Skonfiguruj nieskomplikowaną zaporę (UFW) w systemie Ubuntu 14.04

• Zainstaluj UFW
• Zezwalaj na połączenia
• Odmawiaj połączeń
• Zezwól na dostęp z zaufanego adresu IP
• Włącz UFW
• Sprawdź status UFW
• Wyłącz / przeładuj / uruchom ponownie UFW
• Usuwanie reguł
• Włączanie obsługi IPv6
• Powrót do ustawień domyślnych
• Wniosek

Bezpieczeństwo ma kluczowe znaczenie podczas uruchamiania własnego serwera. Chcesz mieć pewność, że tylko autoryzowani użytkownicy mają dostęp do twojego serwera, konfiguracji i usług.

W Ubuntu dostępna jest fabrycznie zapora ogniowa. To się nazywa UFW (nieskomplikowana zapora ogniowa). Chociaż UFW jest dość prostą zaporą ogniową, jest przyjazny dla użytkownika, wyróżnia się w filtrowaniu ruchu i ma dobrą dokumentację. Podstawowa wiedza na temat systemu Linux powinna wystarczyć do samodzielnego skonfigurowania tej zapory.

Zainstaluj UFW

Zauważ, że UFW jest zazwyczaj domyślnie instalowany w Ubuntu. Ale jeśli już, możesz go zainstalować samodzielnie. Aby zainstalować UFW, uruchom następujące polecenie.

sudo apt-get install ufw

Zezwalaj na połączenia

Jeśli prowadzisz serwer WWW, oczywiście chcesz, aby świat miał dostęp do twoich stron internetowych. Dlatego musisz się upewnić, że domyślny port TCP dla sieci jest otwarty.

sudo ufw allow 80/tcp

Zasadniczo możesz zezwolić na dowolny potrzebny port, używając następującego formatu:

sudo ufw allow <port>/<optional: protocol>

Odmawiaj połączeń

Jeśli chcesz odmówić dostępu do określonego portu, użyj tego:

sudo ufw deny <port>/<optional: protocol>

Na przykład odmówmy dostępu do naszego domyślnego portu MySQL.

sudo ufw deny 3306

UFW obsługuje również uproszczoną składnię dla najpopularniejszych portów usług.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Zdecydowanie zaleca się ograniczenie dostępu do portu SSH (domyślnie jest to port 22) z dowolnego miejsca poza zaufanymi adresami IP (np. Biuro lub dom).

Zezwól na dostęp z zaufanego adresu IP

Zwykle należy zezwolić na dostęp tylko do publicznie otwartych portów, takich jak port 80. Dostęp do wszystkich innych portów musi być ograniczony lub ograniczony. Możesz dodać adres IP swojego domowego / biurowego do białej listy (najlepiej statyczny adres IP), aby mieć dostęp do serwera przez SSH lub FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Pozwólmy również na dostęp do portu MySQL.

sudo ufw allow from 192.168.0.1 to any port 3306

Teraz wygląda lepiej. Przejdźmy dalej.

Włącz UFW

Przed włączeniem (lub ponownym utworzeniem) UFW musisz upewnić się, że port SSH może odbierać połączenia z twojego adresu IP. Aby uruchomić / włączyć zaporę UFW, użyj następującego polecenia:

sudo ufw enable

Zobaczysz to:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Wpisz Y , a następnie naciśnij klawisz Enter, aby włączyć zaporę.

Firewall is active and enabled on system startup

Sprawdź status UFW

Spójrz na wszystkie swoje zasady.

sudo ufw status

Zobaczysz dane wyjściowe podobne do poniższych.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Użyj parametru „szczegółowe”, aby wyświetlić bardziej szczegółowy raport o stanie.

sudo ufw status verbose

Wyłącz / przeładuj / uruchom ponownie UFW

Aby wyłączyć (zatrzymać) UFW, uruchom to polecenie.

sudo ufw disable

Jeśli musisz ponownie załadować UFW (przeładuj reguły), uruchom następujące polecenie.

sudo ufw reload

Aby ponownie uruchomić UFW, musisz go najpierw wyłączyć, a następnie włączyć ponownie.

sudo ufw disable
sudo ufw enable

Ponownie, przed włączeniem UFW, upewnij się, że port SSH jest dozwolony dla twojego adresu IP.

Usuwanie reguł

Aby zarządzać regułami UFW, musisz je wymienić. Możesz to zrobić, sprawdzając status UFW za pomocą parametru „numerowane”. Zobaczysz dane wyjściowe podobne do poniższych.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Zauważyłeś liczby w nawiasach kwadratowych? Teraz, aby usunąć dowolną z tych reguł, będziesz musiał użyć tych liczb.

sudo ufw delete [number]

Włączanie obsługi IPv6

Jeśli używasz IPv6 na swoim VPS, musisz upewnić się, że obsługa IPv6 jest włączona w UFW. W tym celu otwórz plik konfiguracyjny w edytorze tekstu.

sudo nano /etc/default/ufw

Po otwarciu upewnij się, że IPV6jest ustawione na „tak”:

IPV6=yes

Po wprowadzeniu tej zmiany zapisz plik. Następnie uruchom ponownie UFW, wyłączając go i włączając ponownie.

sudo ufw disable
sudo ufw enable

Powrót do ustawień domyślnych

Jeśli chcesz wrócić do ustawień domyślnych, po prostu wpisz następujące polecenie. Spowoduje to cofnięcie wszelkich zmian.

sudo ufw reset

Wniosek

Ogólnie rzecz biorąc, UFW jest w stanie chronić Twój VPS przed najczęstszymi próbami włamania. Oczywiście środki bezpieczeństwa powinny być bardziej szczegółowe niż tylko korzystanie z UFW. Jest to jednak dobry (i konieczny) początek.

Jeśli potrzebujesz więcej przykładów korzystania z UFW, możesz odnieść się do UFW - Wiki Pomocy Społeczności .