Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Einn af grunnstoðum hvers stýrikerfis er rétt stilltur eldveggur fyrir fullkomið kerfisöryggi. UFW (uncomplicated Firewall) er sett upp á Ubuntu stýrikerfum sjálfgefið; það er hins vegar ekki virkt. Einn af stóru kostunum við UFW er einfaldleiki þess, notendavæn og auðveld í notkun skipanalína, sem gerir það frábært fyrir byrjendur í Linux til fullkomnustu stórnotenda.

Í eftirfarandi kennslu muntu læra að setja upp og setja upp UFW eldvegg á annað hvort Ubuntu 20.04 LTS Focal Fossa skjáborð eða netþjón með því að nota stjórnstöðina.

Forsendur

  • Mælt með stýrikerfi: ubuntu 20.04
  • Notendareikningur: Notendareikningur með sudo or rót aðgangur.

Uppfærðu stýrikerfi

Uppfærðu þína ubuntu stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo apt update && sudo apt upgrade -y

Kennsluefnið mun nota sudo skipun og að því gefnu að þú sért með sudo stöðu.

Til að staðfesta sudo stöðu á reikningnum þínum:

sudo whoami

Dæmi um úttak sem sýnir sudo stöðu:

[joshua@ubuntu ~]$ sudo whoami
root

Til að setja upp núverandi eða nýjan sudo reikning skaltu fara á kennsluna okkar á Hvernig á að bæta notanda við Sudoers á Ubuntu.

Til að nota rótarreikningur, notaðu eftirfarandi skipun með rót lykilorðinu til að skrá þig inn.

su

Fáðu


Hvernig á að virkja, setja upp eða fjarlægja UFW

Fyrsta skrefið í að setja upp UFW eldvegg verður að virkja eldvegginn.

sudo ufw enable

Dæmi úttak:

Firewall is active and enabled on system startup

Sjálfgefið er að sjálfkrafa er lokað fyrir alla móttekna umferð og öll útleið er leyfð þegar eldveggurinn er virkur. Þetta mun samstundis vernda kerfið þitt með því að koma í veg fyrir að einhver tengist fjartengingu við kerfið þitt.

Ef UFW var fjarlægt áður og þú vilt endursetja eldvegginn með því að nota eftirfarandi skipun.

sudo apt install ufw -y

Næst skaltu staðfesta stöðu UFW til að ganga úr skugga um að það sé virkt og án villna.

sudo systemctl status ufw

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Í framtíðinni, ef þú þarft að slökkva á UFW um tímabundinn tíma skaltu nota eftirfarandi skipun.

sudo ufw disable

Til að fjarlægja UFW að öllu leyti úr Ubuntu kerfinu þínu.

sudo apt autoremove ufw --purge

Ekki fjarlægja UFW nema þú hafir traustan möguleika eða veist hvernig á að nota IPTables, sérstaklega þegar þú keyrir netþjónsumhverfi sem er tengt almenningi. Þetta verður hörmulegt.

Hvernig á að athuga UFW stöðu

Þegar UFW er virkt skaltu skoða stöðu eldveggsreglna og hvað er virkt notaðu eftirfarandi.

sudo ufw status verbose

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Dæmið hér að ofan notaði margorða fánann og annar valkostur er að skrá reglurnar í númeraröð, sem er mun viðráðanlegra síðar þegar reglum er eytt.

sudo ufw status numbered

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Þú hefur nú [1], [2] númeramerki á UFW reglum þínum til auðkenningar eins og ofangreind framleiðsla hefur það.


Fáðu


Hvernig á að stilla UFW sjálfgefnar reglur

Sjálfgefin stefna UFW eldveggsins er að hafna öllum komandi tengingum og leyfa aðeins útleiðtengingar við kerfið. Venjulega er öruggasta sjálfgefna leiðin þar sem enginn getur náð í netþjóninn þinn nema þú leyfir IP tölu/svið, forrit, gáttir eða samsetningar af öllu. Kerfið þitt, sjálfgefið, hefur aðgang að utan, sem þú ættir ekki að stilla nema þú hafir sérstakar öryggiskröfur.

Til viðmiðunar má finna sjálfgefna UFW eldveggsreglur á staðnum / etc / default / ufw.

Til að stilla reglurnar með því að slá inn eftirfarandi skipun:

Til að hafna öllum komandi tengingum:

sudo ufw default deny incoming

Til að leyfa allar sendar tengingar:

sudo ufw default allow outgoing

Þetta er nú þegar stillt sem sjálfgefnar reglur þegar það er virkt, en þú getur notað sömu reglu til að breyta þeim til að henta þínum tilgangi.

Til dæmis eru öll móttekin samskipti sjálfgefið læst, en þú vilt að öll útleiðing sé læst og leyfa aðeins samþykktar tengingar á útleið, notaðu síðan eftirfarandi skipun.

Til að loka fyrir allar sendar tengingar:

sudo ufw default deny outgoing

Þetta er öfgafullur mælikvarði; að hindra komandi tengingar er venjulega nóg fyrir meðalþjón og skjáborð, en tiltekið umhverfi getur notið góðs af auka öryggisráðstöfunum. Gallinn er að þú þarft að tengja allar útleiðandi tengingar, sem getur verið tímafrekt, stöðugt að setja nýjar reglur.

Hvernig á að skoða UFW umsóknarsnið

Til að sýna öll forritasnið geturðu gert það með því að slá inn eftirfarandi.

sudo ufw app list

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Ofangreint er bara dæmi og allir munu hafa mismunandi lista þar sem enginn mun hafa sömu forritin uppsett.

Hagnýtur eiginleiki forritasniða er að finna út meira um þjónustuna sem skráð er á UFW forritalistanum.

Til að gera þetta skaltu slá inn eftirfarandi skipun til að finna frekari upplýsingar um núverandi prófíl.

sudo ufw app info CUPS

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Eins og að ofan er útprentun á almennri lýsingu forritsins og gáttinni sem það notar. Þetta er handhægur eiginleiki þegar þú ert að rannsaka opnar hafnir og ekki viss um hvaða forrit þau tengjast og hvað forritið gerir.


Fáðu


Hvernig á að virkja IPv6 á UFW

Ef Ubuntu kerfið þitt er stillt með IPv6 þarftu að tryggja að UFW sé stillt með IPv6 og IPv4 stuðningi. Sjálfgefið ætti þetta að vera sjálfkrafa virkt; þú ættir þó að athuga og breyta því ef þörf krefur. Þú getur gert þetta í eftirfarandi.

Opnaðu sjálfgefna UFW eldveggsskrá.

sudo nano /etc/default/ufw

Stilltu eftirfarandi línu á já ef ekki er stillt.

IPV6=yes

CTRL + O til að vista nýju breytingarnar á skránni, ýttu síðan á CTRL + X til að hætta í skránni.

Endurræstu nú UFW eldveggsþjónustuna til að gera breytingarnar virkar.

sudo systemctl restart ufw

Hvernig á að leyfa UFW SSH tengingar

Sjálfgefið leyfir UFW ekki SSH tengingar. Ef þú hefðir þegar virkjað eldvegginn úr fjarlægð, hefðirðu tekið eftir því að þú værir útilokaður.

Til að laga þetta þarftu að stilla eftirfarandi SSH stillingar áður en þú kveikir á UFW eldvegg, sérstaklega ef hann er tengdur við ytri netþjón.

Fyrst skaltu virkja SSH forritasnið.

sudo ufw allow ssh

Ef þú hefur sett upp sérsniðna hlustunartengi fyrir SSH tengingar aðrar en sjálfgefna tengi 22, til dæmis, port 3541, muntu opna tengið á UFW eldveggnum með því að slá inn eftirfarandi.

sudo ufw allow 3541/tcp

Ef þú vilt loka á allar SSH tengingar eða breyta portinu og loka á þær gömlu.

Til að loka fyrir allar SSH tengingar (Gakktu úr skugga um að staðbundinn aðgangur sé mögulegur), notaðu eftirfarandi skipun.

sudo ufw deny ssh/tcp

Ef þú breytir sérsniðnu SSH tenginu skaltu opna nýja tengi og loka núverandi; kennsludæmi er port 3541.

sudo ufw deny 3541/tcp 

Fáðu


Hvernig á að virkja UFW höfn

Með UFW geturðu opnað tilteknar gáttir í eldveggnum til að leyfa tengingar sem tilgreindar eru fyrir tiltekið forrit. Þú getur stillt sérsniðnar reglur fyrir forritið. Frábært dæmi um þessa reglu er að setja upp vefþjón sem hlustar á port 80 (HTTP) og 443 (HTTPS) sjálfgefið.

Leyfa HTTP Port 80

Leyfa eftir forritasniði:

sudo ufw allow 'Nginx HTTP'

Leyfa eftir þjónustuheiti:

sudo ufw allow http

Leyfa eftir gáttarnúmeri:

sudo ufw allow 80/tcp

Leyfa HTTPS Port 443

Leyfa eftir forritasniði:

sudo ufw allow 'Nginx HTTPS'

Leyfa eftir þjónustuheiti:

sudo ufw allow https

Leyfa eftir gáttarnúmeri:

sudo ufw allow 443/tcp

Athugaðu, þú getur sjálfgefið virkjað allar reglurnar saman með því að nota eftirfarandi skipun.

sudo ufw allow 'Nginx Full'

UFW leyfa hafnarsvæði

UFW getur leyft aðgang að hafnarsviðum. Athugið að þegar gáttarsvið er opnað verður þú að bera kennsl á gáttarsamskiptareglur.

Leyfa gáttarsvið með TCP og UDP:

sudo ufw allow 6500:6800/tcp
sudo ufw allow 6500:6800/udp

Að öðrum kosti geturðu leyft margar hafnir í einu höggi, en leyfa bil getur verið aðgengilegra eins og hér að ofan.

sudo ufw allow 6500, 6501, 6505, 6509/tcp
sudo ufw allow 6500, 6501, 6505, 6509/udp

Hvernig á að leyfa fjartengingar á UFW

UFW leyfa sérstakt IP-tölu

Til dæmis, til að leyfa tilteknar IP tölur, þú ert á innra neti og krefst þess að kerfin hafi samskipti saman, notaðu eftirfarandi skipun.

sudo ufw allow from 192.168.55.131

UFW leyfa sérstakt IP-tölu á tiltekinni höfn

Til að gera IP kleift að tengjast kerfinu þínu á skilgreindri höfn (dæmi port "3900"), sláðu inn eftirfarandi.

sudo ufw allow from 192.168.55.131 to any port 3900

Leyfa undirnetstengingar við tiltekið tengi

Ef þú þarfnast alls kyns tenginga frá IP-sviðs undirneti til tiltekins tengis geturðu virkjað þetta með því að búa til eftirfarandi reglu.

sudo ufw allow from 192.168.1.0/24 to any port 3900

Þetta mun leyfa öllum IP tölum frá 192.168.1.1 til 192.168.1.254 að tengjast tengi 3900.

Leyfa sérstakt netviðmót

Til dæmis, leyfa tengingar við tiltekið netviðmót, "eth2" við tiltekið tengi 3900. Þú getur náð þessu með því að búa til eftirfarandi reglu.

sudo ufw allow in on eth2 to any port 3900

Fáðu


Hvernig á að neita fjartengingum á UFW

Samkvæmt sjálfgefna uppsetningarstefnu UFW, þegar uppsett er, eru allar komandi tengingar stilltar á "hafna." Þetta hafnar allri komandi umferð nema þú búir til reglu til að leyfa tengingum að komast í gegn.

Hins vegar hefur þú tekið eftir ákveðnu IP-tölu í skránni þinni sem heldur áfram að ráðast á þig. Lokaðu því með eftirfarandi.

sudo ufw deny from 203.13.56.121

Tölvusnápur notar margar IP tölur frá sama undirneti og reynir að hakka þig. Búðu til eftirfarandi til að loka.

sudo ufw deny from 203.13.56.121/24

Þú getur búið til sérstakar reglur ef þú vilt meina aðgang að tilteknum höfnum. Sláðu inn eftirfarandi dæmi.

sudo ufw deny from 203.13.56.121/24 to any port 80
sudo ufw deny from 203.13.56.121/24 to any port 443

Hvernig á að eyða UFW reglum

Þú hefur búið til og afneitað reglum, en þú þarft að eyða þeim þar sem þú þarft þær ekki lengur. Þetta er hægt að ná á tvo mismunandi vegu.

Í fyrsta lagi, til að eyða UFW reglu með því að nota reglunúmerið, verður þú að skrá reglunúmerin með því að slá inn eftirfarandi.

sudo ufw status numbered

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Dæmið mun eyða fjórðu reglunni fyrir IP tölu 1.1.1.1 sem er auðkennd hér að ofan.

Sláðu inn eftirfarandi í flugstöðinni þinni.

sudo ufw delete 1

Í öðru lagi geturðu eytt UFW reglu með því að nota raunverulegu regluna sjálfa.

sudo ufw delete allow 80/tcp

Þegar reglum er eytt og þeim tekst vel færðu eftirfarandi úttak.

Rule deleted
Rule deleted (v6)

Fáðu


Hvernig á að fá aðgang að og skoða UFW logs

Sjálfgefið er að UFW skógarhögg er stillt á lágt. Þetta er fínt fyrir flest skrifborðskerfi. Hins vegar gætu netþjónar þurft hærra stig skráningar.

Til að stilla UFW skráningu á lágt (sjálfgefið):

sudo ufw logging low

Til að stilla UFW skráningu á miðlungs:

sudo ufw logging medium

Til að stilla UFW skráningu á hátt:

sudo ufw logging high

Síðasti möguleikinn er að slökkva alveg á skráningu, vertu viss um að þú sért ánægður með þetta og mun ekki þurfa að athuga skráningu.

sudo ufw logging off

Til að skoða UFW annála eru þeir geymdir á sjálfgefna staðsetningunni /var/log/ufw.log.

Auðveld og fljótleg leið til að skoða lifandi logs er að nota halaskipunina.

sudo ufw tail -f /var/log/ufw.log

Að öðrum kosti geturðu prentað út ákveðið magn af nýlegum línum með -n.

sudo ufw tail /var/log/ufw.log -n 30

Þetta mun prenta út síðustu 30 línurnar í skránni. Þú getur fínstillt frekar með GREP og öðrum flokkunarskipunum.

Hvernig á að prófa UFW reglur

Mjög mikilvæg kerfi, góður kostur þegar þú spilar með eldveggstillingarnar, getur bætt við –þurrhlaupsfáni. Þetta gerir kleift að sjá dæmi um þær breytingar sem hefðu átt sér stað en ekki unnið úr þeim.

sudo ufw --dry-run enable

Að slökkva á –þurrhlaupsfáni, notaðu eftirfarandi skipun.

sudo ufw --dry-run disable

Fáðu


Hvernig á að endurstilla UFW reglur

Til að endurstilla eldvegginn þinn aftur í upprunalegt ástand með allar innkomur læstar og sendar stilltar til að leyfa skaltu slá inn eftirfarandi til að endurstilla.

sudo ufw reset

Staðfestu endurstillingu, sláðu inn eftirfarandi:

sudo ufw status

Úttakið ætti að vera:

Status: inactive 

Með endurstillingu UFW eldveggsins þarftu nú að virkja eldvegginn aftur og hefja allt ferlið við að bæta við reglum. Endurstillingarskipunina ætti að nota sparlega ef hægt er.

Hvernig á að finna allar opnar höfn (öryggisskoðun)

Flest kerfi gera sér ekki grein fyrir því að þau geta haft höfn opin. Á tímum hverrar IP tölu á internetinu er skannaður daglega er mikilvægt að fylgjast með því sem er að gerast á bakvið tjöldin.

Besti kosturinn er að setja upp Nmap, síðan, með því að nota þetta fræga forrit, skrá yfir opnuðu tengi.

sudo apt install nmap

Næst skaltu finna innri IP tölu kerfisins.

hostname -I

Dæmi úttak:

192.168.50.45

Notaðu nú eftirfarandi Nmap skipun með IP tölu netþjónsins.

sudo nmap 192.168.50.45

Dæmi úttak:

Hvernig á að setja upp og stilla UFW eldvegg á Ubuntu 20.04

Eins og hér að ofan eru höfn 9090 og 80 opin. Áður en þú lokar á höfn, athugaðu fyrst hvað þau eru ef þú ert ekki viss.

Frá þessum tímapunkti geturðu búið til sérsniðnar UFW reglur sem þú hefur lært í kennslunni til að loka eða takmarka opna gáttirnar.


Fáðu


Athugasemdir og niðurstaða

Kennslan hefur sýnt þér hvernig á að setja upp og stilla UFW fyrir skjáborð eða netþjón á Ubuntu 20.04 LTS Focal Fossa.

Á heildina litið er mjög mælt með því að nota UFW þar sem það er einfalt eldveggskerfi til að nota miðað við aðra valkosti sem gætu verið of ruglingslegir fyrir ekki stórnotendur. Miðað við aukningu netglæpa og tölvuþrjóta er það örugglega fljótleg leið til að vernda kerfið þitt.

Eina svæðið sem UFW mun byrja að skorta eru helstu reglur og IP svartir listar, þar sem þú gætir haft hundruð þúsunda ef ekki milljónir IP læst. Það gæti verið þörf á öðrum valkostum, en þetta mun ekki hafa áhrif á flesta notendur þar sem þessir netþjónar eru venjulega með góðan valkost tilbúinn.

Gerast áskrifandi
Tilkynna um
1 athugasemd
Inline endurgjöf
Skoða allar athugasemdir

ufw er úrelt og það getur aðeins notað iptrables viðmótið. Allir flottu krakkarnir nota eldvegg núna, sem tengist líka nftables sem koma í stað iptables.

1
0
Vilt elska hugsanir þínar, vinsamlegast skrifaðu athugasemdir.x