Почему Ubuntu разрешает исходящие соединения по умолчанию?
Я довольно новичок в Linux, так как большинство компьютеров для ресурсов в моей школе используют Linux, я просто установил Ubuntu для обучения.
По умолчанию iptables и ufw устанавливает политику следующим образом:
IPTABLES -P INPUT DROP
IPTABLES -P FORWARD DROP
IPTABLES -P OUTPUT ACCEPT
ufw по умолчанию отказать (по умолчанию входящие).
В обоих случаях все дистрибутивы Linux доверяют всем приложениям, включая такие как ftp, smtp, SSH, mail и все остальные, что позволяет использовать исходящий трафик без уведомления или без концентрации. Что, в свою очередь, оставляет все порты от 0 до 65535 открытыми для исходящего трафика для всех установленных приложений.
Кроме того, не существует конкретного элемента управления приложениями, чтобы конкретное приложение, такое как Firefox, Opera или другое, получало доступ к Интернету в любых брандмауэрах, которые я пробовал до сих пор. Все установленные приложения могут свободно пользоваться всеми возможностями доступа в Интернет.
Во всех основных дистрибутивах netstat закалено минимальное количество информации.
Меня беспокоит безопасность .... Какой уровень безопасности обеспечивает ОС (Linux), которая разрешает весь исходящий трафик и просто блокирует доступ к входящему?
3 ответа
Почему открыты все исходящие порты? Если Вы не доверяете приложениям, Вы работаете, то у Вас есть большие проблемы: уже существует выполнение приложения, которое могло сделать плохие вещи. Если бы Вы запустили это приложение, то оно могло бы удалить все файлы в Вашем $HOME.....
необходимо доверять приложениям, которые работают, если не у Вас есть большие проблемы, чем открытые порты.
, Если Вы хотите просмотреть Интернет, исходящие порты к 80 (http) должны быть открыты. Если у Вас есть приложение, которому Вы не доверяете, это приложение могло использовать порт 80 столь же целевая передача Ваш брандмауэр....
, Если Вы все еще хотите управлять исходящими соединениями, можно сделать это:
- Запрещают исходящие пакеты.
- выполняет прокси HTTP с доступом пароля в Вашей LAN.
- Выполнение Mailserver в Вашей LAN.
- , Но много приложений не будет больше работать (Речь по IP, Skype, Чат....)
, Но злое приложение могло считать Ваши настройки прокси Firefox, использовать пароль и отправить информацию на более злой сервер....
трудно управлять исходящим трафиком. Я не сделал бы этого.
Этот вид обсуждения время от времени подходит и IMO, который лучший ответ - то, что Linux не является Windows, и в это время текущую политику брандмауэра считают достаточной разработчики Ubuntu / служба безопасности как, по умолчанию, нет никаких открытых портов.
См.: https://wiki.ubuntu.com/SecurityTeam/Policies
утилита брандмауэра в виде проблем Вы имеете (вредоносное программное обеспечение, или взломщик, использующий систему для несанкционированного действия, был обсужден, но мнение о согласии - то, что это не потребность по умолчанию (как Вы видите). Это не означает, что все согласовывают с умом решения Вас;)
Вы свободны не согласиться с решением и или изменить Ваши политики или отправить почту службе безопасности, если Вы желаете.
До брандмауэра прикладного уровня, как существует в некоторых Приложениях Windows, достаточно сказать не настолько легко реализовать и хотя я видел несколько попыток кодировать такой брандмауэр прикладного уровня за эти годы, но, IMO, технология еще не там.
Вы могли бы хотеть посмотреть leopardflower, я не использую его и не могу ручаться за то, как хорошо он работает.
Другой, более старая попытка была tuxguardian, но поскольку Вы видите, что это больше не сохраняется, и я не советовал бы использовать его.
самой близкой вещью в Ubuntu был бы Apparmor.
https://wiki.ubuntu.com/AppArmor
No это не точно, что Вы просите, это настолько близко, как это добирается.
Иначе, IMO, это обсуждение является старым возрастом при поиске Форумов Ubuntu, Вы найдете много обсуждений, и также
http://brainstorm.ubuntu.com/idea/4137
Удача, я надеюсь, что это сообщение, по крайней мере, предоставляет Вам некоторую информацию, хотя это - вероятно, не ответ, Вы искали.
Исходящие соединения требуют, чтобы они были порождены из брандмауэра. В большинстве случаев это будет инициируемым действием пользователя. Конфигурирование брандмауэра с закрытой политикой для исходящего трафика является трудным обязательством и требует обслуживания для каждого нового сервиса или интернет-клиента, который установлен. В зависимости от установленного программного обеспечения и использования системы, возможно, что получающийся брандмауэр будет почти абсолютно открыт на всех кроме привилегированных портов.
открытая политика для выхода обеспечивает довольно безопасный брандмауэр, не требуя значительного уровня квалификации со стороны пользователя. Вход и и политика переадресации обеспечивает сильный барьер против внешних нападений и делает систему относительно невидимой для внешних датчиков.
существуют программы, которые требуют, чтобы все больше большинство непривилегированных портов были открыты. Это оставляет только защищенные порты (< 1024), который может быть защищен. Как на Linux (UNIX) - базирующаяся система эти порты требуют полномочий пользователя root, прежде чем они смогут быть открыты, существует немного программ, которые могут использовать их.
Конфигурирование брандмауэра с закрытой политикой для исходящего трафика является трудным обязательством. Правила брандмауэра требуются для каждого сервиса, к которому получают доступ, и в немного заключают клиентское программное обеспечение в корпус, или сетевому стеку, возможно, понадобится специальная конфигурация. Много клиентских значений по умолчанию к использованию эфемерных портов к исходящему доступу для TCP, UPD или обоих и как источник и как место назначения эфемерный диапазон портов являются эффективно всеми портами более чем 1 024 для адресующих маршрутизаторов и удаленных адресов.