Visų pirma, visi kreditai skiriami @YukiteruAmano, nes šis įrašas pagrįstas vadovėlis paskelbėte forume. Skirtumas tas, kad ketinu sutelkti dėmesį Arka, nors tai greičiausiai tiks ir kitiems „distros“ systemd.
Kas yra „Firehol“?
„Firehol“, yra maža programa, kuri padeda mums valdyti užkardą, integruotą į branduolį, ir jo įrankį iptables. „Firehol“ trūksta grafinės sąsajos, visa konfigūracija turi būti atliekama per tekstinius failus, tačiau nepaisant to, konfigūracija vis dar paprasta pradedantiesiems vartotojams arba galinga tiems, kurie ieško išplėstinių parinkčių. Viskas, ką „Firehol“ daro, yra kiek įmanoma supaprastinti „iptables“ taisyklių kūrimą ir įgalinti gerą sistemos užkardą.
Diegimas ir konfigūravimas
„Firehol“ nėra oficialiose „Arch“ saugyklose, todėl mes nurodysime AUR.
yaourt -S firehol
Tada mes einame į konfigūracijos failą.
sudo nano /etc/firehol/firehol.conf
Ir mes ten pridedame taisykles, kurias galite naudoti tu esi.
Kiekvieno paleidimo metu aktyvuokite „Firehol“. Gana paprasta su systemd.
sudo systemctl enable firehol
Mes pradėjome „Firehol“.
sudo systemctl start firehol
Galiausiai patikriname, ar „iptables“ taisyklės buvo sukurtos ir tinkamai įkeltos.
sudo iptables -L
Išjunkite „IPv6“
Kaip firehol netvarko „ip6tables“ ir kadangi dauguma mūsų ryšių neturi palaikymo IPv6, mano rekomendacija yra jį išjungti.
En Arka pridedame ipv6.išjungti = 1 į branduolio eilutę faile / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Dabar mes atkuriame grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En debian pakanka su:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
As nesuprantu. Ar laikotės mokymo programos ir jau veikia užkarda ir užblokavote visus ryšius? Kitas dalykas „Arch“ mokymo programa yra sudėtinga, pavyzdžiui, aš niekada nenaudojau „sudo“ ar „yaourt“ užkardos. Tačiau tai suprantama. O gal kažkas naujas rašo yaourt ir gaus klaidą. Manjaro tai teisingiau.
Kaip sakote @felipe, vadovaudamiesi pamoka ir įdėdami /etc/firehol/firehol.conf failą į taisykles, kurias pateikė @cookie pastoje, jau turėsite paprastą užkardą, kad apsaugotumėte sistemą pagrindiniu lygiu. Ši konfigūracija tinka bet kuriai distribucijai, kur galite įdėti „Firehol“, kiekvienos distribucijos ypatumu, ji įvairiai tvarko savo paslaugas („Debian“ per „sysvinit“, „Arch“ su „systemd“). naudokite AUR ir yaourt repos, „Debian“ pakanka oficialių, taigi daugelyje kitų jums tereikia šiek tiek ieškoti saugyklose ir pritaikyti diegimo komandą.
Manau, kad „Jukiteru“ jau išaiškino jūsų abejones.
Kalbant apie sudo ir yaourt, aš savo ruožtu nemanau, kad sudo yra problema, tiesiog pažiūrėkite, kad jis yra numatytasis, kai įdiegiate „Arch“ pagrindinę sistemą; o yaourt yra neprivaloma, galite atsisiųsti tarball, išpakuoti ir įdiegti naudodami makepkg -si.
ačiū, atkreipiu dėmesį.
Kažkas, ką pamiršau pridėti prie įrašo, bet negaliu jo redaguoti.
https://www.grc.com/x/ne.dll?bh0bkyd2
Toje svetainėje galite išbandyti ugniasienę 😉 (dar kartą dėkoju „Jukiteru“).
Atlikau tuos bandymus naudodamas „Xubuntu“ ir viskas pasirodė puikiai! Koks malonumas naudoti „Linux“ !!! 😀
Visa tai yra labai gerai ... bet trūksta svarbiausio dalyko; Turite paaiškinti, kaip kuriamos taisyklės !!, ką jos reiškia, kaip kurti naujas ... Jei tai nepaaiškinta, tai, ką įdėjote, mažai naudinga: - /
Naujų taisyklių kūrimas yra paprastas, „firehol“ dokumentai yra aiškūs ir labai tikslūs kuriant pasirinktines taisykles, todėl šiek tiek perskaitę galėsite lengvai pritaikyti ir pritaikyti savo poreikiams.
Manau, kad pirminė „@cookie“ žinutės, tokios kaip aš, forume priežastis buvo suteikti vartotojams ir skaitytojams įrankį, kuris leidžia jiems suteikti savo kompiuteriams šiek tiek daugiau saugumo, visa tai pagrindiniu lygiu. Likusi dalis lieka jums pritaikyta jūsų poreikiams.
Perskaitę nuorodą į „Yukiteru“ mokymo programą suprasite, kad ketinama viešinti programą ir pagrindinės užkardos konfigūraciją. Aš paaiškinau, kad mano įrašas buvo tik kopija, orientuota į Arch.
O tai „žmonėms“? o_O
Išbandykite „Gufw on Arch“: https://aur.archlinux.org/packages/gufw/ >> Spustelėkite Būsena. Arba ufw, jei norite terminalo: sudo ufw enable
Jūs jau esate apsaugotas, jei esate įprastas vartotojas. Tai „žmonėms“ 🙂
„Firehol“ tikrai yra „IPTables“ sąsaja ir, jei palyginsime su pastarosiomis, tai gana žmogiška 😀
Aš laikau „ufw“ („Gufw“ yra tik jo sąsaja) kaip blogą variantą saugumo požiūriu. Priežastis: norėdamas gauti daugiau saugumo taisyklių, kurias parašiau „ufw“, negalėjau išvengti, kad testuodamas savo užkardą, tiek per internetą, tiek vykdydamas naudojant „nmap“, tokios paslaugos kaip „avahi-daemon“ ir „exim4“ pasirodys atviros ir pakako tik „slaptos“ atakos žinoti mažiausias mano sistemos, branduolio ir jos vykdomų paslaugų savybes, kas man nenutiko naudojant firehol ar arno užkardą.
Na, aš nežinau apie tave, bet, kaip rašiau aukščiau, aš naudoju „Xubuntu“, o mano užkarda eina su GUFW ir aš išlaikiau VISUS nuorodos testus, kuriuos autorius įdėjo be problemų. Visi slaptas. Niekas atviras. Taigi, iš mano patirties ufw (taigi ir gufw) jie man yra puikūs. Aš nekritikuoju kitų ugniasienės valdymo režimų naudojimo, tačiau „gufw“ veikia nepriekaištingai ir suteikia puikių saugumo rezultatų.
Jei turite keletą bandymų, kurie, jūsų manymu, gali sukelti pažeidžiamumą mano sistemoje, pasakykite man, kokie jie yra, ir aš mielai juos vykdysiu čia ir pranešiu jums rezultatus.
Žemiau pakomentuoju ką nors apie „ufw“ temą, kur sakau, kad klaida, kurią mačiau 2008 m., Naudojant „Ubuntu 8.04 Hardy Heron“. Ką jie jau ištaisė? Labiausiai tikėtina, kad taip yra, todėl nėra pagrindo jaudintis, tačiau net ir tai nereiškia, kad klaida buvo ir aš galėjau tai įrodyti, nors mirti nebuvo blogas dalykas, aš sustabdžiau tik demonus avahi-daemon ir exim4, ir jau problema išspręsta. Keisčiausia iš visų tai, kad problemą turėjo tik tie du procesai.
Aš paminėjau faktą kaip asmeninį anekdotą ir pasakiau tą pačią nuomonę sakydamas: "Aš manau ..."
Sveikinimai 🙂
+1
@Yukiteru: Ar bandėte tai iš savo kompiuterio? Jei žiūrite iš savo kompiuterio, normalu, kad galite pasiekti „X“ paslaugų prievadą, nes blokuojamas srautas yra tinklo, o ne „localhost“:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Jei ne, praneškite apie klaidą 🙂
Sveikinimai 🙂
Iš kito kompiuterio, naudojant „Lan“ tinklą, jei naudojamas „nmap“, ir per internetą, naudojant šį puslapį https://www.grc.com/x/ne.dll?bh0bkyd2Naudodamiesi pasirinktinių prievadų parinktimi, abu sutiko, kad „avahi“ ir „exim4“ klausosi iš interneto, net jei „ufw“ buvo sukonfigūruotas jų blokavimas.
Aš išsprendžiau tą mažą „avahi-daemon“ ir „exim4“ detalę paprasčiausiai išjungdamas paslaugas ir viskas. Tada aš nepranešiau apie klaidą ir manau, kad nėra prasmės to daryti dabar, nes tai buvo dar 2008 m., Naudojant „Hardy“.
2008 m. Buvo prieš 5 metus; nuo Hardy Heron iki Raring Ringtail yra 10 * buntus. Tas pats mano „Xubuntu“ testas, atliktas vakar ir pakartotas šiandien (2013 m. Rugpjūčio mėn.), Suteikia viskam tobulą. Ir aš naudoju tik UFW.
Aš kartoju: ar turite atlikti papildomus bandymus? Su malonumu tai darau ir pranešu, kas išeina iš šios pusės.
Atlikite kompiuterio SYN ir IDLE nuskaitymą naudodami „nmap“, kuris suteiks jums supratimą apie jūsų sistemos saugumą.
„NMAP“ žmogus turi daugiau nei 3000 eilučių. Jei duosite komandas su malonumu vykdyti, aš tai padarysiu ir pranešiu apie rezultatą
Hmm, aš nežinojau apie 3000 žmogaus puslapių, skirtų nmap. bet „zenmap“ yra naudinga norint padaryti tai, ką jums sakau, tai yra grafinė „nmap“ sąsaja, tačiau vis tiek SYN nuskaitymo naudojant nmap parinktis yra -sS, o tuščiosios eigos nuskaitymo parinktis yra -sI, bet tiksli komanda Aš būsiu.
Nuskaitykite iš kitos mašinos nukreipdami į savo kompiuterio ip su „ubuntu“, nedarykite to iš savo kompiuterio, nes tai ne taip.
DAUG JUOKO!! Mano klaida apie 3000 puslapių, kai jie buvo eilutės 😛
Aš nežinau, bet manau, kad GNU / Linux GUI valdyti užkardą būtų šiek tiek apdairus ir nepaliktų visko neuždengto, kaip „ubuntu“, ar visko, kas padengta kaip „fedora“. Tai mažai ką aš kovoju su jais ir atviru jdk, bet galų gale jūs taip pat turite laikytis bučinio principo
Dėka visų suklupimų, įvykusių praeityje su „iptables“, šiandien aš galiu suprasti „niverl raw“, tai yra, tiesiogiai kalbėti su juo, nes jis ateina iš gamyklos.
Tai nėra taip sudėtinga, labai lengva išmokti.
Jei įrašo autorius man leis, paskelbsiu šiuo metu naudojamo užkardos scenarijaus ištrauką.
## Taisyklių valymas
iptables-F
iptables-X
„iptables“ -Z
„iptables -t nat -F“
## Nustatyti numatytąją politiką: DROP
„iptables“ -P INPUT DROP
„iptables“ - P IŠĖJIMO NUŠK
„iptables“ -P FORWARD DROP
# Veikite „localhost“ be apribojimų
„iptables“ -A INPUT -i lo -j PRIIMTI
iptables -A IŠĖJIMAS -o lo -j PRIIMTI
# Leiskite mašinai eiti į internetą
„iptables“ -A INPUT -p tcp -m tcp –sporto 80 -m jungiamoji juosta –cstate SUSIJ,, ĮSTATYTA -j PRIIMTI
iptables -A IŠĖJIMAS -p tcp -m tcp –portas 80 -j PRIIMTI
# Jau taip pat apsaugoti žiniatinklius
„iptables“ -A INPUT -p tcp -m tcp –sporto 443 -m jungiamoji juosta –cstate SUSIJ,, ĮSTATYTA -j PRIIMTI
iptables -A IŠĖJIMAS -p tcp -m tcp –portas 443 -j PRIIMTI
# Leiskite pinguoti iš vidaus
iptables -A IŠĖJIMAS -p icmp –icmp tipo echo-request -j ACCEPT
„iptables“ -A INPUT -p icmp –icmp tipo aidas-atsakymas -j ACCEPT
# SSH apsauga
#iptables -I INPUT -p tcp –port 22 -m conntrack –ctstate NEW -m limit –limit 30 / minute –limit-burst 5 -m comment - komentaras „SSH-kick“ -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –port 22 -j LOG –log-prefix „SSH ACCESS ATTEMPT:“ –log 4 lygis
#iptables -A ĮVADAS -p tcp -m tcp –dport 22 -j DROP
# Amule taisyklės, leidžiančios išeinantiems ir gaunamiems ryšiams uoste
„iptables“ -A ĮVADAS -p tcp -m tcp –port 16420 -m jungiamoji juosta –aktinė NAUJIENA -m komentaras –komentaras „aMule“ -j PRIIMTI
iptables -A IŠĖJIMAS -p tcp -m tcp –sport 16420 -m conntrack –ctstate SUSIJ,, ĮSTATYTA -m komentaras –komentaras „aMule“ -j PRIIMTI
„iptables“ -A INPUT -p udp –port 9995 -m komentaras –komentaras „aMule“ -j PRIIMTI
„iptables“ -A IŠĖJIMAS -p udp –portas 9995 -j PRIIMTI
„iptables“ -A INPUT -p udp –port 16423 -j PRIIMTI
„iptables“ -A IŠĖJIMAS -p udp –portas 16423 -j PRIIMTI
Dabar truputis paaiškinimo. Kaip matote, pagal nutylėjimą yra taisyklės su DROP politika, niekas neišeina ir neįeina į komandą jums to nepasakius.
Tada perduodami pagrindai, „localhost“ ir naršymas į tinklų tinklą.
Matote, kad yra ir ssh bei amule taisyklių. Jei jie gerai atrodo, kaip jiems sekasi, jie gali sukurti kitas norimas taisykles.
Apgaulė yra pamatyti taisyklių struktūrą ir pritaikyti tam tikro tipo prievadui ar protokolui, ar tai būtų udp ar tcp.
Tikiuosi, kad galite tai suprasti, ką tik paskelbiau čia.
Turėtumėte parašyti įrašą, kuriame paaiškintumėte, kad būtų puiku.
Aš turiu klausimą. Jei norite atmesti http ir https ryšius, įdėjau:
serverio „http https“ lašas?
Ir taip toliau su bet kokia paslauga?
Ačiū