Prije svega, idu svi krediti @YukiteruAmano, jer je ovaj post zasnovan na tutorski objavili ste na forumu. Razlika je u tome što ću se fokusirati svod, iako će vjerovatno raditi na drugim distribucijama na osnovu systemd.
Šta je Firehol?
firehol, mala je aplikacija koja nam pomaže u upravljanju vatrozidom integriranim u jezgru i njezin alat iptables. Fireholu nedostaje grafičko sučelje, sva konfiguracija mora se obaviti putem tekstualnih datoteka, ali uprkos tome, konfiguracija je i dalje jednostavna za korisnike početnike ili moćna za one koji traže napredne opcije. Sve što Firehol čini je što je više moguće pojednostaviti stvaranje pravila iptables i omogućiti dobar zaštitni zid za naš sistem.
Instalacija i konfiguracija
Firehol nije u službenim Arch repozitorijima, pa ćemo se pozvati na njega AUR.
yaourt -S firehol
Zatim idemo na konfiguracijsku datoteku.
sudo nano /etc/firehol/firehol.conf
I tamo dodamo pravila koja možete koristiti estrade.
Nastavite aktivirati Firehol za svako pokretanje. Prilično jednostavno sa systemd-om.
sudo systemctl enable firehol
Pokrenuli smo Firehol.
sudo systemctl start firehol
Na kraju provjeravamo jesu li pravila iptables kreirana i učitana ispravno.
sudo iptables -L
Onemogućite IPv6
Kao što vatreni alkohol ne podnosi ip6tables a budući da većina naših veza nema podršku za IPv6, moja preporuka je da ga onemogućite.
En svod dodajemo ipv6.disable = 1 na liniju jezgra u datoteci / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Sada regenerišemo grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian dosta sa:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Ne razumijem. Slijedite li upute i već imate pokrenut zaštitni zid i blokirali sve veze? Još jedna stvar Tutorial za Arch je složen, na primjer, nikada nisam koristio sudo ili yaourt zaštitni zid. Međutim, to se razumije. Ili možda netko novi napiše vašu poruku i dobije grešku. Za Manjara je to ispravnije.
Kao što kažete @felipe, slijedeći uputstva i stavljajući u datoteku /etc/firehol/firehol.conf pravila koja je @stojka dao u pasti, već ćete imati jednostavni zaštitni zid koji štiti sistem na osnovnom nivou. Ova konfiguracija radi za bilo koji distro gdje možete staviti Firehol, s posebnošću svake distro distribucije koja svoje usluge obrađuje na različite načine (Debian putem sysvinit-a, Arch sa systemd-om), a što se tiče instalacije, svi znaju što imaju, u Arch-u morate koristite AUR i yaourt repoe, u Debianu su vam dovoljni službeni, pa tako i u mnogim drugima, morate samo malo potražiti u spremištima i prilagoditi instalacijsku naredbu.
Mislim da je Yukiteru već razjasnio vaše sumnje.
Sad, što se tiče sudo-a i yourta, sa svoje strane, ne smatram sudo problemom, samo morate vidjeti da dolazi po defaultu kada instalirate Archov osnovni sistem; a yaourt nije obavezan, možete preuzeti tarball, raspakirati ga i instalirati pomoću makepkg -si.
Hvala, primam na znanje.
Nešto što sam zaboravio dodati u post, ali ne mogu to urediti.
https://www.grc.com/x/ne.dll?bh0bkyd2
Na toj stranici možete testirati svoj zaštitni zid 😉 (hvala još jednom Yukiteru).
Provela sam te testove na svom Xubuntuu i sve je ispalo savršeno! Kakav užitak koristiti Linux !!! 😀
Sve je to vrlo dobro ... ali najvažnije nedostaje; Morate objasniti kako se pravila kreiraju !!, što ona znače, kako stvoriti nova ... Ako to nije objašnjeno, ono što stavite nema velike koristi: - /
Stvaranje novih pravila je jednostavno, firehol dokumentacija je jasna i vrlo precizna u smislu kreiranja prilagođenih pravila, tako da ćete je lako pročitati i prilagoditi svojim potrebama.
Mislim da je početni razlog postova @cookie poput mog na forumu bio pružiti korisnicima i čitateljima alat koji im omogućava da svojim računalima daju malo više sigurnosti, sve na osnovnom nivou. Ostalo je prepušteno vama da se prilagodite svojim potrebama.
Ako pročitate vezu do Yukiteru vodiča, shvatit ćete da je namjera objaviti aplikaciju i konfiguraciju osnovnog vatrozida. Pojasnio sam da je moj post samo kopija fokusirana na Archa.
A ovo je 'za ljude'? o_O
Isprobajte Gufwa na Archu: https://aur.archlinux.org/packages/gufw/ >> Kliknite na Status. Ili ufw ako više volite terminal: sudo ufw enable
Već ste zaštićeni ako ste normalan korisnik. To je "za ljude" 🙂
Firehol je zaista prednji kraj za IPTables i ako ga usporedimo s ovim posljednjim, sasvim je ljudski 😀
Ufw (Gufw je samo njegovo sučelje) smatram lošom opcijom u smislu sigurnosti. Razlog: za više sigurnosnih pravila koja sam napisao u ufw, nisam mogao spriječiti da se u testovima vatrozida, kako putem weba, tako i onih koje sam provodio pomoću nmap-a, usluge poput avahi-demona i exim4 čine otvorenima, a dovoljan je samo napad "stealth" da znam najmanje karakteristike mog sistema, kernela i usluga koje je pokrenuo, nešto što mi se nije dogodilo koristeći firehol ili arnoov zaštitni zid.
Pa, ne znam za vas, ali kao što sam gore napisao, koristim Xubuntu i moj zaštitni zid ide s GUFW-om te sam bez problema prošao SVE testove veze koju je autor stavio. Sav nevidljiv. Ništa otvoreno. Prema mom iskustvu, ufw (a samim tim i gufw) su mi odlični. Nisam kritičan prema korištenju drugih načina upravljanja vatrozidom, ali gufw radi besprijekorno i daje velike sigurnosne rezultate.
Ako imate bilo kakve testove za koje mislite da bi mogli stvoriti ranjivosti u mom sistemu, recite mi koje su i rado ću ih pokrenuti ovdje i obavijestiti vas o rezultatima.
Ispod komentarišem nešto na temu ufw, gdje kažem da sam pogrešku vidio 2008. godine, koristeći Ubuntu 8.04 Hardy Heron. Šta su već ispravili? Najvjerojatnije je da je to tako, pa nema razloga za brigu, ali čak i tako, to ne znači da je greška bila tu i mogao bih to dokazati, iako nije bilo loše umrijeti, samo sam prestao demoni avahi-demon i exim4, a problem je već riješen. Najčudnije od svega je što su problem imala samo ta dva procesa.
Činjenicu sam spomenuo kao ličnu anegdotu, a isto mišljenje dao sam i kada sam rekao: "Smatram ..."
Pozdrav 🙂
+1
@Yukiteru: Jeste li probali sa svog računara? Ako gledate sa svog računara, normalno je da možete pristupiti X servisnom portu, jer je blokirani promet mreža, a ne localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Ako nije, prijavite grešku 🙂
Pozdrav 🙂
S drugog računara koji koristi Lan mrežu u slučaju nmap-a i putem Interneta pomoću ove stranice https://www.grc.com/x/ne.dll?bh0bkyd2Koristeći opciju prilagođenih portova, složili su se da avahi i exim4 slušaju s mreže, iako je ufw konfigurirao njihovo blokiranje.
Taj mali detalj avahi-demona i exim4 sam riješio jednostavnim onemogućavanjem usluga i to je to ... Tada nisam prijavio grešku i mislim da nema smisla to činiti sada, jer je to bilo 2008. godine, koristeći Hardy.
2008. je bila prije 5 godina; od Hardy Heron do Raring Ringtail-a ima 10 * buntusa. Isti test na mom Xubuntuu, napravljen jučer i ponovljen danas (avgust 2013.) daje savršenstvo u svemu. I koristim samo UFW.
Ponavljam: Imate li kakve dodatne testove za obaviti? Sa zadovoljstvom to radim i prijavljujem šta proizilazi s ove strane.
Napravite SYN i IDLE skeniranje računara pomoću nmap-a, što će vam dati ideju o sigurnosti vašeg sistema.
Nmap man ima više od 3000 linija. Ako mi date naredbe za izvršavanje sa zadovoljstvom, ja ću to učiniti i izvijestit ću o rezultatu.
Hmm, nisam znao za 3000 man stranica za nmap. ali zenmap je pomoć u izvršavanju onoga što vam kažem, to je grafički front-end za nmap, ali još uvijek je opcija za SYN skeniranje s nmap -sS, dok je opcija za skeniranje u praznom hodu -sI, ali tačna naredba I bice.
Skenirajte s drugog računara ukazujući na ip vašeg računara s ubuntuom, nemojte to raditi sa svog računara, jer to ne funkcionira.
LOL!! Moja greška oko 3000 stranica, kada su to bili redovi 😛
Ne znam, ali mislim da bi GUI za to u GNU / Linuxu za upravljanje zaštitnim zidom bio nešto razborito i da se ne ostavi sve nepokriveno kao u ubuntuu ili sve pokriveno kao u Fedori, trebali biste biti dobri xD ili nešto slično konfigurirajte proklete alternative ubojici xD hjahjahjaja Malo je toga što se borim s njima i otvorenim jdk-om, ali na kraju morate zadržati i princip poljupca
Zahvaljujući svim kamencima spoticanja koji su se u prošlosti događali sa iptablesima, danas mogu razumjeti niverl raw, to jest, razgovarati s njim direktno kako dolazi iz tvornice.
I nije nešto toliko komplicirano, vrlo je lako naučiti.
Ako mi autor posta dozvoli, objavit ću odlomak skripte vatrozida koju trenutno koristim.
## Pravila za čišćenje
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Postavi zadanu politiku: DROP
iptables -P INPUT DROP
iptables -P IZLAZNI PAD
iptables -P NAPRIJED DROP
# Radite na localhostu bez ograničenja
iptables -A ULAZ -i lo -j PRIHVATI
iptables -A IZLAZ -o lo -j PRIHVATI
# Omogućite uređaju da ide na web
iptables -A INPUT -p tcp -m tcp –port 80 -m conntrack –ctstate POVEZANO, OSNOVANO -j PRIHVATI
iptables -A IZLAZ -p tcp -m tcp –port 80 -j PRIHVATI
# Već i za zaštitu web lokacija
iptables -A INPUT -p tcp -m tcp –port 443 -m conntrack –ctstate POVEZANO, OSNOVANO -j PRIHVATI
iptables -A IZLAZ -p tcp -m tcp –port 443 -j PRIHVATI
# Dopustite ping iznutra prema van
iptables -A IZLAZ -p icmp-emp-type -mpmp -j PRIHVATI
iptables -A ULAZ -p icmp-emp-type -mpmp tip -j PRIHVATI
# Zaštita za SSH
#iptables -I INPUT -p tcp -port 22 -m conntrack -ctstate NOVO -m limit -limit 30 / minute -limit-burst 5 -m comment -comment "SSH-kick" -j PRIHVATI
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefiks "SSH POKUŠAJ PRISTUPA:" - nivo 4
#iptables -A ULAZ -p tcp -m tcp –port 22 -j DROP
# Pravila za amule za omogućavanje odlaznih i dolaznih veza na portu
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NOVO -m komentar –komentar "aMule" -j PRIHVATI
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate POVEZANO, USTANOVLJENO -m komentar –komentar "aMule" -j PRIHVATI
iptables -A INPUT -p udp –dport 9995 -m komentar –komentar "aMule" -j PRIHVATI
iptables -A IZLAZ -p udp -port 9995 -j PRIHVATI
iptables -A ULAZ -p udp -port 16423 -j PRIHVATI
iptables -A IZLAZ -p udp -port 16423 -j PRIHVATI
Sad malo objašnjenja. Kao što vidite, standardno postoje pravila s DROP politikom, ništa ne izlazi i ne ulazi u tim, a da im to niste rekli.
Zatim se prenose osnove, localhost i navigacija mrežom mreža.
Vidite da postoje i pravila za ssh i amule. Ako dobro izgledaju kako im ide, mogu donijeti druga pravila koja žele.
Trik je vidjeti strukturu pravila i primijeniti se na određenu vrstu porta ili protokola, bilo da je to udp ili tcp.
Nadam se da možete razumjeti ovo što sam upravo objavio ovdje.
Trebali biste objaviti post u kojem bi to objasnili 😉 bilo bi sjajno.
Imam pitanje. U slučaju da želite odbiti http i https veze, stavio sam:
pad "http https" servera?
I tako dalje sa bilo kojom uslugom?
hvala