Om du använder eller planerar att använda Linux är ett bra incitament den relativa säkerheten som implementeras som standard. Linux-system är okänsliga för en stor majoritet av Windows och Mac OS-virus, och GNU-projektet i sig säkerställer programvarans äkthet. Men varje (paranoid) geek vet att det inte finns något sådant som ett helt skyddat system. Idag visar vi dig hur du köper din Linux-säkerhet genom att göra några ändringar i dina brandväggsinställningar.

Istället för att bara granska Firewall-programvaran kommer jag att fokusera mer på brandväggsinställningarna, till exempel regler och portar, eftersom de ligger till grund för en effektiv brandvägg.

Det traditionella programmet för en brandvägg i Linux är kommandobaserade IPTables. Direkt härledd från Unix ideal är det mycket kraftfullt och ändå extremt komplicerat för en nybörjare. IPTables startar inte sig själv vid starten, så det är användarens plikt att konfigurera brandväggen i ett skript och köra den direkt efter inloggningen. Ett enklare alternativ är att använda UFW (okomplicerad FireWall). UFW är en kommandobaserad brandvägg, men med en mycket enklare syntax. Det startar sig själv vid start och levereras med samma säkerhetsnivå som IPTables. Ett ännu enklare sätt att kringgå kommandoraden helt och hållet är att använda gUFW - ett grafiskt gränssnitt för UFW.

Installation

I Ubuntu är allt du behöver göra för att använda kommandot (du kan också installera via Ubuntu Software Center):

 sudo apt-get install gufw 

Konfiguration

Kör gUFW-programmet. Du bör uppmanas med ett fint grått fönster.

För att fungera korrekt behöver gUFW superbrukarens rättigheter, vilket innebär att i en terminal kommer du att använda kommandot:

 sudo gufw 

Om du lanserade det från programmenyn kan du klicka på guldlåset längst ner till höger i gUFW-fönstret och skriva ditt lösenord för att höja användarbehörigheten.

Fönstret ska komma till liv och du kan nu börja konfigurationen.

Först vill du aktivera brandväggen genom att klicka på fältet bredvid "Status" så att "På" visas. Du kan då välja vad du vill göra med inkommande och utgående trafik. Som standard nekas den inkommande och den utgående är auktoriserad. Det här är en bra grund, men i allmänhet med Linux vill du använda din fulla kontroll för att gå vidare än standard. Konfigurationen som den är nu kommer att förhindra att något kommer in i din dator men kommer inte att hindra datorn från att kommunicera. Tänk dig att din dator redan är infekterad eller att en skadlig kod lyckas gå igenom brandväggen. I det här fallet kommer UFW inte att hindra honom från att kommunicera med Internet och kanske från att sända dina data till en ond cracker.

Jag råder dig därför att tillämpa drastiska åtgärder: förneka allt - inkommande och utgående!

För tillfället kommer du att upptäcka att du har skurit dig från Internet. Genom att neka allt, nekar du också att någon webtrafik kommer in / ut i ditt system. Oroa dig inte, vi ska ställa in regler för att bara tillåta de applikationer du behöver och lita på att komma åt webben. Att lägga till en regel är enkel. Du måste bara klicka på "+" knappen längst ner till vänster i fönstret. På samma sätt är "-" knappen för att radera regeln.

Klicka nu på knappen "+". Du borde nu vara framför en ny dialogruta med tre flikar.

Fliken förkonfigurerade är för att skapa vissa regler för definierade och specifika uppgifter, som för Skype eller Transmission. Det är det enkla sättet att ställa in regler snabbt: bestäm vilket program eller tjänst du vill använda från listan, om du tillåter inkommande eller utgående, och reglerna kommer att komplettera sig.

Om du till exempel väljer att tillåta i Skype-anslutningar tillåter gUFW inkommande anslutningar till port 443 med TCP-protokollet.

Så enkelt att använda som den här fliken är det dock ofullständig. Det finns fortfarande en massa saker som du inte kan göra utan att gå in på fliken "Enkel". Jag lovar, vi går inte längre, ingen "avancerad" flik för idag.

Den här fliken är inte så komplex att använda. Allt du behöver göra för att lägga till regler är att välja mellan inkommande eller utgående anslutningar, protokollet och portnummeret. Jag kommer inte att lära dig skillnaden mellan UDP-protokollet eller TCP, men istället kommer jag att ge dig en icke-uttömmande lista över portar som du kanske vill behålla öppet, och anledningen till varför.

Icke-uttömmande lista över hamnar

Utgående anslutningar:

  • 80 / tcp för HTTP
  • 53 / udp för DNS
  • 443 / tcp för HTTPS (säkra HTTP)
  • 21 / tcp för FTP (File Transfer Protocol)
  • 465 / tcp för SMTP (skicka e-post)
  • 25 / tcp för osäker SMTP
  • 22 / tcp för SSH (säker anslutning från dator till dator)
  • 993 / tcp & udp för IMAP (motta e-postmeddelanden)
  • 143 / tcp & udp för osäker IMAP
  • 9418 / tcp för GIT (versionskontrollsystem)

Inkommande anslutningar:

  • 993 / tcp & udp för IMAP (motta e-postmeddelanden)
  • 143 / tcp & udp för osäker IMAP
  • 110 / tcp för POP3 (gammalt sätt att ta emot e-postmeddelanden)
  • 22 / tcp för SSH (säker anslutning från dator till dator)
  • 9418 / tcp för GIT (versionskontrollsystem)

Återigen är denna lista ofullständig, men det är en bra start. Tveka inte att söka om du har andra behov och kolla först på "Förkonfigurerade" fliken.

Vissa tjänster, som IMAP, kräver en inkommande och en utgående anslutning för att fungera korrekt. Och i vissa fall kräver krypterade anslutningar en annan port.

Slutsats

Nu är du redo att helt enkelt styra din egen brandvägg och försäkra dig om din säkerhet. Slutligen måste UFW läggas till i din daemon vid start. Använd kommandot:

 sudo update-rc.d ufw standardvärden 

Och i andra distribueringar som Archlinux, redigera din /etc/rc.conf-fil . Det är naturligtvis bättre att lägga till UFW-demonen innan daemonen som etablerar en Internet-anslutning (till exempel wicd eller nätverkschef).

Använder du en annan brandvägg? Eller har du några andra regler som du rekommenderar? Vänligen meddela oss i kommentaren.