Ищете способ улучшить безопасность компьютера с Ubuntu? Вы не ошибетесь, включив файрвол UFW.
Еще по теме: Как отследить Linux компьютер с помощью Prey
Итак, вы только что установили Ubuntu Desktop. Вы, вероятно, предполагаете, что система уже довольно безопасна. Это предположение, по большей части, правильно. Однако все мы знаем, что любой компьютер, подключенный к сети, небезопасен. Мы всегда должны делать все возможное, чтобы защитить его.
Несмотря на то, что «из коробки» рабочий стол Ubuntu будет экспоненциально более безопасным, чем, скажем, рабочий стол Windows, это не означает, что вам не нужно предпринимать дополнительные меры для его защиты.
Файрвол UFW
UFW — это инструмент для настройки сетевой защиты Ubuntu. Он разработан для легкой настройки iptables и предоставляет простой способ создания сетевой защиты для IPv4 и IPv6.
После установки Ubuntu для улучшения безопасности надо предпринять один конкретный шаг — это включить файрвол в Ubuntu. Да, трудно поверить, что он по умолчанию отключен, но это так. Изначально брандмауэр Ubuntu Desktop (также называемый Uncomplicated Firewall — или UFW) неактивен.
Получение статуса работы фаервола UFW
Выполнение команды sudo ufw status указывает, что брандмауэр в новой установке Ubuntu Desktop 18.04 неактивен.
1 |
sudo ufw status |
Для более полного отображения информации введите:
1 |
sudo ufw status verbose |
Для отображения в виде формата numbered:
1 |
sudo ufw status numbered |
Включить / отключить файрвол UFW
Чтобы включить фаервол UFW, выполните команду:
1 |
sudo ufw enable |
В этот момент брандмауэр активен и также запускается при перезагрузке системы. Однако есть одна маленькая проблема: брандмауэр теперь работает и блокирует весь входящий трафик. Далее я покажу как добавлять правило и открывать необходимые порты.
Чтобы отключить фаервол UFW, выполните команду:
1 |
sudo ufw disable |
Открыть / закрыть порт в файрволе UFW
Для открытия порта используйте команду (в нашем примере SSH):
1 |
sudo ufw allow 22 |
Для закрытия порта используйте команду:
1 |
sudo ufw deny 22 |
Еще по теме: Защита ноутбука с Linux
Добавить / удалить правило в UFW
Правила могут быть добавлены с использованием нумерованного формата:
1 |
sudo ufw insert 1 allow 80 |
Для удаления правила используйте команду delete:
1 |
sudo ufw delete deny 22 |
Открыть доступ по SSH в UFW
Например, вам нужно удаленно подключиться к своему компьютеру. Скорее всего, вы будете использовать SSH для получения доступа, но при базовой настройке брандмауэра SSH-соединения запрещены. Другими словами, вам нужно разрешить безопасное подключение SSH к своему компьютеру. Для этого вы можете использовать команду ufw следующим образом:
1 |
sudo ufw allow 22 |
Вы должны увидеть, что правило было добавлено.
Также можно разрешить доступ к порту с определенных компьютеров или сетей. Следующий пример разрешает на этом компьютере доступ по SSH с адреса 192.168.0.2 на любой IP адрес:
1 |
sudo ufw allow proto tcp from 192.168.0.2 to any port 22 |
Замените 192.168.0.2 на 192.168.0.0/24 чтобы разрешить доступ по SSH для всей подсети.
Теперь вы можете закрепить оболочку на настольном компьютере. Конечно, чтобы сделать SSH-соединения более безопасными, всегда используйте авторизацию по ключу.
На этом все. Теперь Ubuntu намного безопаснее. Конечно, это не все. Существует целый ряд других шагов, которые вы можете предпринять, чтобы улучшить защиту операционной системы (использование более безопасного веб-браузера, шифрование данных с GnuPG, ограничение доступа к команде su, использование DNS-over-TLS и многое другое). Тем кто серьезно озабочен безопасностью Linux рекомендую провести аудит безопасности своей системы, подробно об этом в статье «Лучшие инструменты аудита безопасности Linux».