ZDNET galvenie pārņemšana
- Linux ir ļoti drošs, taču jums joprojām vajadzētu būt ugunsmūrim.
- Jums jāzina, vai jūsu ISP aparatūra (vārteja) izmanto ugunsmūri.
- Viens no vienkāršākajiem Linux ugunsmūriem ir UFW un tā GUI sidekick, gufw.
Es izmantoju Linux gandrīz 30 gadus. Šajos gados esmu pieredzējis tikai vienu drošības problēmu (rootkit uz servera, kuru es mantoju). Iemesls tam ir Linux paaugstinātā drošība. Ārpus kastes tas ietver stingras atļauju sistēmas un drošības mehānismus (piemēram, ApparMor un Selinux), kas veic pārsteidzošu darbu, slēdzot operētājsistēmu.
Bet kā ar ugunsmūri? Jūs zināt par ugunsmūriem, it īpaši, ja esat izmantojis Windows (jo Microsoft OS vienmēr ir atkarīgs no tiem). Un pirms jūs to domājat, neatkarīgi no tā, cik drošs ir jūsu tīmekļa pārlūks, ar to nepietiek.
Arī: Vai domājat par pāreju uz Linux? 9 lietas, kas jums jāzina
Gandrīz visi Linux izplatīšanas kuģi ar ugunsmūri, kas ir gatavs lietošanai. Savādi, tomēr daži sadalījumi tiek piegādāti ar invalīdu ugunsmūri.
Tas šķiet pretrunīgs operētājsistēmai, kas pakarina cepuri uz drošību.
Lielais jautājums, ko jūs varat uzdot, ir: “Vai Linux pat ir nepieciešams ugunsmūris?”
Pirms atbildēšanas uz šo jautājumu es jums uzdošu dažus jautājumus:
- Vai jūsu Linux mašīna ir mājas tīklā?
- Vai jūsu mājas tīklam ir maršrutētājs, kurā ietilpst ugunsmūris?
- Vai jūsu maršrutētājs tiek regulāri atjaunināts?
- Ja jūsu mājas tīklam ir maršrutētājs ar ugunsmūri, vai ir atvērtas ostas?
- Vai datorā ir sensitīvi dati?
Jūs, iespējams, nezināt atbildes uz šiem jautājumiem, kas nozīmē, ka jums, iespējams, būs jāsazinās ar ISP un jājautā viņiem par izmantoto aparatūru. Piemēram, AT&T Fiber savā vārtejas aparatūrā ietver ugunsmūri. Comcast Xfinity Gateways ietver arī ugunsmūri.
Arī: 8 lietas, ko varat darīt ar Linux, ko nevar darīt ar macOS vai Windows
Ja jūs zināt, ka ISP aparatūra ietver ugunsmūri, nepieciešamība pēc ugunsmūra uz jūsu Linux mašīnām ir mazāk presējoša nekā citādi.
Bet vai tas nozīmē, ka jums vajadzētu aizmirst par ugunsmūri?
Es saku, nē.
Es saku, jo vairāk drošības, jo labāk.
Piemēram, jūsu ISP vārteja notiek bez atjauninājumiem, kas varētu atstāt to neaizsargātu pret uzbrukumiem. Daži ne’er-do-well izdomā, kādus vārtus jūs izmantojat, izlaužas caur tā nepiespiesto aizsardzību, un tam ir piekļuve jūsu tīklam. Ja jūsu Linux mašīna netiek aizsargāta, izmantojot ugunsmūri, tas sliktais aktieris varētu piekļūt mašīnai, izmantojot atvērto portu, un ir pie datiem, kurus tajā ir.
Jūs to nevēlaties.
Ergo… ugunsmūris.
Bet kuru jums vajadzētu izmantot?
Dažādi sadalījumi kuģo ar dažādiem ugunsmūriem. Piemēram, Ubuntu (un tie, kas balstīti uz Ubuntu) kuģi ar nekomplicētu ugunsmūri (UFW), turpretī Fedora (un tie, kas balstīti uz Fedora) kuģi ar ugunsmūru. Lai arī abas ir cietas iespējas, es pamāju ar UFW, jo to ir tik viegli lietot. Un, ja jūs nevēlaties izmantot komandrindu, ir GUI lietotnes, kuras varat instalēt, lai vadītu UFW.
Arī: Vispirms varat izmēģināt Linux, bez nolaižot Windows – lūk, kā
Pat no komandrindas UFW ir viegli. Lai to iespējotu, izdodiet komandu:
sudo ufw iespējot
Pēc iespējošanas visi ostas ir aizvērtas, un piekļuve jūsu mašīnai tiek padarīta eksponenciāli izaicinošāka. Tomēr teiksim, ka jūs regulāri izmantojat SSH, lai piekļūtu šai mašīnai no sava LAN. Par to jūs varētu izdot komandu:
sudo ufw atļauj ssh
Vai varbūt vēlaties atļaut SSH tikai no vienas IP adreses savā LAN, ko var izdarīt ar:
sudo ufw atļauj no ip_address uz jebkuru 22. portu Proto TCP
Kur ip_address ir mašīnas adrese, kuru vēlaties atļaut.
Tās pašas darbības ar Firewalld izskatās šādi:
sudo ugunsmūra-cmd-zone = public-pastāvīgs-addd-service = ssh
Vai
sudo ugunsmūris-cmd-pastāvīgs-addd-avource = ip_address –zone = nomet
sudo ugunsmūris-cmd-pastāvīgs-addd-service = ssh
sudo ugunsmūra-cmd-slodze
sudo ugunsmūra-cmd-saraksts-all-zone = nomest
sudo ugunsmūra-cmd-saraksts
Kur ip_address ir mašīnas adrese, kuru vēlaties atļaut.
Acīmredzot UFW ir vienkāršāks rīks, un es vienmēr to ieteiktu, izmantojot Firewalld tiem, kas tikai nokļūst Linux.
Un, ja vēlaties GUI UFW, izmēģiniet gufw (ko var instalēt no jūsu GUI App Store).
Galu galā atbildes uz jautājumiem ir vienkāršas:
- Vai jums ir nepieciešams ugunsmūris vietnē Linux? – Jā
- Kuru jums vajadzētu izmantot? – UFW
Saprotiet, ka, ja vēlaties izmantot UFW uz Fedora balstītām sistēmām, jums tas jāinstalē. Lai to izdarītu, izsniedziet šādas komandas:
Sudo Systemctl pārtrauciet ugunsmūru
sudo systemctl atspējot ugunsmūru
sudo dnf noņemiet ugunskuru
sudo dnf instalēt ufw
sudo ufw iespējot
Tagad jums ir UFW, kas darbojas ar jūsu Fedora balstīto izplatīšanu.
Ar aktīvo ugunsmūri, jūsu Linux mašīna būs labāk aizsargāta, ja kāds apiet jūsu ISP aparatūras aizsardzību. Kā vienmēr, labāk ir būt drošam nekā žēl.
Iegūstiet rīta labākos stāstus katru dienu ar mūsu iesūtni Tech šodien biļetens.
