Ensinnäkin kaikki hyvitykset menevät @Yukiteruamano, koska tämä viesti perustuu oppitunti lähetit foorumille. Ero on siinä, että aion keskittyä Kaari, vaikka se todennäköisesti toimii muiden distrojen perusteella systemd.
Mikä on Firehol?
firehol, on pieni sovellus, joka auttaa meitä hallitsemaan ytimeen integroitua palomuuria ja sen työkalua iptables. Fireholilta puuttuu graafinen käyttöliittymä, kaikki määritykset on tehtävä tekstitiedostojen kautta, mutta tästä huolimatta kokoonpano on edelleen yksinkertainen aloitteleville käyttäjille tai tehokas niille, jotka etsivät lisäasetuksia. Kaikki mitä Firehol tekee, on yksinkertaistaa iptables-sääntöjen luomista mahdollisimman paljon ja mahdollistaa hyvä palomuuri järjestelmällemme.
Asennus ja konfigurointi
Firehol ei ole virallisissa Arch-arkistoissa, joten viittaamme siihen AUR.
yaourt -S firehol
Sitten siirrymme kokoonpanotiedostoon.
sudo nano /etc/firehol/firehol.conf
Ja lisäämme säännöt sinne, voit käyttää estas.
Aktivoi Firehol jokaisen käynnistyksen yhteydessä. Melko yksinkertainen systemd: n kanssa.
sudo systemctl enable firehol
Aloitimme Fireholin.
sudo systemctl start firehol
Lopuksi tarkistamme, että iptables-säännöt on luotu ja ladattu oikein.
sudo iptables -L
Poista IPv6 käytöstä
Koska firehol ei käsittele ip6taulukot ja koska useimmilla yhteyksillämme ei ole tukea IPv6, suosittelen poistamaan sen käytöstä.
En Kaari me lisäämme ipv6.disable = 1 ytimen riville / etc / default / grub-tiedostossa
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Nyt uudistamme grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian riittää seuraavien kanssa:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
En ymmärrä. Seuraatko opetusohjelmaa ja palomuuri on jo käynnissä ja estänyt kaikki yhteydet? Toinen asia Archin opetusohjelma on monimutkainen, esimerkiksi en ole koskaan käyttänyt sudo- tai yaourt-palomuuria. Se on kuitenkin ymmärretty. Tai ehkä joku uusi kirjoittaa yaourt ja saa virheen. Manjarolle se on oikeampi.
Kuten sanot @felipe, seuraamalla opetusohjelmaa ja laittamalla /etc/firehol/firehol.conf -tiedostoon @cookie -lehdessä annetut säännöt, sinulla on jo yksinkertainen palomuuri suojaamaan järjestelmää perustasolla. Tämä kokoonpano toimii jokaisessa jakelussa, johon voit laittaa Fireholin, ja jokaisen distriin erityispiirteet, jotka se hoitaa palvelujaan eri tavoin (Debian sysvinitin kautta, Arch järjestelmän systeemillä) ja asennuksen osalta kaikki tietävät, mitä heillä on, Archissa sinun on käytä AUR- ja yaourt-repoja, Debianissa riittää viralliset, joten monissa muissa sinun tarvitsee vain etsiä hieman arkistoista ja mukauttaa asennuskomento.
Luulen, että Yukiteru on jo selvittänyt epäilyt.
Nyt, sudosta ja yaourtista, omalta osaltani en pidä sudoa ongelmana, katso vain, että se tulee oletusarvoisesti, kun asennat Archin perusjärjestelmän; ja yaourt on valinnainen, voit ladata tarballin, purkaa sen ja asentaa sen makepkg -si: llä.
kiitos, panen merkille.
Jotain, jonka unohdin lisätä viestiin, mutta en voi muokata sitä.
https://www.grc.com/x/ne.dll?bh0bkyd2
Tällä sivustolla voit testata palomuurisi thanks (kiitos vielä kerran Yukiterulle).
Suoritin nämä testit Xubuntulla ja kaikki sujui täydellisesti! Mikä ilo käyttää Linuxia !!! 😀
Kaikki mikä on erittäin hyvää ... mutta tärkeintä puuttuu; Sinun on selitettävä, miten säännöt luodaan !!, mitä ne tarkoittavat, miten luoda uusia ... Jos sitä ei selitetä, käyttämästäsi on vähän hyötyä: - /
Uusien sääntöjen luominen on yksinkertaista, firehol-dokumentaatio on selkeä ja erittäin tarkka räätälöityjen sääntöjen luomisen kannalta, joten vähän lukemalla on helppo mukauttaa sitä ja mukauttaa tarpeisiisi.
Mielestäni foorumin kaltaisen @cookie -viestin alkuperäinen syy oli antaa käyttäjille ja lukijoille työkalu, jonka avulla he voivat antaa tietokoneilleen hieman enemmän turvallisuutta, kaikki perustasolla. Loput jäävät kulkemaan, jotta voit sopeutua tarpeisiisi.
Jos luet Yukiteru-opetusohjelman linkin, huomaat, että tarkoituksena on julkistaa sovellus ja peruspalurin kokoonpano. Selvitin, että postini oli vain Archiin keskittynyt kopio.
Ja tämä on "ihmisille"? o_O
Kokeile Gufwia Archissa: https://aur.archlinux.org/packages/gufw/ >> Napsauta Tila. Tai ufw, jos haluat päätteen: sudo ufw enable
Olet jo suojattu, jos olet normaali käyttäjä. Se on 'ihmisille' 🙂
Firehol on todella IPTable-käyttöliittymä, ja jos verrataan sitä jälkimmäiseen, se on melko inhimillinen 😀
Pidän ufw: tä (Gufw on vain sen käyttöliittymä) huonona vaihtoehtona turvallisuuden kannalta. Syy: Enemmän ufw: ssä kirjoittamiesi suojaussääntöjen suhteen en voinut välttää sitä, että palomuurini testeissä, sekä verkon kautta että nmapia käyttäen, avahi-daemon ja exim4: n kaltaiset palvelut näyttäisivät olevan avoimia ja vain "Stealth" -hyökkäys riitti tuntemaan järjestelmän, ytimen ja sen suorittamien palveluiden pienimmät ominaisuudet, mitä ei ole tapahtunut minulle fireholin tai Arnon palomuurin avulla.
No, en tiedä sinusta, mutta kuten kirjoitin yllä, käytän Xubuntua ja palomuurini menee GUFW: n kanssa ja läpäisin KAIKKI kirjoittajan tekemän linkin testit ilman ongelmia. Kaikki varkain. Mikään ei ole auki. Joten kokemukseni mukaan ufw (ja siksi gufw) ovat ne minulle hyviä. En ole kriittinen muiden palomuurien ohjaustilojen käytössä, mutta gufw toimii moitteettomasti ja antaa erinomaisia turvallisuustuloksia.
Jos sinulla on testejä, joiden uskot voivan heittää haavoittuvuuksia järjestelmääni, kerro minulle, mitä ne ovat, ja aion suorittaa ne mielelläni täällä ja kertoa sinulle tuloksista.
Seuraavassa kommentoin jotain ufw-aiheesta, jossa sanon, että virhe, jonka näin vuonna 2008, käyttäen Ubuntu 8.04 Hardy Heronia. Mitä he ovat jo korjanneet? Todennäköisin on, että se on niin, joten ei ole syytä huoleen, mutta silti se ei tarkoita, että vika oli siellä, ja voisin todistaa sen, vaikka kuolla ei ollut paha asia, lopetin vain demonit avahi-daemon ja exim4, ja jo ongelma on ratkaistu. Kaiken kummallisinta on, että vain näillä kahdella prosessilla oli ongelma.
Mainitsin tosiasian henkilökohtaisena anekdootina ja ajattelin samalla tavalla sanoessani: «Katson ...
Terveisiä 🙂
+1
@Yukiteru: Yrititkö sitä omalta tietokoneeltasi? Jos katsot tietokoneeltasi, on normaalia, että pääset palveluporttiin X, koska estetty liikenne on verkon, ei paikallisen isännän, liikenne:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Jos ei, ilmoita virheestä 🙂
Terveisiä 🙂
Toisesta tietokoneesta, joka käyttää Lan-verkkoa nmap: n tapauksessa, ja verkon kautta tällä sivulla https://www.grc.com/x/ne.dll?bh0bkyd2Mukautettujen porttien vaihtoehdon avulla he molemmat sopivat, että avahi ja exim4 kuuntelivat netistä, vaikka ufw: n esto oli määritetty.
Tuo pieni yksityiskohta avahi-daemonista ja exim4: stä ratkaisin sen yksinkertaisesti poistamalla palvelut käytöstä ja siinä kaikki ... En ilmoittanut virheestä tuolloin, ja mielestäni ei ole järkevää tehdä sitä nyt, koska se oli vuonna 2008 Hardyn avulla.
Vuosi 2008 oli viisi vuotta sitten; Hardy Heronista Raring Ringtailiin on 5 * buntus. Sama testi Xubuntussa, tehty eilen ja toistettu tänään (elokuussa 10), antaa täydellisen kaikessa. Ja käytän vain UFW: tä.
Toistan: Onko sinulla muita testejä suoritettavaksi? Mielelläni teen sen ja kerron, mitä tästä puolesta tulee.
Suorita tietokoneesi SYN- ja IDLE-skannaus nmap: n avulla, mikä antaa sinulle käsityksen järjestelmän turvallisuudesta.
Nmap-miehellä on yli 3000 viivaa. Jos annat minulle komennot, jotka suoritetaan mielelläni, teen sen ja ilmoitan tuloksesta.
Hmm, en tiennyt NMAP: n 3000 man-sivua. mutta zenmap on apu tehdä mitä sanon sinulle, se on graafinen käyttöliittymä nmap: lle, mutta silti vaihtoehto SYN-skannaukselle nmap: lla on -sS, kun taas joutokäynnin vaihtoehto on -sI, mutta tarkka komento I tulee olemaan.
Suorita skannaus toisesta koneesta, joka osoittaa koneesi ip: hen ubuntulla, älä tee sitä omalta tietokoneeltasi, koska se ei toimi näin.
LOL!! Virheeni noin 3000 sivua, kun ne olivat viivoja 😛
En tiedä, mutta luulen, että graafisen käyttöliittymän käyttö GNU: ssa / Linuxissa palomuurin hallitsemiseksi olisi jonkin verran varovainen eikä jätä kaikkea paljastamatonta kuten ubuntu tai kaikkea kuten fedora, sinun pitäisi olla hyvä xD tai jotain konfiguroitavaa pirun tappajavaihtoehdot xD hjahjahjaja Siinä on vähän mitä taistelen heidän kanssaan ja avoimen jdk: n kanssa, mutta loppujen lopuksi sinun on myös pidettävä kiinni suudelman periaatteesta
Kiitos kaikkien aikaisemmin iptablettien kanssa tapahtuneiden kompastusten ansiosta voin tänään ymmärtää niverlin raakana eli puhua suoraan hänelle tehtaalta.
Ja se ei ole jotain niin monimutkaista, se on erittäin helppo oppia.
Jos viestin kirjoittaja sallii minun, lähetän otteen tällä hetkellä käyttämästäni palomuuriohjelmasta.
## Säännöt siivous
iptables-F
iptables-X
iPtables -z
iptables -t nat -F
## Aseta oletuskäytäntö: DROP
iptables -P INPUT DROP
iptables -P TULOSTEN PUDOTUS
iptables -P Eteenpäin pudota
# Käytä paikallista palvelinta ilman rajoituksia
iptables -A SYÖTTÖ -i lo -j HYVÄKSY
iptables -A LÄHTÖ -o lo -j HYVÄKSY
# Anna koneen siirtyä verkkoon
iptables -A SYÖTTÖ -p tcp -m tcp –Sport 80 -m connecttrack –tila LIITTYVÄ, PERUSTETTU -j HYVÄKSY
iptables -A LÄHTÖ -p tcp -m tcp –portti 80 -j HYVÄKSY
# Jo myös verkkojen suojaamiseen
iptables -A SYÖTTÖ -p tcp -m tcp –Sport 443 -m connecttrack –tila LIITTYVÄ, PERUSTETTU -j HYVÄKSY
iptables -A LÄHTÖ -p tcp -m tcp –portti 443 -j HYVÄKSY
# Salli pingaaminen sisältä ulospäin
iptables -A LÄHTÖ -p icmp –icmp-tyyppinen kaiku-pyyntö -j HYVÄKSY
iptables -A SYÖTTÖ -p icmp –icmp-tyyppinen kaiku-vastaus -j HYVÄKSY
# SSH: n suojaus
#iptables -I INPUT -p tcp –portti 22 m: n kytkentärata –tila UUSI -m raja –raja 30 / minuutti –raja-purske 5 -m kommentti –kommentti "SSH-kick" -j HYVÄKSY
#iptables -A SYÖTTÖ -p tcp -m tcp –portti 22 -j LOG –log-etuliite "SSH ACCESS ATTEMPT:" –log-taso 4
#iptables -A SYÖTTÖ -p tcp -m tcp –tuki 22 -j DROP
# Säännöt amulelle lähtevien ja saapuvien yhteyksien sallimiseksi portissa
iptables -A SYÖTTÖ -p tcp -m tcp –port 16420 -m conntrack –tila UUSI -m kommentti –kommentti "aMule" -j HYVÄKSY
iptables -A LÄHTÖ -p tcp -m tcp –sport 16420 -m conntrack –tila LIITTYVÄ, ASETETTU -m kommentti –kommentti "aMule" -j HYVÄKSY
iptables -A SYÖTTÖ -p udp –portti 9995 -m kommentti –kommentti "aMule" -j HYVÄKSY
iptables -A LÄHTÖ -p udp –sport 9995 -j HYVÄKSY
iptable -A INPUT -p udp –dport 16423 -j ACCEPT
iptables -A LÄHTÖ -p udp –sport 16423 -j HYVÄKSY
Nyt pieni selitys. Kuten näette, on sääntöjä, joilla on oletettu DROP-käytäntö, mikään ei lähde ja mene joukkueeseen kertomatta heille.
Sitten perusasiat välitetään, paikallinen isäntä ja navigointi verkkojen verkkoon.
Voit nähdä, että ssh: lle ja amulelle on myös sääntöjä. Jos he näyttävät hyvältä, kuinka heidät tehdään, he voivat tehdä muut haluamansa säännöt.
Temppu on nähdä sääntöjen rakenne ja soveltaa niitä tietyntyyppiseen porttiin tai protokollaan, olipa se sitten udp tai TCP.
Toivon, että ymmärrät tämän, jonka lähetin juuri tänne.
Sinun tulisi tehdä viesti selittämällä se olisi hienoa.
Minulla on kysymys. Jos haluat hylätä http- ja https-yhteydet, laitan:
palvelimen "http https" pudotus?
Ja niin missä tahansa palvelussa?
kiitos