Почему брандмауэр отключен по умолчанию?
Почему брандмауэр ufw включен в Ubuntu, если он не включен и не настроен по умолчанию? Большинство пользователей даже не знают, что это там, потому что не предоставляется интерфейс GUI.
5 ответов
В отличие от Microsoft Windows, рабочий стол Ubuntu не требует брандмауэра для обеспечения безопасности в Интернете, поскольку по умолчанию Ubuntu не открывает порты, которые могут создавать проблемы с безопасностью.
Как правило, система Unix или Linux с должным усилением защиты не требует брандмауэра. Брандмауэры (за исключением определенных проблем с безопасностью компьютеров Windows) имеют больше смысла блокировать внутренние сети для выхода в Интернет. В этом случае локальные компьютеры могут взаимодействовать друг с другом через открытые порты, которые блокируются снаружи брандмауэром. В этом случае компьютеры намеренно открыты для внутренних коммуникаций, которые не должны быть доступны за пределами внутренней сети.
Стандартный рабочий стол Ubuntu не требует этого, поэтому ufw не включен по умолчанию.
Из коробки Ubuntu поставляется без TCP или UDP-порты открыты, отсюда и убеждение, что нет причин запускать Uncomplicated Firewall (ufw) по умолчанию. Я согласен, однако, что отключение ufw - странное решение. Я полагаю, что неопытные пользователи, возможно, будут устанавливать такие вещи, как Samba, Apache и тому подобное, когда они экспериментируют с системой, которая им была представлена. Если они не понимают последствий этого, они подвергнутся злонамеренному поведению в Интернете.
Пример - Мой ноутбук настроен с использованием Samba, что нормально для моей домашней сети, защищенной с помощью WPA2. Но если я отнесу свой ноутбук в Starbucks, я могу ничего об этом не подумать, но этот ноутбук теперь рекламирует мои акции всем и каждому. С помощью брандмауэра я могу ограничить свои порты самбы только своим домашним сервером или одноранговыми устройствами. Теперь больше не нужно беспокоиться о том, кто пытается подключиться к моему ноутбуку. То же самое и с VNC, SSH или огромным количеством других полезных сервисов, которые мой ноутбук может запускать или к которым пытается подключиться.
Ubuntu очень внимательно относится к определенным элементам безопасности - философия, которую я не могу согласен с. Технически безопасность может быть включена или выключена, но, накладывая элементы безопасности друг на друга, вы получаете лучшую систему. Конечно, безопасность Ubuntu достаточно хороша для большого количества случаев использования, но не для всех.
В итоге, запустите ufw. Лучше перестраховаться, чем сожалеть.
Несложный межсетевой экран имеет несколько графических интерфейсов, но самый простой - Gufw .
sudo apt-get install gufw
Здесь я разрешаю весь трафик из определенных серверных VLAN в моей корпоративной среде и Я добавил правило, позволяющее портам, необходимым для обратного сеанса SSH, отскакивать от этой машины.
В Ubuntu или любом другом Linux брандмауэр является частью базовой системы и называется iptables / netfilter. Он всегда включен.
iptables состоит из набора правил о том, что делать и как вести себя, когда пакет выходит из входящего. Если вы хотите явно заблокировать входящие соединения с определенного IP-адреса, вам необходимо добавить правило. На самом деле этого делать не нужно. Расслабьтесь.
Если вам нужна надежная защита от чего-либо, помните, не устанавливайте случайное программное обеспечение откуда угодно. Это может испортить ваши настройки безопасности по умолчанию. Никогда не запускайте как root. Всегда доверяйте официальным репозиториям.
Думаю, вы хотели спросить, установлен ли пользовательский интерфейс или нет?
Кроме того, gufw может предоставлять интерфейс GUI. (Для меня это не более интуитивно, чем ufw в командной строке, но дает более наглядное напоминание о том, что там есть.) Я согласен с тем, что в настоящее время брандмауэр плохо рекламируется. Если бы я догадался, я бы сказал, что это сделано для того, чтобы новые пользователи не прострелили себе ногу.
Потому что: пароли или криптографические ключи.
Это правильный ответ ИМО, и пока что это совершенно другой ответ, чем другие. ufw отключен по умолчанию для удобства большинства пользователей Ubuntu, которые знают, что пароли являются важной формой защиты, обеспечивающей конфиденциальность и ограниченный контроль. Большинство пользователей Ubuntu будут «проверять» программное обеспечение, устанавливая его из утвержденных Ubuntu репозиториев, и будут осторожны с другими источниками, чтобы минимизировать риски в целом, а не только риски, связанные с портами. Поступая таким образом, они значительно снижают риск, связанный с портами, который и без того был небольшим, потому что они использовали «обычные» пароли, и очень малым, если они использовали сложные пароли или криптоключи.
Некоторые из рисков такие как файловый сервер Samba, HTTP-сервер Apache, SSH, VNC в Starbucks (общедоступном) Wi-Fi обычно устраняются с помощью сложных паролей на хосте.
ufw "ломает" программу, как и должен брандмауэр, поэтому по умолчанию он отключен. Чтобы проверить это на новой установке Ubuntu, сервер A, установите ssh и войдите в систему с другого компьютера, клиента B, в той же локальной сети, и вы сразу увидите, что все работает. Выйти. Затем вернитесь к серверу A и sudo ufw enable . Вернитесь к клиенту B, и вы не сможете ssh на сервер A.