Najprej gre za vse kredite @YukiteruAmano, ker ta objava temelji na Navodila ste objavili na forumu. Razlika je v tem, da se bom osredotočil na Arch, čeprav verjetno deluje za druge distribucijske sisteme, ki temeljijo na sistemd.
Kaj je Firehol?
firehol, je majhna aplikacija, ki nam pomaga upravljati požarni zid, vgrajen v jedro in njegovo orodje iptables. Firehol nima grafičnega vmesnika, vse konfiguracije je treba izvesti z besedilnimi datotekami, kljub temu pa je konfiguracija še vedno preprosta za uporabnike začetnike ali zmogljiva za tiste, ki iščejo napredne možnosti. Vse, kar Firehol počne, je čim bolj poenostaviti ustvarjanje pravil iptables in omogočiti dober požarni zid za naš sistem.
Namestitev in konfiguracija
Firehola ni v uradnih skladiščih Arch, zato se bomo sklicevali na AUR.
yaourt -S firehol
Nato gremo v konfiguracijsko datoteko.
sudo nano /etc/firehol/firehol.conf
In tam dodamo pravila, ki jih lahko uporabite estas.
Nadaljujte z aktiviranjem Firehola za vsak zagon. Precej preprosto s sistemom.
sudo systemctl enable firehol
Začeli smo Firehol.
sudo systemctl start firehol
Na koncu preverimo, ali so bila pravila iptables pravilno ustvarjena in naložena.
sudo iptables -L
Onemogoči IPv6
Kot firehol ne obvladuje ip6 tabele in ker večina naših povezav nima podpore za IPv6, moje priporočilo je, da ga onemogočite.
En Arch dodamo ipv6.disable = 1 v vrstico jedra v datoteki / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Zdaj regeneriramo grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian dovolj z:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Ne razumem. Ali sledite vadnici in že imate nameščen požarni zid in blokirane vse povezave? Druga stvar Vadnica za Arch je zapletena, na primer nikoli nisem uporabljal požarnega zidu sudo ali yaourt. Vendar je razumljeno. Ali pa vam morda kdo nov napiše in se prikaže napaka. Za Manjaro je bolj pravilno.
Ko rečete @felipe, boste po vadnici in v datoteko /etc/firehol/firehol.conf vnesli pravila, ki jih je v pasti navedel @cookie, že imeli preprost požarni zid za zaščito sistema na osnovni ravni. Ta konfiguracija deluje za vsako distribucijo, kamor lahko vstavite Firehol, s posebnostjo vsake distribucije, ki obravnava svoje storitve na različne načine (Debian prek sysvinit, Arch s systemd), kar zadeva namestitev, vsi vedo, kaj imajo, v Archu morate uporabite repoziture AUR in yaourt, v Debianu vam zadostujejo uradni in tako tudi v mnogih drugih, morate le malo poiskati v skladiščih in prilagoditi namestitveni ukaz.
Mislim, da je Yukiteru že razjasnil vaše dvome.
Zdaj, kar zadeva sudo in yaourt, menim, da sudo ni problem, samo morate videti, da privzeto pride, ko namestite Archov osnovni sistem; in yaourt ni obvezen, lahko prenesete tarball, ga razpakirate in namestite z makepkg -si.
Hvala, upoštevam.
Nekaj, kar sem pozabil dodati v objavo, vendar je ne morem urediti.
https://www.grc.com/x/ne.dll?bh0bkyd2
Na tej strani lahko preizkusite svoj požarni zid 😉 (še enkrat hvala Yukiteru).
Te teste sem opravil na svojem Xubuntuju in vse se je izkazalo kot nalašč! Kakšno veselje je uporabljati Linux !!! 😀
Vse to je zelo dobro ... manjka pa najpomembnejše; Pojasniti moraš, kako se pravila ustvarjajo !!, kaj pomenijo, kako ustvariti nova ... Če to ni razloženo, je tisto, kar postaviš, malo koristno: - /
Ustvarjanje novih pravil je preprosto, dokumentacija o fireholu je jasna in zelo natančna glede ustvarjanja pravil po meri, zato boste lahko z malo branja olajšali prilagajanje in prilagajanje vašim potrebam.
Mislim, da je bil prvotni razlog za objavo @cookie, kakršna je bila moja na forumu, uporabnikom in bralcem omogočiti orodje, ki jim omogoča, da svojim računalnikom dajo malo več varnosti, vse na osnovni ravni. Preostanek ostane na poti, da se prilagodite svojim potrebam.
Če preberete povezavo do vadnice Yukiteru, boste ugotovili, da je namen objaviti aplikacijo in konfiguracijo osnovnega požarnega zidu. Pojasnil sem, da je moja objava le kopija, ki se osredotoča na Arch.
In to je "za ljudi"? o_O
Poskusite Gufw na Arch: https://aur.archlinux.org/packages/gufw/ >> Kliknite Stanje. Ali ufw, če imate raje terminal: sudo ufw enable
Če ste običajni uporabnik, ste že zaščiteni. To je "za ljudi" 🙂
Firehol je resnično front-end za IPTables in če ga primerjamo s slednjim, je povsem človeški 😀
Menim, da je ufw (Gufw le njegov vmesnik) slaba možnost v smislu varnosti. Razlog: za več varnostnih pravil, ki sem jih napisal v ufw, se nisem mogel izogniti temu, da bi se pri preizkusih požarnega zidu, tako prek spleta kot tistih, izvedenih z nmap, storitve, kot sta avahi-daemon in exim4, zdele odprte in samo "prikritega" napada je bilo dovolj, da sem poznal najmanjše značilnosti mojega sistema, jedra in storitev, ki jih je izvajal, kar se mi ni zgodilo z uporabo firehola ali arnovega požarnega zidu.
No, ne vem za vas, toda kot sem napisal zgoraj, uporabljam Xubuntu in moj požarni zid gre skupaj z GUFW in sem brez težav opravil VSE teste povezave, ki jih je avtor postavil. Vsa skrivnost. Nič odprtega. Torej, po mojih izkušnjah ufw (in zato tudi gufw) se počutim čudovito. Nisem kritičen do uporabe drugih načinov nadzora požarnega zidu, vendar gufw deluje brezhibno in daje odlične varnostne rezultate.
Če imate kakršne koli teste, za katere menite, da lahko v moj sistem vržejo ranljivosti, mi povejte, kakšne so, z veseljem jih bom izvedel tukaj in vam sporočil rezultate.
Spodaj nekaj komentiram na temo ufw, kjer rečem, da sem napako videl leta 2008 z uporabo Ubuntu 8.04 Hardy Heron. Kaj so že popravili? Najverjetneje je, da je temu tako, zato ni razloga za skrb, a kljub temu to ne pomeni, da je bila napaka tam in jo lahko pokažem, čeprav ni bilo slabo umreti, zaustavil sem samo demone avahi-demon in exim4, in težava že rešena. Najbolj čudno pri vsem je, da sta imela težavo samo ta dva procesa.
Dejstvo sem omenil kot osebno anekdoto in isto mnenje sem dal, ko sem rekel: «Mislim, da ...»
Lep pozdrav 🙂
+1
@Yukiteru: Ste poskusili iz svojega računalnika? Če iščete iz osebnega računalnika, je običajno, da dostopate do servisnih vrat X, saj je promet, ki je blokiran, omrežje, ne localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
V nasprotnem primeru prijavite napako 🙂
Lep pozdrav 🙂
Iz drugega računalnika, ki uporablja omrežje Lan v primeru nmap, in prek spleta na tej strani https://www.grc.com/x/ne.dll?bh0bkyd2Z uporabo možnosti vrat po meri sta se oba strinjala, da avahi in exim4 poslušata z interneta, čeprav je ufw konfiguriral njihovo blokiranje.
To majhno podrobnost avahi-demona in exim4 sem rešil tako, da sem preprosto onemogočil storitve in to je to ... Takrat nisem prijavil napake in mislim, da ni smiselno, da bi to storil zdaj, ker je bil leta 2008 z uporabo Hardyja.
2008 je bilo pred petimi leti; od Hardy Heron do Raring Ringtail je 5 * buntus. Isti preizkus na mojem Xubuntuju, narejen včeraj in ponovljen danes (avgust 10), daje popolno v vsem. In uporabljam samo UFW.
Ponavljam: Ali vas čakajo dodatni testi? To počnem z veseljem in poročam, kaj pride s te strani.
S sistemom nmap opravite SYN in IDLE skeniranje računalnika, da boste dobili predstavo o tem, kako varen je vaš sistem.
Človek nmap ima več kot 3000 vrstic. Če mi daš ukaze za izvrševanje z veseljem, bom to storil in sporočil rezultat.
Hmm, nisem vedel za 3000 strani z man za nmap. toda zenmap je pomoč pri tem, kar vam rečem, je grafični čelni del za nmap, vendar je še vedno možnost za SYN skeniranje z nmap -sS, medtem ko je možnost za nedejavno skeniranje -sI, vendar natančen ukaz Bom.
Naredite optično branje iz druge naprave, ki kaže na ip vašega računalnika z ubuntujem, ne delajte tega iz svojega računalnika, ker to ne deluje.
LOL !! Moja napaka približno 3000 strani, ko so bile vrstice 😛
Ne vem, ampak mislim, da bi bil GUI za to v GNU / Linuxu za upravljanje požarnega zidu nekoliko previden in ne bi pustil vsega odkritega kot v ubuntuju ali vsega, kar je pokrito kot v Fedori, morali bi biti dober xD ali kaj takega, da bi konfigurirali preklete ubijalske alternative xD hjahjahjaja Z njimi in z odprtim jdkom se malo borim z mano, vseeno pa moraš tudi ohraniti načelo poljuba
Zahvaljujoč vsem kamenčkom spotike, ki so se v preteklosti dogajali z iptables, danes lahko razumem niverl raw, to pomeni, da se z njim pogovarjam neposredno, kot prihaja iz tovarne.
In to ni nekaj tako zapletenega, zelo enostavno se je naučiti.
Če mi avtor prispevka dovoli, bom objavil odlomek skripta požarnega zidu, ki ga trenutno uporabljam.
## Pravila čiščenja
iptables-F
iptables-X
iptables -Z
iptables -t nat -F
## Nastavi privzeti pravilnik: DROP
iptables -P INPUT DROP
iptables -P IZHODNI PAD
iptables -P NAPREJ PAD
# Delujte na localhost brez omejitev
iptables -A INPUT -i lo-j ACCEPT
iptables -A IZHOD -o lo -j SPREJEM
# Dovolite napravi, da gre v splet
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack --ctstate POVEZANE, VZPOSTAVLJENO -j SPREJEM
iptables -A IZHOD -p tcp -m tcp –port 80 -j SPREJEM
# Že tudi za zaščito spletnih mest
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack --ctstate POVEZANE, VZPOSTAVLJENO -j SPREJEM
iptables -A IZHOD -p tcp -m tcp –port 443 -j SPREJEM
# Dovolite ping od znotraj navzven
iptables -A IZHOD -p icmp-emp-type -mpmp type -j ACCEPT
iptables -A INPUT -p icmp-echo-response -icmp-type ACCEPT
# Zaščita za SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –imit 30 / minute –limit-burst 5-m comment –comment "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG – predloga -log "SSH ACTESS ATTEMPT:" –log-level 4
#iptables -A VHOD -p tcp -m tcp –dport 22 -j DROP
# Pravila za amule, ki omogočajo odhodne in dohodne povezave na vratih
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NOVO -m komentar –komentar "aMule" -j SPREJEM
iptables -A IZHOD -p tcp -m tcp –port 16420 -m conntrack –stanje POVEZANO, VZPOSTAVLJENO -m komentar –komentar "aMule" -j SPREJEM
iptables -A INPUT -p udp –dport 9995 -m comment –comment "aMule" -j ACCEPT
iptables -A IZHOD -p udp –sport 9995 -j SPREJEM
iptables -A INPUT -p udp –dport 16423 -j SPREJEM
iptables -A IZHOD -p udp –sport 16423 -j SPREJEM
Zdaj pa malo razlage. Kot lahko vidite, privzeto obstajajo pravila s politiko DROP, nič ne zapusti in vstopi v ekipo, ne da bi jim to povedali.
Nato so podane osnove, localhost in navigacija do omrežja omrežij.
Vidite lahko, da obstajajo tudi pravila za ssh in amule. Če dobro izgledajo, kako jim gre, lahko oblikujejo druga pravila, ki jih želijo.
Trik je videti strukturo pravil in se uporabiti za določeno vrsto vrat ali protokola, pa naj bo to udp ali tcp.
Upam, da lahko razumete to, kar sem pravkar objavil tukaj.
Naredite objavo, v kateri bi to pojasnili 😉 bi bilo super.
Imam vprašanje. Če želite zavrniti povezave http in https, sem dal:
padec strežnika "http https"?
In tako naprej s katero koli storitvijo?
hvala