็นเพียงความเป็นไปได้ไม่กี่อย่าง ตัวอย่างเช่นคุณไม่เคยใช้ DVD เพื่อสร้างเซิร์ฟเวอร์ใหม่อย่างน้อยที่สุดก็ไม่เคยใช้งานมาก่อนคุณอาจใช้บางอย่างเช่น netinstall ขั้นต่ำนั่นคือสิ่งที่ฉันใช้เสมอตัวอย่างเช่น (ฉันเคยใช้รูปที่เล็กกว่านี้ แต่พวกเขายุติมัน) หากคุณดูที่สิ่งที่รวมอยู่ในการติดตั้งฐานนั้นคุณจะได้รับความรู้สึกที่ดีว่าเดเบียนพิจารณาสิ่งที่สำคัญและอะไรบ้าง ตัวอย่างเช่น ssh อยู่ที่นั่น Xorg ไม่ใช่ Samba ไม่ใช่

หนึ่งอาจถามว่าทำไมพวกเขากลับไปที่ GNOME เป็นเดสก์ท็อปเริ่มต้น แต่นี่เป็นเพียงการตัดสินใจที่พวกเขาทำและผู้ใช้ของพวกเขาเพิกเฉยเพราะคุณสามารถสร้างระบบในแบบที่คุณต้องการ (นั่นคือเพื่อรับ Xfce เดสก์ท็อป ไม่ต้องติดตั้ง Xdebian (เช่นเดียวกับ Xubuntu) ฉันเพิ่งติดตั้ง Debian core, Xorg และ Xfce และปิดไปเลย) ในทำนองเดียวกันถ้าฉันต้องการไฟร์วอลล์ฉันจะกำหนดค่าเรียนรู้ ins และ outs ฯลฯ แต่ฉันไม่คาดหวังว่าเดเบียนจะจัดส่งด้วยการเปิดใช้งานโดยส่วนตัวแล้วมันจะน่ารำคาญสำหรับฉันถ้ามันเป็น . บางทีมุมมองของฉันเกี่ยวกับเรื่องนี้สะท้อนถึงฉันทามติที่คุณอาจพบภายในใน Debian

นอกจากนี้แน่นอนว่าไม่มีสิ่งเช่น Debian มีอิมเมจการติดตั้งหลากหลายรูปแบบติดตั้งเน็ตเวิร์กติดตั้งอย่างสมบูรณ์สิ่งเหล่านี้แตกต่างกันไปจากแบร์โบน cli เท่านั้นจนถึงเดสก์ท็อปผู้ใช้ที่สมบูรณ์ ผู้ใช้ที่ใช้งานจริงอาจสร้างภาพขึ้นมาซึ่งจะถูกกำหนดค่าตามที่ผู้ใช้ต้องการฉันรู้ว่าถ้าฉันตั้งค่าเซิร์ฟเวอร์ Debian ฉันจะเริ่มต้นด้วยข้อมูลพื้นฐานแบบดิบและสร้างมันขึ้นมาจนกว่าจะทำสิ่งที่ฉันต้องการ

ถ้างั้นคุณก็มีโลกแห่ง webservers ซึ่งเป็นลูกขี้ผึ้งที่แตกต่างไปจากเดิมอย่างสิ้นเชิงพวกนั้นมีคำถามเกี่ยวกับความปลอดภัยที่แตกต่างกันมากและในฐานะเพื่อนเก่าของฉันที่เชื่อมต่อกับแฮ็กเกอร์แบบใต้ดินคนที่ทำงานเว็บเซิร์ฟเวอร์โดยไม่รู้ตัว มันสามารถเรียกได้ว่าใครบางคนที่เป็นเจ้าของเซิร์ฟเวอร์โดยแครกเกอร์

— Lizardx
แหล่งที่มา

ฉันมักจะไม่ชอบคำตอบที่ยาวนานเช่นนี้ :) แต่คุณก็แตะที่ประเด็นที่เกี่ยวข้องมาก หากคุณใช้งานเว็บเซิร์ฟเวอร์จำเป็นต้องยอมรับการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ มีข้อสงสัยว่าคุณได้รับประโยชน์อะไรจากการกำหนดค่าซอฟต์แวร์ชิ้นที่สองเพื่อพูดว่า: ใช่ฉันต้องการยอมรับคำขอทางเว็บที่ส่งไปยังเว็บเซิร์ฟเวอร์ของฉัน และกรณีการใช้งานนี้ดูเหมือนว่าจะได้รับการดูแลภายใน Debian มากกว่าเดสก์ท็อป

— sourcejedi

sourcejedi ฮ่า ๆ ๆ ถ้าไม่นานฉันคงไม่ได้คำถามเว็บเซิร์ฟเวอร์นั่นเป็นสิ่งสุดท้ายที่ฉันเพิ่ม แต่ในกรณีนี้คุณมีผู้ใช้ที่ใหม่ชัดเจนมีประสบการณ์น้อยกว่าซึ่งอาจไม่ทราบว่า distros ที่แตกต่างกันครอบคลุมกรณีการใช้และผู้ใช้ที่แตกต่างกันอย่างสิ้นเชิง ดังนั้นพวกเขาจึงไม่มีข้อมูลโดยทั่วไปและ ณ จุดนั้นมันก็ยากที่จะรู้ว่าสิ่งที่พวกเขารู้และไม่รู้ไม่รู้อะไรหลายคำเกินไป หรือพอเพียง ยากที่จะรู้

— Lizardx

"แน่นอนว่ามันไม่มีเดเบียนเลย" ฉันไม่แน่ใจว่าคุณหมายถึงอะไร - มีสิ่งเช่นเดเบียน มันเป็นระบบปฏิบัติการที่ผลิตโดยโครงการ Debian ในทางเทคนิคแล้วมันเป็นตระกูลของระบบปฏิบัติการ แต่แน่นอนว่าตัวแปร Linux มีความโดดเด่นเป็นอย่างมาก มีวิธีการติดตั้งที่หลากหลาย แต่พวกเขาทั้งหมดติดตั้งระบบเดียวกัน แน่นอนคุณมีอิสระมากมายเกี่ยวกับส่วนที่จะติดตั้ง

— Faheem Mitha

ไม่ได้อยู่ในแง่ของมันหมายถึงสิ่งหนึ่ง สิ่งที่คุณสังเกตว่ามันคือในทางเทคนิคคือสิ่งที่ฉันหมายถึง นั่นคือ Debian เป็นภาพตัวติดตั้ง dvd ที่บุคคลนี้อ้างถึงหรือไม่ มันคือการติดตั้งหลักที่คุณได้รับบน netinstall? มันเป็นพูลแพ็กเกจ apt สำหรับสถาปัตยกรรมเฉพาะหรือไม่? มันเป็น sid pool หรือเปล่า? กลุ่มทดสอบ และอื่น ๆ ในแง่ของวิธีที่ผู้ใช้กำหนดสิ่งต่าง ๆ ฉันจะบอกว่าไม่มีสิ่งนั้นสิ่งที่มีอยู่จริงคือโครงการ Debian ที่ควบคุมกฎการบรรจุและแพ็คเกจที่กำหนด apt และ. deb นี่คือเหตุผลที่ฉันชอบมันเป็นกฎที่กำหนดโครงการ

— Lizardx

ยากที่จะอธิบาย แต่ฉันจะลอง: ฉันไม่ได้ติดตั้ง 'Debian' ฉันติดตั้งว่า Debian ทดสอบ / บัสเตอร์ตัวแปร 64 บิตจาก netinstall iso ดังนั้น Debian คือร่มที่ทำงานและสร้างสิ่งที่ฉันติดตั้ง นี่คือสิ่งที่ฉันรู้มาหลายปีแล้วว่าทำไมฉันถึงชอบ Debian มาก ๆ พวกเขามีกฎที่เข้มงวดและกฎเหล่านั้นสำหรับฉันคือสิ่งที่กำหนดสิ่งที่เป็น Debian ไม่ใช่ Ubuntu ตัวอย่างเช่นถ้าคุณใช้แพ็คเกจจาก Debian และสร้าง Ubuntu มันจะหยุด Debian เมื่อใด เป็นแพ็คเกจเดียวกันอย่างน้อยก็ชั่วขณะหนึ่งและฉันขอแนะนำให้หยุดเมื่อคุณหยุดปฏิบัติตามกฎ dfsg

— Lizardx

5

แนวคิดทั่วไปคือคุณไม่ควรใช้ไฟร์วอลล์ในระบบส่วนใหญ่ยกเว้นการตั้งค่าที่ซับซ้อน

SSH กำลังทำงาน ,, เมื่อคุณติดตั้งเซิร์ฟเวอร์ ไม่มีอะไรควรฟังและคุณอาจต้องการเชื่อมต่อกับ ssh

เมื่อคุณติดตั้งเว็บเซิร์ฟเวอร์คุณคาดว่าเว็บเซิร์ฟเวอร์จะพร้อมใช้งานใช่ไหม และสำหรับการปรับจูนพื้นฐานคุณสามารถผูกเว็บเซิร์ฟเวอร์เข้ากับอินเตอร์เฟส LAN ส่วนตัวเท่านั้นเช่น 192.168.172.42 (IP LAN ในพื้นที่ของคุณ) แทน 0.0.0.0 (IPS ทั้งหมด) คุณยังไม่ต้องการไฟร์วอลล์

แน่นอนว่าทุกอย่างสามารถเปิดพอร์ต> 1024 แต่เมื่อคุณมีซอฟต์แวร์ที่ไม่น่าเชื่อถือ (หรือผู้ใช้ที่ไม่น่าเชื่อถือ) คุณควรทำมากกว่าติดตั้งไฟร์วอลล์ ในช่วงเวลาที่คุณต้องไว้ใจบางสิ่งบางอย่างหรือคนที่คุณต้องการแนวคิดการรักษาความปลอดภัยไม่เพียง แต่ซอฟต์แวร์ ดังนั้นจึงเป็นเรื่องดีเมื่อคุณต้องคิดอย่างจริงจังเกี่ยวกับโซลูชันไฟร์วอลล์

ตอนนี้มีสถานการณ์ที่ซับซ้อนมากขึ้นแน่นอน แต่เมื่อคุณมีหนึ่งในนั้นคุณต้องปรับแต่งไฟร์วอลล์ด้วยตัวคุณเองและอย่าปล่อยให้ระบบอัตโนมัติครึ่งหนึ่งเช่น ufw ทำ หรือคุณอาจใช้ ufw แต่คุณตัดสินใจแล้วไม่ใช่ค่าเริ่มต้นของระบบปฏิบัติการ

— สวัสดี
แหล่งที่มา

1

IIRC ไฟร์วอลล์สำหรับคอมพิวเตอร์ส่วนบุคคลเป็นการตอบสนองต่อหนึ่งในช่องโหว่ด้านความปลอดภัยด้วย Windows 95 ซึ่งก็คือพอร์ตทั้งหมดจะเปิดตามค่าเริ่มต้น บนระบบปฏิบัติการส่วนใหญ่ก่อนและตั้งแต่พอร์ตจะเปิดเฉพาะในกรณีที่มีบริการฟังในพอร์ตนั้น ประการที่สองไฟร์วอลล์มักถูกกำหนดค่าให้วางแพ็กเก็ตแบบเงียบ ๆ แทนที่จะปฏิเสธอย่างชัดเจนดังนั้นจึงเป็นการยากที่จะบอกว่ามีระบบที่ที่อยู่ IP เลย

— bgvaughan

ฉันไม่แน่ใจว่าคุณหมายถึงอะไรกับพอร์ตเปิดที่ไม่มีบริการฟัง แพ็กเก็ตควรไปที่ใดและทำไมจึงเป็นช่องโหว่ความปลอดภัย และการทิ้งแพ็กเก็ตในไฟร์วอลล์ของคุณจะไม่ซ่อนคุณ แต่ทำให้ชัดเจนยิ่งขึ้นว่ามีเครื่องที่มีไฟร์วอลล์ เมื่อระบบของคุณไม่ออนไลน์เราเตอร์ก่อนระบบของคุณจะส่งคำตอบ "ไม่สามารถเข้าถึงได้" มันไม่ได้เมื่อเครื่องของคุณมี (ทั้งเมื่อคุณยอมรับปฏิเสธหรือวางแพ็กเก็ต) คุณสามารถตรวจสอบเอฟเฟ็กต์ด้วยตัวเองโดยใช้tracerouteระบบของคุณ

— อัลโล

1

เมื่อฉันเริ่ม traceroute กับคุณแล้วฉันอาจเห็น 7 กระโดด ที่แรกก็คือพีซีของฉันที่ผ่านมาคือจุดเข้าสู่เครือข่ายของคุณ เมื่อพีซีของคุณออฟไลน์ hop ที่ 6 จะส่งคำตอบ "ไม่สามารถเข้าถึงได้" เมื่อพีซีของคุณเชื่อมต่อ แต่ไฟร์วอลล์ไฟร์วอลล์รุ่นที่ 6 จะส่งการตอบกลับตามปกติและอันดับที่ 7 จะลดลง (หรือปฏิเสธ) แพ็กเก็ต และคุณไม่สามารถควบคุมการกระโดดครั้งที่ 6 ได้ดังนั้นคุณจะไม่สามารถปลอมแปลงหรือวางแพ็กเก็ตได้

— อัลโล

1

"ระบบ Windows รุ่นเก่าเช่น 95 และฉันคิดว่า XP จะเปิดพอร์ตทั้งหมดแม้ว่าจะไม่มีบริการที่ใช้งานอยู่" ฉันไม่มีความคิดอย่างแน่นอนสิ่งที่คุณมีความหมายกับการเปิดพอร์ตโดยไม่ฟัง เมื่อแพ็คเก็ตเข้ามาคุณสามารถส่งไปที่โปรแกรมฟังrejectหรือdropมัน ไม่มีแนวคิด "พอร์ตเปิดโดยไม่ฟัง" บางทีคุณอาจหมายถึงการตก (ยอมรับโดยไม่ต้องส่งไปที่โปรแกรม)

— อัลโล

1

ส่วนตัวฉันมีการปฏิเสธโดยไฟร์วอลล์เริ่มต้นเช่นเดียวกับทางเลือกที่ปลอดภัย แต่ฉันเข้าใจเมื่อ debian ให้ผู้ใช้ติดตั้งไฟร์วอลล์ ฉันกำลังทดลองมากคนอื่น ๆ เลือกเว็บเซิร์ฟเวอร์ใน taskel และทำเสร็จแล้ว ไม่มีความคิดเกี่ยวกับสิ่งที่ win95 แต่ฉันคิดว่ามันไม่สำคัญในวันนี้;)

— อัลโล

4

เป็นคนที่คาดว่าจะเชื่อมต่ออินเทอร์เน็ตก่อน

ใช่

รับไฟร์วอลล์หรือไม่

แม้ว่าพอร์ตทั้งหมดจะปิดตามค่าเริ่มต้น

ขออภัยพวกเขาไม่ได้ rpcbindดูเหมือนว่าจะมีการติดตั้งเปิดใช้งานและรับฟังบนเครือข่ายเป็นค่าเริ่มต้น

แก้ไข: ผมเชื่อว่านี้ได้รับการแก้ไขในการติดตั้งล่าสุดคือสำหรับ Debian 9 (ยืด) แต่ด้วย Debian รุ่นก่อนหน้าฉันจะไม่รู้สึกปลอดภัยมากในการติดตั้ง (แล้วอัปเดต) พวกเขาในเครือข่าย wifi สาธารณะ

ทำไม?

ฉันสงสัยว่าคนมีข้อสันนิษฐานว่า

เครือข่ายท้องถิ่นจะไม่โจมตีบริการเครือข่ายของคุณ
มีไฟร์วอลล์ระหว่างเครือข่ายท้องถิ่นของคุณกับอินเทอร์เน็ตที่กว้างขึ้นแล้ว

ในขณะที่หลังเป็นเรื่องธรรมดาเช่นโดยเราเตอร์ผู้บริโภคฉันไม่เชื่อว่ามันจะรับประกัน ไม่น่าแปลกใจที่ข้อสันนิษฐานเดิมนั้นไม่มีการจัดทำเป็นเอกสาร และมันก็ไม่ใช่สิ่งที่สมเหตุสมผล

ในความคิดของฉันปัญหากับ rpcbind เป็นตัวอย่างของประเด็นทั่วไป ผู้คนสามารถลองโปรโมต Debian และมีคุณสมบัติเจ๋ง ๆ มากมาย แต่เดเบียนล่าช้าหลังอูบุนตูในแง่ของความเป็นมิตรและเป็นมิตรหรือเป็นเนื้อหาที่น่าเชื่อถือสำหรับผู้ที่ต้องการเรียนรู้รายละเอียด

โปรแกรมที่ดาวน์โหลดสามารถเปิดได้ (หรือไม่?) และฉันหวังว่าจะไม่ออกจากเครื่องโดยไม่ได้รับอนุญาต

คุณสามารถติดตั้งไฟร์วอลล์ได้อย่างอิสระก่อนที่จะเริ่มดาวน์โหลดและใช้งานซอฟต์แวร์แบบสุ่มซึ่งคุณไม่แน่ใจว่า :-p

ฉันเห็นด้วยในบางส่วนมันน่าตกใจที่จะติดตั้ง Linux และไม่พบอินเทอร์เฟซใด ๆ ที่ติดตั้งสำหรับเลเยอร์ความปลอดภัยที่รู้จักกันดี โดยส่วนตัวแล้วฉันพบว่ามีประโยชน์ที่จะเข้าใจวิธีการตั้งค่าไฟร์วอลล์ Windows เริ่มต้น มันต้องการให้คุณสามารถ "เชื่อมั่น" เครือข่ายภายในบ้านและในเวอร์ชันล่าสุดการติดตั้งแบบด่วนจะข้ามไปแม้กระทั่งถามว่าคุณเชื่อถือเครือข่ายปัจจุบันหรือไม่ เป้าหมายหลักดูเหมือนจะแยกความแตกต่างระหว่างเครือข่ายในบ้านการเชื่อมต่อที่ไม่มีการป้องกันเช่นโมเด็มที่เชื่อมต่อโดยตรงและเครือข่าย wifi สาธารณะ ขอให้สังเกตว่า UFW ไม่สนับสนุนสิ่งนี้อยู่ดี

Fedora firewalldลินุกซ์คนเดียวพยายามที่จะให้บางสิ่งบางอย่างเช่นนี้ใน (ดูเหมือนว่าแพ็คเกจจะมีให้ใน Debian ด้วย ... ) GUI สำหรับมันไม่เป็น "มิตร" สมมติว่าเป็น GUFW

— sourcejedi
แหล่งที่มา

ฉันดีใจที่คุณได้แสดงความคิดเห็นเกี่ยวกับอูบุนตูด้วย 'สำหรับใครบางคนที่พยายามเรียนรู้' ฉันคิดว่าเป็นคำตอบที่แท้จริงเดเบียนไม่ใช่ระบบที่สร้างขึ้นสำหรับกลุ่มนั้นและการมีอยู่ของอูบุนตูอาจลดลงจริง ในขณะที่บางคนไม่ได้พยายามเรียนรู้นั่นเป็นเหตุผลที่แน่นอนว่าฉันชอบเดเบียนมากกว่าอูบุนตูเสมอ ฉันเคยเล่นกับไฟร์วอลล์ในเครื่อง แต่ในที่สุดฉันก็เริ่มเห็นพวกเขาเป็นของเล่นมากกว่าสาธารณูปโภคจริงฉันหมายถึงสิ่ง gui ไม่ iptables ฯลฯ 1 และ 2 จุดของคุณฉันคิดว่าครอบคลุมการคิดหลังการตัดสินใจนี้ ฉันเห็นด้วยกับการตัดสินใจครั้งนี้

— Lizardx

@ Lizardx ฉันได้แก้ไขและพยายามเน้นว่าฉันรู้สึกท้อแท้กับสถานการณ์ด้วย rpcbind + เครือข่าย wifi สาธารณะ :) ฉันคิดว่าฉันรู้ว่าคุณมาจากไหนในความคิดเห็นนั้น แต่ฉันไม่เห็นด้วยทั้งหมด ฉันมีความสุขที่ได้เข้าถึงคลังแสงปืนใน repo แต่ฉันชอบที่จะมีค่าเริ่มต้นที่กำหนดไว้ (หรือหลายอย่างเช่นถ้าคุณนับ XFCE เป็นตัวเลือก "not GNOME3" ยอดนิยม) เป็นฐานที่เชื่อถือได้เพื่อสร้างจาก .

— sourcejedi

Public wifi เป็นกรณีการใช้งานที่เห็นได้ชัดว่าไฟร์วอลล์ในระบบมีความสำคัญอย่างมากสำหรับผู้ใช้ทั่วไป แต่ตามที่ระบุไว้ในคำตอบอื่น ๆ Debian ถือว่าคุณรู้สิ่งนี้หากคุณติดตั้งและใช้งานในลักษณะนั้น อาจใกล้เคียงกับวิธีที่ FreeBSD หรือ OpenBSD อาจดูคำถามนี้ สำหรับฉันเท่านั้นฉันเป็นแฟนตัวยงของการเลือกกลุ่มแพคเกจเริ่มต้นของเดเบียนฉันไม่เคยเห็นพวกเขาสร้างสิ่งที่ฉันต้องการเรียกใช้จริง ๆ แล้วต่างจากพูดว่า XUbuntu หรือสปินเดเบียนต่าง ๆ ที่สร้างการติดตั้งเริ่มต้นที่ดี . ด้วยสิ่งนี้กล่าวว่าฉันเห็นด้วยตัวเลือกที่ไม่ใช่ GNOME 3, XFCE ตัวเลือกก็ดีมาก

— Lizardx

4

gufw น่ากลัว ufw ไม่เข้าท่าและไม่เก็บกฎไว้ใน XML ใช่ไหม ฮึ. แม้กระทั่ง ruleset iptables แบบแมนนวลก็จัดการได้ง่ายกว่า

— user2497

3

ปรัชญาดั้งเดิมของ Unix คือ KISS เสมอและทำงาน / เปิดเผยขั้นต่ำของการบริการ

บริการหลายอย่างต้องได้รับการติดตั้งอย่างชัดเจนและแม้แต่บางบริการก็ถูกผูกไว้กับ localhost และคุณต้องเปิดใช้งานเพื่อให้สามารถมองเห็นได้ในเครือข่ายท้องถิ่นของคุณ / ในอินเทอร์เน็ต (MySQL, MongoDB, snmpd, ntpd, xorg ... ) นี่เป็นวิธีการที่สมเหตุสมผลกว่าแล้วจึงเปิดใช้งานไฟร์วอลล์ตามค่าเริ่มต้น

คุณต้องการเพียงความซับซ้อนที่ไฟร์วอลล์นำมาจากจุดหนึ่งและความต้องการนั้นอาจลดน้อยลงเมื่ออยู่หลังเราเตอร์ขององค์กรหรืออุปกรณ์ nating ในบ้านดังนั้นจึงเป็นเรื่องที่สมเหตุสมผล ไฟร์วอลล์เช่นซอฟต์แวร์รักษาความปลอดภัยอื่น ๆ สามารถให้ความรู้สึกที่ผิด ๆ หากไม่ได้รับการจัดการอย่างเหมาะสม

การวางแนวของเดเบียนเป็นกลุ่มคนที่มีความรู้ด้านเทคนิคมากกว่าซึ่งจะรู้ว่า iptables คืออะไร; นอกจากนี้ยังมีอินเทอร์เฟซตัวห่อข้อความหรือโหมดกราฟิกที่สามารถติดตั้งได้อย่างง่ายดาย

ยิ่งไปกว่านั้นไม่ว่ามันจะมาพร้อมกับซอฟต์แวร์ที่ติดตั้งมากหรือน้อยเกินไปก็ตาม สำหรับประสบการณ์ที่ยาวนานนั้นมาพร้อมกับซอฟต์แวร์และบริการที่ติดตั้งมากเกินไปโดยค่าเริ่มต้นโดยเฉพาะในโหมดเซิร์ฟเวอร์

— Rui F Ribeiro
แหล่งที่มา