Πρώτα απ 'όλα, όλες οι μονάδες πηγαίνουν @YukiteruAmano, επειδή αυτή η ανάρτηση βασίζεται στο φροντιστήριο δημοσιεύσατε στο φόρουμ. Η διαφορά είναι ότι θα επικεντρωθώ αψίδα, αν και πιθανότατα θα λειτουργήσει για άλλες διανομές με βάση systemd.
Τι είναι το Firehol;
firehol, είναι μια μικρή εφαρμογή που μας βοηθά να διαχειριστούμε το τείχος προστασίας που είναι ενσωματωμένο στον πυρήνα και το εργαλείο του iptables. Το Firehol, δεν διαθέτει γραφική διεπαφή, όλες οι ρυθμίσεις πρέπει να γίνουν μέσω αρχείων κειμένου, αλλά παρόλα αυτά, η διαμόρφωση είναι ακόμα απλή για αρχάριους χρήστες ή ισχυρή για όσους αναζητούν προηγμένες επιλογές. Το μόνο που κάνει το Firehol είναι να απλοποιήσει όσο το δυνατόν περισσότερο τη δημιουργία κανόνων iptables και να επιτρέψει ένα καλό τείχος προστασίας για το σύστημά μας.
Εγκατάσταση και διαμόρφωση
Το Firehol δεν βρίσκεται στα επίσημα αποθετήρια Arch, επομένως θα αναφερθούμε AUR.
yaourt -S firehol
Στη συνέχεια πηγαίνουμε στο αρχείο διαμόρφωσης.
sudo nano /etc/firehol/firehol.conf
Και προσθέτουμε τους κανόνες εκεί, μπορείτε να χρησιμοποιήσετε αυτοί.
Συνεχίστε να ενεργοποιείτε το Firehol για κάθε εκκίνηση. Πολύ απλό με το systemd.
sudo systemctl enable firehol
Ξεκινήσαμε το Firehol.
sudo systemctl start firehol
Τέλος, επαληθεύουμε ότι οι κανόνες iptables έχουν δημιουργηθεί και φορτωθεί σωστά.
sudo iptables -L
Απενεργοποίηση IPv6
Όπως το firehol δεν χειρίζεται ip6 πίνακες και επειδή οι περισσότερες από τις συνδέσεις μας δεν έχουν υποστήριξη IPv6, η πρότασή μου είναι να την απενεργοποιήσετε.
En αψίδα προσθέτουμε ipv6.disable = 1 στη γραμμή του πυρήνα στο αρχείο / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Τώρα αναγεννάμε το grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian αρκετά με:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Δεν καταλαβαίνω. Ακολουθείτε το σεμινάριο και έχετε ήδη τρέξει το Τείχος προστασίας και έχετε αποκλείσει όλες τις συνδέσεις; Ένα άλλο πράγμα Ένα σεμινάριο για το Arch είναι περίπλοκο, για παράδειγμα, δεν έχω χρησιμοποιήσει ποτέ sudo ή yaourt Firewall. Ωστόσο, είναι κατανοητό. Ή ίσως κάποιος νέος γράφει το yaourt και θα λάβει λάθος. Για το Manjaro είναι πιο σωστό.
Όπως λέτε @felipe, ακολουθώντας το σεμινάριο και τοποθετώντας στο αρχείο /etc/firehol/firehol.conf τους κανόνες που δίνονται από το @cookie στην επικόλληση, θα έχετε ήδη ένα απλό τείχος προστασίας για την προστασία του συστήματος σε βασικό επίπεδο. Αυτή η διαμόρφωση λειτουργεί για οποιαδήποτε διανομή όπου μπορείτε να βάλετε το Firehol, με την ιδιαιτερότητα κάθε διανομής να χειρίζεται τις υπηρεσίες του με διαφορετικούς τρόπους (Debian μέσω sysvinit, Arch with systemd) και για την εγκατάσταση, όλοι γνωρίζουν τι έχουν, στο Arch πρέπει να χρησιμοποιήστε τα AUR και yaourt repos, στο Debian τα επίσημα είναι αρκετά και έτσι σε πολλούς άλλους, απλά πρέπει να ψάξετε λίγο στα αποθετήρια και να προσαρμόσετε την εντολή εγκατάστασης.
Πιστεύω ότι ο Yukiteru έχει ήδη ξεκαθαρίσει τις αμφιβολίες σας.
Τώρα, σχετικά με το sudo και το yaourt, από την πλευρά μου, δεν θεωρώ το sudo πρόβλημα, απλώς δείτε ότι έρχεται από προεπιλογή όταν εγκαθιστάτε το βασικό σύστημα Arch. και το yaourt είναι προαιρετικό, μπορείτε να κατεβάσετε το tarball, να το αποσυμπιέσετε και να το εγκαταστήσετε με το makepkg -si.
ευχαριστώ, σημειώνω.
Κάτι που ξέχασα να προσθέσω στην ανάρτηση, αλλά δεν μπορώ να το επεξεργαστώ.
https://www.grc.com/x/ne.dll?bh0bkyd2
Σε αυτόν τον ιστότοπο μπορείτε να δοκιμάσετε το τείχος προστασίας σας 😉 (ευχαριστώ και πάλι στο Yukiteru).
Έκανα αυτές τις δοκιμές στο Xubuntu μου και όλα βγήκαν τέλεια! Τι χαρά να χρησιμοποιήσω το Linux !!! 😀
Όλα αυτά είναι πολύ καλά ... αλλά το πιο σημαντικό πράγμα λείπει. Πρέπει να εξηγήσετε πώς δημιουργούνται οι κανόνες !!, τι σημαίνουν, πώς να δημιουργήσετε νέους ... Εάν αυτό δεν εξηγηθεί, αυτό που βάζετε είναι ελάχιστο χρήσιμο: - /
Η δημιουργία νέων κανόνων είναι απλή, η τεκμηρίωση του firehol είναι σαφής και πολύ ακριβής όσον αφορά τη δημιουργία προσαρμοσμένων κανόνων, οπότε η ανάγνωση λίγο θα σας διευκολύνει να το προσαρμόσετε και να το προσαρμόσετε στις ανάγκες σας.
Πιστεύω ότι ο αρχικός λόγος για την ανάρτηση @cookie όπως η δική μου στο φόρουμ, ήταν να δώσουμε στους χρήστες και στους αναγνώστες ένα εργαλείο που τους επιτρέπει να παρέχουν στους υπολογιστές τους λίγο περισσότερη ασφάλεια, όλα σε βασικό επίπεδο. Τα υπόλοιπα αφήνονται στην άκρη για να προσαρμοστούν στις ανάγκες σας.
Εάν διαβάσετε τον σύνδεσμο για το φροντιστήριο Yukiteru, θα συνειδητοποιήσετε ότι η πρόθεση είναι να δημοσιεύσετε την εφαρμογή και τη διαμόρφωση ενός βασικού τείχους προστασίας. Διευκρίνισα ότι η ανάρτησή μου ήταν μόνο ένα αντίγραφο που επικεντρώθηκε στο Arch
Και αυτό είναι «για τους ανθρώπους»; ο_Ο
Δοκιμάστε το Gufw στο Arch: https://aur.archlinux.org/packages/gufw/ >> Κάντε κλικ στο Status. Ή ufw εάν προτιμάτε το τερματικό: sudo ufw ενεργοποιήστε
Είστε ήδη προστατευμένοι εάν είστε φυσιολογικός χρήστης. Αυτό είναι «για τους ανθρώπους» 🙂
Το Firehol είναι πραγματικά ένα Front-End για IPTables και αν το συγκρίνουμε με το τελευταίο, είναι πολύ ανθρώπινο 😀
Θεωρώ ότι το ufw (το Gufw είναι απλώς μια διεπαφή) ως κακή επιλογή όσον αφορά την ασφάλεια. Λόγος: για περισσότερους κανόνες ασφαλείας που έγραψα στο ufw, δεν θα μπορούσα να το αποτρέψω στις δοκιμές του τείχους προστασίας μου τόσο μέσω του Διαδικτύου όσο και εκείνων που πραγματοποίησα χρησιμοποιώντας το nmap, υπηρεσίες όπως το avahi-daemon και το exim4 θα φαινόταν ανοιχτές και αρκεί μόνο μια επίθεση "stealth" να γνωρίζω τα μικρότερα χαρακτηριστικά του συστήματος, του πυρήνα και των υπηρεσιών που έτρεξε, κάτι που δεν μου συνέβη χρησιμοποιώντας το firehol ή το τείχος προστασίας του arno.
Λοιπόν, δεν ξέρω για εσάς, αλλά όπως έγραψα παραπάνω, χρησιμοποιώ το Xubuntu και το τείχος προστασίας μου ταιριάζει με το GUFW και πέρασα ΟΛΕΣ τις δοκιμές του συνδέσμου που έθεσε ο συγγραφέας χωρίς προβλήματα. Όλα μυστικά. Τίποτα ανοιχτό. Έτσι, κατά την εμπειρία μου ufw (και επομένως gufw) είναι υπέροχα για μένα. Δεν έχω κριτική για τη χρήση άλλων τρόπων ελέγχου τείχους προστασίας, αλλά το gufw λειτουργεί άψογα και δίνει εξαιρετικά αποτελέσματα ασφαλείας.
Εάν έχετε οποιεσδήποτε δοκιμές που πιστεύετε ότι ενδέχεται να προκαλέσουν ευπάθειες στο σύστημά μου, πείτε μου τι είναι και θα τους εκτελέσω με χαρά εδώ και θα σας ενημερώσω για τα αποτελέσματα.
Παρακάτω σχολιάστε κάτι για το θέμα του ufw, όπου λέω ότι το σφάλμα που είδα το 2008, χρησιμοποιώντας το Ubuntu 8.04 Hardy Heron. Τι έχουν ήδη διορθώσει; Το πιο πιθανό είναι ότι είναι έτσι, οπότε δεν υπάρχει λόγος να ανησυχείτε, αλλά παρόλα αυτά, αυτό δεν σημαίνει ότι το σφάλμα ήταν εκεί και θα μπορούσα να το αποδείξω, αν και δεν ήταν κακό να πεθάνω, σταμάτησα μόνο οι δαίμονες avahi-daemon και exim4, και έχουν ήδη λυθεί το πρόβλημα. Το πιο περίεργο είναι ότι μόνο οι δύο αυτές διαδικασίες είχαν το πρόβλημα.
Ανέφερα το γεγονός ως προσωπικό ανέκδοτο και σκέφτηκα με τον ίδιο τρόπο όταν είπα: «Θεωρώ ...»
Χαιρετισμούς 🙂
+1
@Yukiteru: Το δοκιμάσατε από τον υπολογιστή σας; Εάν αναζητάτε από τον υπολογιστή σας, είναι φυσιολογικό να έχετε πρόσβαση στη θύρα εξυπηρέτησης X, καθώς η κυκλοφορία που έχει αποκλειστεί είναι αυτή του δικτύου, όχι τοπική φιλοξενία:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Εάν όχι, αναφέρετε ένα σφάλμα 🙂
Χαιρετισμοί 🙂
Από άλλον υπολογιστή που χρησιμοποιεί δίκτυο Lan στην περίπτωση του nmap και μέσω του Διαδικτύου χρησιμοποιώντας αυτήν τη σελίδα https://www.grc.com/x/ne.dll?bh0bkyd2Χρησιμοποιώντας την επιλογή προσαρμοσμένων θυρών, και οι δύο συμφώνησαν ότι το avahi και το exim4 ακούνε από το δίκτυο παρόλο που το ufw είχε ρυθμίσει το μπλοκάρισμα.
Αυτή η μικρή λεπτομέρεια του avahi-daemon και του exim4 το έλυσα απλώς απενεργοποιώντας τις υπηρεσίες και αυτό είναι ... Δεν ανέφερα σφάλμα εκείνη τη στιγμή, και νομίζω ότι δεν έχει νόημα να το κάνω τώρα, επειδή ήταν το 2008, χρησιμοποιώντας τον Hardy.
Το 2008 ήταν πριν από 5 χρόνια. από το Hardy Heron έως το Raring Ringtail υπάρχουν 10 * buntus. Το ίδιο τεστ στο Xubuntu μου, που έγινε χθες και επαναλήφθηκε σήμερα (Αύγουστος 2013) δίνει τέλεια σε όλα. Και χρησιμοποιώ μόνο UFW.
Επαναλαμβάνω: Έχετε επιπλέον δοκιμές για εκτέλεση; Με χαρά το κάνω και αναφέρω τι βγαίνει από αυτήν την πλευρά.
Κάντε σάρωση SYN και IDLE του υπολογιστή σας χρησιμοποιώντας το nmap, που θα σας δώσει μια ιδέα για το πόσο ασφαλές είναι το σύστημά σας.
Ο άνθρωπος nmap έχει περισσότερες από 3000 γραμμές. Εάν μου δώσετε τις εντολές για εκτέλεση με ευχαρίστηση, θα το κάνω και θα αναφέρω το αποτέλεσμα.
Χμμ δεν ήξερα για τις 3000 σελίδες για το nmap. αλλά το zenmap είναι μια βοήθεια για να κάνω αυτό που σας λέω, είναι ένα γραφικό front-end για το nmap, αλλά εξακολουθεί να είναι η επιλογή για σάρωση SYN με nmap είναι -sS, ενώ η επιλογή για ανενεργή σάρωση είναι -sI, αλλά η ακριβής εντολή I θα είναι.
Κάντε τη σάρωση από άλλο μηχάνημα που δείχνει το ip του μηχανήματός σας με το Ubuntu, μην το κάνετε από το δικό σας υπολογιστή, γιατί έτσι δεν λειτουργεί.
ΧΑΧΑΧΑ!! Το λάθος μου περίπου 3000 σελίδες, όταν ήταν γραμμές 😛
Δεν ξέρω, αλλά νομίζω ότι ένα GUI για αυτό στο GNU / Linux για τη διαχείριση του τείχους προστασίας θα ήταν κάπως συνετό και δεν θα άφηνε τα πάντα ακάλυπτα όπως στο Ubuntu ή σε ό, τι καλύπτεται όπως στο Fedora, θα πρέπει να είστε καλός xD ή κάτι για να ρυθμίσετε οι εναλλακτικές λύσεις δολοφόνου xD hjahjahjaja Έχει ελάχιστα ότι παλεύω μαζί τους και το ανοιχτό jdk, αλλά στο τέλος πρέπει επίσης να διατηρήσετε την αρχή του φιλιού
Χάρη σε όλα τα εμπόδια που συνέβησαν στο παρελθόν με iptables, σήμερα μπορώ να καταλάβω το niverl raw, δηλαδή να του μιλήσω απευθείας καθώς προέρχεται από το εργοστάσιο.
Και δεν είναι κάτι πολύπλοκο, είναι πολύ εύκολο να το μάθεις.
Εάν το επιτρέπει ο συντάκτης της ανάρτησης, θα δημοσιεύσω ένα απόσπασμα του σεναρίου τείχους προστασίας που χρησιμοποιώ αυτήν τη στιγμή.
## Κανόνες καθαρισμού
iptables-F
iptables-X
iptables -Z
iptables -t nat -F
## Ορισμός προεπιλεγμένης πολιτικής: DROP
iptables -P INPUT DROP
iptables -P DROP ΕΞΟΔΟΥ
iptables -P ΜΠΡΟΣΤΑ ΠΤΩΣΗ
# Λειτουργήστε στο localhost χωρίς περιορισμούς
iptables -A ΕΙΣΟΔΟΣ -i lo -j ΑΠΟΛΑΥΣΤΕ
iptables - ΑΠΟΤΕΛΕΣΜΑ -o lo -j ΑΠΟΔΟΧΗ
# Αφήστε το μηχάνημα να μεταβεί στον Ιστό
iptables -A INPUT -p tcp -m tcp -sport 80 -m conntrack -state
iptables -A OUTPUT -p tcp -m tcp –dport 80 -j ΑΠΟΔΟΧΗ
# Ήδη έχετε επίσης ασφαλή ιστότοπους
iptables -A INPUT -p tcp -m tcp -sport 443 -m conntrack -state
iptables -A OUTPUT -p tcp -m tcp –dport 443 -j ΑΠΟΔΟΧΗ
# Αφήστε το ping από μέσα προς τα έξω
iptables -A OUTPUT -p icmp –icmp-echo-request -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ΑΠΟΔΟΧΗ
# Προστασία για SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack -ctstate NEW -m όριο -limit 30 / minute -limit-burst 5 -m comment -comment "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
#iptables - ΕΙΣΟΔΟΣ -p tcp -m tcp -dport 22 -j DROP
# Κανόνες για το amule που επιτρέπουν εξερχόμενες και εισερχόμενες συνδέσεις στη θύρα
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate ΝΕΟ -m σχόλιο- σχόλιο "aMule" -j ΑΠΟΔΟΧΗ
iptables -A OUTPUT -p tcp -m tcp -sport 16420 -m conntrack -ststate ΣΧΕΤΙΖΕΤΑΙ, ΕΓΚΑΤΑΣΤΑΣΗ -μ σχόλιο- σχόλιο "aMule" -j ACCEPT
iptables -A INPUT -p udp –dport 9995 -m σχόλιο- σχόλιο "aMule" -j ACCEPT
iptables -A OUTPUT -p udp –sport 9995 -j ΑΠΟΔΟΧΗ
iptables -A INPUT -p udp –dport 16423 -j ΑΠΟΔΟΧΗ
iptables -A OUTPUT -p udp –sport 16423 -j ΑΠΟΔΟΧΗ
Τώρα μια μικρή εξήγηση. Όπως μπορείτε να δείτε, υπάρχουν οι κανόνες με την πολιτική DROP από προεπιλογή, τίποτα δεν φεύγει και μπαίνει στην ομάδα χωρίς να τους το πείτε.
Στη συνέχεια, μεταβιβάζονται τα βασικά, το localhost και η πλοήγηση στο δίκτυο των δικτύων.
Μπορείτε να δείτε ότι υπάρχουν επίσης κανόνες για το ssh και το amule. Εάν φαίνονται καλά πώς γίνονται, μπορούν να κάνουν τους άλλους κανόνες που θέλουν.
Το κόλπο είναι να δείτε τη δομή των κανόνων και να εφαρμόσετε σε έναν συγκεκριμένο τύπο θύρας ή πρωτοκόλλου, είτε είναι udp είτε tcp.
Ελπίζω να καταλάβετε αυτό που μόλις δημοσίευσα εδώ.
Θα πρέπει να κάνετε μια ανάρτηση που να το εξηγεί 😉 θα ήταν υπέροχο.
Εχω μία ερώτηση. Σε περίπτωση που θέλετε να απορρίψετε συνδέσεις http και https, έβαλα:
διακομιστή "http https" πτώση;
Και ούτω καθεξής με οποιαδήποτε υπηρεσία;
Ευχαριστίες