Her şeyden önce, tüm krediler @Evleneceksen, çünkü bu gönderi, öğretici forumda yayınladınız. Aradaki fark, odaklanacağım Kemer, büyük olasılıkla diğer dağıtımlar için çalışacak olsa da systemd.
Firehol nedir?
Ateş tutucu, çekirdek ve aracına entegre edilmiş güvenlik duvarını yönetmemize yardımcı olan küçük bir uygulamadır. iptables. Firehol bir grafik arayüzden yoksundur, tüm konfigürasyon metin dosyaları aracılığıyla yapılmalıdır, ancak buna rağmen konfigürasyon acemi kullanıcılar için hala basit veya gelişmiş seçenekler arayanlar için güçlüdür. Firehol'ün yaptığı tek şey, iptables kurallarının oluşturulmasını olabildiğince basitleştirmek ve sistemimiz için iyi bir güvenlik duvarı sağlamaktır.
Kurulum ve konfigürasyon
Firehol resmi Arch depolarında bulunmadığından AUR.
yaourt -S firehol
Ardından yapılandırma dosyasına gidiyoruz.
sudo nano /etc/firehol/firehol.conf
Ve oraya kuralları ekliyoruz, kullanabilirsiniz bunlar.
Her başlangıç için Firehol'ü etkinleştirmeye devam edin. Systemd ile oldukça basit.
sudo systemctl enable firehol
Firehol'u başlattık.
sudo systemctl start firehol
Son olarak, iptables kurallarının doğru şekilde oluşturulduğunu ve yüklendiğini doğruluyoruz.
sudo iptables -L
IPv6'yı devre dışı bırakın
İtfaiyeci idare etmediği için ip6tables ve bağlantılarımızın çoğunun desteği olmadığından IPv6, benim tavsiyem devre dışı bırakmaktır.
En Kemer ekleriz ipv6.disable = 1 / etc / default / grub dosyasındaki çekirdek satırına
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Şimdi yeniden oluşturuyoruz grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian yeterli:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Anlayamıyorum. Öğreticiyi takip ediyor ve zaten Güvenlik Duvarınız çalışıyor ve tüm bağlantıları engellediniz mi? Başka bir şey Arch için bir eğitim karmaşıktır, örneğin hiç sudo veya yaourt Firewall kullanmadım. Ancak Anlaşıldı. Ya da belki yeni biri yaourt yazar ve bir hata alır. Manjaro için daha doğrudur.
@Felipe dediğiniz gibi, öğreticiyi takip ederek ve /etc/firehol/firehol.conf dosyasına @cookie tarafından verilen kuralları yapıştırmaya ekleyerek, sistemi temel düzeyde korumak için zaten basit bir güvenlik duvarınız olacak. Bu yapılandırma, Firehol koyabileceğiniz herhangi bir dağıtım için çalışır, her dağıtımın kendine has özelliği ile hizmetlerini farklı şekillerde ele alır (Debian sysvinit aracılığıyla, Arch with systemd) ve kurulum gelince, herkes neye sahip olduğunu bilir, Arch'da AUR ve yaourt depolarını kullanın, Debian'da resmi olanlar yeterlidir ve bu nedenle diğer birçok depoda biraz araştırma yapmanız ve kurulum komutunu uyarlamanız yeterlidir.
Sanırım Yukiteru şüphelerinizi çoktan netleştirdi.
Şimdi, sudo ve yaourt hakkında, benim açımdan sudo'yu bir sorun olarak görmüyorum, sadece Arch'ın temel sistemini kurduğunuzda varsayılan olarak geldiğini görün; ve yaourt isteğe bağlıdır, tarball'ı indirebilir, sıkıştırmasını açabilir ve makepkg -si ile yükleyebilirsiniz.
teşekkürler, not alıyorum.
Gönderiye eklemeyi unuttuğum ancak düzenleyemediğim bir şey.
https://www.grc.com/x/ne.dll?bh0bkyd2
Bu sitede güvenlik duvarınızı test edebilirsiniz 😉 (Yukiteru'ya tekrar teşekkürler).
Bu testleri Xubuntu'mda yaptım ve her şey mükemmel çıktı! Linux'u kullanmak ne büyük bir zevk !!! 😀
Bunların hepsi çok iyi ... ama en önemli şey eksik; Kuralların nasıl oluşturulduğunu açıklamalısınız !!, ne anlama geldiklerini, yenilerini nasıl yaratacağınızı ... Bu açıklanmazsa, koyduğunuz şeyin pek bir faydası olmaz:
Yeni kurallar oluşturmak basittir, ateş kulesi dokümantasyonu açık ve özel kurallar oluşturma açısından çok hassastır, bu nedenle biraz okumak, onu özelleştirmenizi ve ihtiyaçlarınıza göre uyarlamanızı kolaylaştıracaktır.
Sanırım forumdaki benimki gibi @cookie gönderisinin ilk nedeni, kullanıcılara ve okuyuculara bilgisayarlarına temel düzeyde biraz daha fazla güvenlik sağlamalarına olanak tanıyan bir araç sunmaktı. Gerisi ihtiyaçlarınıza uyum sağlamanız için bırakılır.
Yukiteru öğreticisinin bağlantısını okursanız, amacın uygulamayı ve temel bir güvenlik duvarının yapılandırmasını duyurmak olduğunu anlayacaksınız. Yazımın yalnızca Arch'a odaklanan bir kopya olduğunu açıkladım.
Ve bu "insanlar için" mi? o_O
Arch'da Gufw'u deneyin: https://aur.archlinux.org/packages/gufw/ >> Durum'a tıklayın. Veya ufw eğer terminali tercih ederseniz: sudo ufw enable
Normal bir kullanıcıysanız zaten korunuyorsunuz. Bu 'insanlar için' 🙂
Firehol gerçekten IPTables için bir Ön Uç ve ikincisiyle karşılaştırırsak, oldukça insancıl
Ufw'u (Gufw onun sadece bir arayüzüdür) güvenlik açısından kötü bir seçenek olarak görüyorum. Sebep: ufw'de yazdığım daha fazla güvenlik kuralı için, hem Web üzerinden hem de nmap kullanılarak gerçekleştirilen güvenlik duvarımın testlerinde, avahi-daemon ve exim4 gibi hizmetlerin açık görünmesini ve yalnızca bir "gizli" saldırı, sistemimin, çekirdeğimin ve çalıştırdığı hizmetlerin en küçük özelliklerini bilmek için yeterliydi, güvenlik duvarı veya arno'nun güvenlik duvarı kullanarak bana olmayan bir şey.
Pekala, seni bilmiyorum, ama yukarıda yazdığım gibi, Xubuntu kullanıyorum ve güvenlik duvarım GUFW ile birlikte gidiyor ve yazarın koyduğu bağlantının TÜM testlerini sorunsuz bir şekilde geçtim. Tamamen gizli. Açık bir şey yok. Yani, benim deneyimime göre ufw (ve dolayısıyla gufw) benim için harika. Diğer güvenlik duvarı kontrol modlarını kullanma konusunda kritik değilim, ancak gufw kusursuz çalışıyor ve harika güvenlik sonuçları veriyor.
Sistemimde güvenlik açığı oluşturabileceğini düşündüğünüz herhangi bir testiniz varsa, bunların ne olduğunu söyleyin, burada memnuniyetle çalıştırıp sonuçları size bildireceğim.
Aşağıda ufw konusunda bir yorum yapıyorum, 2008'de gördüğüm hatayı Ubuntu 8.04 Hardy Heron kullanarak söylüyorum. Neyi zaten düzelttiler? En olası şey, öyle olmasıdır, bu yüzden endişelenmek için bir neden yok, ama bu bile, böceğin orada olduğu anlamına gelmez ve onu kanıtlayabilirdim, ölmek için kötü bir şey olmasa da, sadece durdum şeytanlar avahi-daemon ve exim4 ve problem çözüldü. Hepsinden garip olan şey, sadece bu iki sürecin problemi olmasıydı.
Bu gerçeği kişisel bir anekdot olarak söyledim ve aynı şekilde "Düşünüyorum ..."
Selamlar 🙂
+1
@Yukiteru: Kendi bilgisayarınızdan denediniz mi? Bilgisayarınızdan bakıyorsanız, engellenen trafik yerel ana bilgisayar değil ağ olduğundan X hizmet bağlantı noktasına erişmeniz normaldir:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Değilse, lütfen bir hata bildirin 🙂
Selamlar 🙂
Nmap durumunda bir Lan ağı kullanan başka bir bilgisayardan ve bu sayfayı kullanarak Web aracılığıyla https://www.grc.com/x/ne.dll?bh0bkyd2Özel bağlantı noktaları seçeneğini kullanarak, her ikisi de avahi ve exim4'ün, ufw'nin engellemeleri yapılandırılmış olmasına rağmen ağdan dinlediğini kabul etti.
Avahi-daemon ve exim4'ün bu küçük detayı, hizmetleri devre dışı bırakarak çözdüm ve hepsi bu ... O sırada bir hata bildirmedim ve şimdi yapmanın mantıklı olmadığını düşünüyorum, çünkü o Hardy kullanarak 2008'de geri döndü.
2008 5 yıl önceydi; Hardy Heron'dan Raring Ringtail'e kadar 10 * buntus var. Dün yapılan ve bugün (Ağustos 2013) tekrarlanan Xubuntu'mdaki aynı test her şeyde mükemmellik veriyor. Ve sadece UFW kullanıyorum.
Tekrar ediyorum: Yapmanız gereken başka testler var mı? Memnuniyetle yapıyorum ve bu taraftan gelenleri rapor ediyorum.
Nmap kullanarak PC'nizde SYN ve IDLE taraması yapın, bu size sisteminizin ne kadar güvenli olduğuna dair bir fikir verecektir.
Nmap adamının 3000'den fazla satırı var. Bana zevkle icra etmem için emirler verirseniz, yapacağım ve sonucu raporlayacağım.
Hmm, nmap için 3000 adam sayfasını bilmiyordum. ancak zenmap size söylediklerimi yapmanıza yardımcı olur, nmap için grafiksel bir ön uçtur, ancak yine de nmap ile SYN taraması için seçenek -sS iken boşta tarama seçeneği -sI'dir, ancak tam komut I olacak.
Makinenizin ipini ubuntu ile gösteren başka bir makineden tarama yapın, bunu kendi bilgisayarınızdan yapmayın, çünkü böyle çalışmıyor.
LOL !! 3000 sayfa ile ilgili hatam, satır halindeyken 😛
Bilmiyorum ama bunun için GNU / Linux'ta güvenlik duvarını yönetmek için bir GUI'nin biraz ihtiyatlı olacağını ve her şeyi ubuntu'daki gibi veya her şeyi fedora'da olduğu gibi açık bırakmayacağını düşünüyorum, iyi xD veya yapılandırılacak bir şey olmalısınız lanet olası katil alternatifler xD hjahjahjaja Onlarla ve açık jdk ile kavga ettiğim çok az şey var ama sonunda öpücük ilkesini de korumalısın
Geçmişte iptables ile yaşanan tüm tökezlemeler sayesinde, bugün niverl ham'i anlayabiliyorum, yani fabrikadan geldiği gibi doğrudan onunla konuşabiliyorum.
Ve o kadar karmaşık bir şey değil, öğrenmesi çok kolay.
Yazının yazarı izin verirse, şu anda kullandığım güvenlik duvarı komut dosyasının bir bölümünü göndereceğim.
## Kural temizliği
iptables-F
iptables-X
iptables-Z
iptables -t nat -F
## Varsayılan politikayı ayarlayın: DROP
iptables -P GİRİŞ DROP
iptables -P ÇIKIŞ DÜŞÜMÜ
iptables -P İLERİ DAMLA
# Sınırlama olmaksızın localhost üzerinde çalışın
iptables -A GİRİŞ -i lo -j KABUL
iptables -A ÇIKTI -o lo -j KABUL
# Makinenin ağa gitmesine izin verin
iptables -A GİRİŞ -p tcp -m tcp -spor 80 -m conntrack –ctstate İLGİLİ, TAHMİN EDİLDİ -j KABUL
iptables -A ÇIKIŞ -p tcp -m tcp –dport 80 -j KABUL
# Zaten web'leri de güvenli hale getirmek için
iptables -A GİRİŞ -p tcp -m tcp -spor 443 -m conntrack –ctstate İLGİLİ, TAHMİN EDİLDİ -j KABUL
iptables -A ÇIKIŞ -p tcp -m tcp –dport 443 -j KABUL
# İçeriden dışarıya ping atmaya izin ver
iptables -A ÇIKIŞ -p icmp –icmp-tipi echo-istek -j KABUL
iptables -Bir GİRİŞ -p icmp –icmp-tipi yankı-yanıtı -j KABUL
# SSH için Koruma
#iptables -I GİRİŞ -p tcp –dport 22 -m bağlantı –ctstate YENİ -m limit –sınır 30 / dakika –sınır-patlama 5 -m yorum – yorum "SSH-kick" -j KABUL
#iptables -A GİRİŞ -p tcp -m tcp –dport 22 -j LOG –log-önek "SSH ERİŞİM DENEMESİ:" –log düzeyi 4
#iptables -A GİRİŞ -p tcp -m tcp –dport 22 -j DAMLA
# Bağlantı noktasında giden ve gelen bağlantılara izin veren muska kuralları
iptables -A GİRİŞ -p tcp -m tcp –dport 16420 -m conntrack –ctstate YENİ -m açıklama – yorum "aMule" -j KABUL
iptables -A ÇIKIŞ -p tcp -m tcp –spor 16420 -m conntrack –ctstate İLGİLİ, TAHMİN EDİLDİ -m yorum – yorum "aMule" -j KABUL
iptables -A GİRİŞ -p udp –dport 9995 -m açıklama – yorum "aMule" -j KABUL
iptables -A ÇIKIŞ -p udp –spor 9995 -j KABUL
iptables - GİRİŞ -p udp –dport 16423 -j KABUL ET
iptables -A ÇIKIŞ -p udp –spor 16423 -j KABUL
Şimdi küçük bir açıklama. Gördüğünüz gibi, varsayılan olarak DROP politikasının kuralları vardır, hiçbir şey siz söylemeden takımdan çıkıp girmez.
Ardından, temel bilgiler, yerel ana bilgisayar ve ağlar ağına navigasyon aktarılır.
Ssh ve amule için de kurallar olduğunu görebilirsiniz. Nasıl yapıldığını iyi görürlerse, istedikleri diğer kuralları koyabilirler.
İşin püf noktası, kuralların yapısını görmek ve udp veya tcp gibi belirli bir bağlantı noktası veya protokol türüne uygulamaktır.
Umarım az önce buraya gönderdiğim bunu anlayabilirsiniz.
Bunu açıklayan bir gönderi yapmalısın, harika olur.
Bir sorum var. Http ve https bağlantılarını reddetmek istemeniz durumunda koyuyorum:
sunucu "http https" bırakılsın mı?
Ve benzeri herhangi bir hizmetle?
teşekkürler