Ubuntu-da UFW-ni o'rnatish

Ubuntu-ning deyarli barcha ilg'or foydalanuvchilari o'z tarmoqlari xavfsizligini ta'minlashdan manfaatdor. Bundan tashqari, ko'pchilik xavfsizlik devoridagi muayyan qoidalarni o'rnatgandan so'ng, faqat to'g'ri ishlaydigan ba'zi bir tarmoq dasturlaridan foydalanadi. Bugun biz misol sifatida UFW (Murakkab bo'lmagan xavfsizlik devori) dan foydalangan holda xavfsizlik devori konfiguratsiyasi haqida gaplashmoqchimiz. Bu xavfsizlik devori qoidalarini amalga oshirishning eng oddiy vositasi, shuning uchun yangi boshlanuvchilar uchun va iptables-ning o'ta murakkab funksiyasidan qoniqmaydiganlar uchun tavsiya etiladi. Keling, har bir qadamni iloji boricha batafsilroq ajratib, barcha o'rnatish protseduralarini bosqichma-bosqich ko'rib chiqamiz.

Ubuntu-da UFW-ni o'rnatish

UFW-ni operatsion tizimga o'rnatish shart emas, chunki u sukut bo'yicha mavjud. Biroq, standart shaklda u faol emas va hech qanday qoidalarga ega emas. Keling, avval faollashtirishni amalga oshiramiz, so'ngra asosiy bosqichlarni ko'rib chiqamiz. Biroq, avval siz sintaksisni o'rganishingiz kerak va bu, ayniqsa, ushbu xavfsizlik devoridan doimiy foydalanishni rejalashtirgan foydalanuvchilar uchun to'g'ri keladi.

1-qadam: sintaksisni o'rganing

Siz allaqachon bilganingizdek, UFW konsol dasturidir, demak u standart orqali boshqariladi "Terminal". yoki boshqa har qanday foydalanuvchi aniqlangan. Ushbu turdagi o'zaro ta'sir maxsus tuzilgan buyruqlar yordamida amalga oshiriladi. Ularning barchasi har doim hujjatlarda mavjud, ammo katta miqdordagi materialni o'qish uchun hech qanday ma'no yo'q, ayniqsa, hozirgi asbob uchun. Kirish printsipi quyidagicha: sudo ufw опции действие параметры. sudo root sifatida ishlash uchun javobgardir, ufw - chaqiriladigan dasturni bildiruvchi standart argument bo'lib, qolgan iboralar belgilanadigan qoidalarni belgilaydi. Bularga batafsil to'xtalishni istaymiz.

  • enable - bu xavfsizlik devorini yoqish uchun javobgar bo'lgan standart parametr. U avtomatik ravishda avtomatik ishga tushirishga qo'shiladi.
  • disable - UFW-ni o'chiradi va uni avtomatik yuklagichdan olib tashlaydi.
  • reload - Xavfsizlik devorini qayta yoqish uchun ishlatiladi. Bu, ayniqsa, yangi qoidalar o'rnatilgandan keyin dolzarbdir.
  • default - keyingi parametr sukut bo'yicha o'rnatilishini bildiradi.
  • logging - xavfsizlik devori harakati haqida barcha asosiy ma'lumotlarni saqlaydigan jurnal fayllarini yaratishni faollashtiradi.
  • reset - Barcha sozlamalarni standart qiymatlarga qaytaradi.
  • status - joriy holatni ko'rish uchun ishlatiladi.
  • show - Xavfsizlik devori operatsiyalari to'g'risida hisobotlarni tez ko'rish. Ushbu parametrga tegishli qo'shimcha variantlar mavjud, ammo biz ular haqida alohida bosqichda gaplashamiz.
  • allow - ruxsat qoidalarini qo'shganda faollashtiriladi.
  • deny - xuddi shunday, ammo rad etishga nisbatan qo'llaniladi.
  • reject - Bekor qilish qoidasini qo'shing.
  • limit - cheklash qoidalarini o'rnatish.
  • delete - belgilangan qoidani olib tashlaydi.
  • insert - o'lchagichni joylashtiring.

Ko'rib turganingizdek, buyruqlar ko'p emas. Albatta, boshqa xavfsizlik devorlaridan kamroq narsa mavjud va siz UFW bilan bir necha marta sinab ko'rgandan so'ng sintaksisni yodlab olishingiz mumkin. Faqatgina misolning konfiguratsiyasi haqida g'amxo'rlik qilish kerak, bugungi maqolamizning keyingi bosqichlari bunga qaratiladi.

2-qadam: Yoqish / O'chirish / Qayta boshlash

Biz bir nechta konfiguratsiya nuqtalarini bir qadamda ajratishga qaror qildik, chunki ular qisman bir-biriga o'xshash va dasturga o'xshashdir. Siz allaqachon bilganingizdek, UFW dastlab nogiron holatda, shuning uchun uni bitta buyruqni qo'llash orqali faollashtiramiz.

  1. Dastur panelini oching va ishga tushiring "Terminal".. Bundan tashqari, konsolni siz uchun qulay bo'lgan boshqa usullarda ham ochishingiz mumkin.
  2. Faollashtirishdan oldin siz yoki boshqa dastur xavfsizlik devorini faollashtirganligini tekshiring. Bu buyruqni kiritish orqali amalga oshiriladi sudo ufw status.
  3. Superuser imtiyozlari uchun parolni kiriting va bosing Men kirdim. E'tibor bering, ushbu kirish usuli bilan xavfsizlik sababli belgilar qatorda ko'rsatilmaydi.
  4. Yangi yo'nalish sizga UFWning hozirgi holati to'g'risida ma'lumot beradi.
  5. Xavfsizlik devorini yoqish yuqorida aytib o'tilgan parametr orqali amalga oshiriladi va butun buyruq quyidagicha ko'rinadi: sudo ufw enable.
  6. Xavfsizlik devori yoqilganligi va operatsion tizim bilan ishlashi haqida sizga xabar beriladi.
  7. O'chirish uchun foydalaning sudo ufw disable.
  8. O'chirish to'g'risida deyarli bir xil xabar yuboriladi.
  9. Kelajakda, agar siz qoidalarni tiklashingiz kerak bo'lsa yoki buni hozir bajarishingiz kerak bo'lsa, buyruqni kiriting sudo ufw reset tugmachasini bosing Men kirdim.
  10. Tegishli javob variantini tanlab, qayta boshlashni tasdiqlang.
  11. Siz zaxira manzillari bilan oltita turli qatorlarni ko'rasiz. Sozlamalarni tiklash uchun istalgan vaqtda ushbu manzilga o'tishingiz mumkin.

Endi siz bugun ko'rib chiqayotgan xavfsizlik devorining umumiy xatti-harakatlarini boshqarish uchun javobgar bo'lgan aniq buyruqlarni bilasiz. Boshqa barcha qadamlar faqat konfiguratsiyaga qaratilgan bo'lib, sozlamalarning o'zi misol sifatida keltirilgan, bu sizning ehtiyojlaringiz asosida ularni o'zgartirishingiz kerakligini anglatadi.

3-qadam: Standart qoidalarni o'rnating

Alohida aytib o'tilmagan barcha kiruvchi va chiquvchi ulanishlarga tatbiq etiladigan standart qoidalarni qo'llash majburiydir. Bu shuni anglatadiki, qo'lda ko'rsatilmagan barcha kiruvchi ulanishlar bloklanadi, chiquvchi ulanishlar esa muvaffaqiyatli bo'ladi. To'liq sxema quyidagicha amalga oshiriladi:

  1. Yangi konsol sessiyasini boshlang va buyruqni kiriting sudo ufw default deny incoming. Uni tugmachani bosib faollashtiring Men kirdim. Agar siz yuqoridagi sintaksis qoidalari bilan allaqachon tanish bo'lsangiz, bilasizki, bu barcha kiruvchi ulanishlarni blokirovka qilishni anglatadi.
  2. Superuser parolini kiritish majburiy bo'ladi. Siz har safar yangi konsol sessiyasini boshlaganingizda kiritasiz.
  3. Buyruqni qo'llaganingizdan so'ng, sizga standart qoidalar kuchga kirganligi to'g'risida xabar beriladi.
  4. Natijada, chiquvchi ulanishlarga imkon beradigan ikkinchi buyruqni belgilashingiz kerak bo'ladi. Bu shunday ko'rinadi: sudo ufw default allow outgoing.
  5. Yana bir marta, qoida qo'llanilganligini ko'rsatadigan xabar paydo bo'ladi.

Endi hech qanday noma'lum kiruvchi ulanish urinishi muvaffaqiyatli bo'lib, kimdir sizning tarmog'ingizga kira olishidan xavotirlanmasligingiz kerak. Agar siz keladigan barcha ulanish urinishlarini bloklamoqchi bo'lmasangiz, avvalgi qoidani o'tkazib yuboring va keyingi bosqichni batafsil o'qib o'zingizni yarating.

4-qadam: O'zingizning xavfsizlik devori qoidalarini qo'shing

Xavfsizlik devori qoidalari foydalanuvchilarning UFW-ga obuna bo'lishining asosiy sozlanishi variantidir. Masalan, OpenSSH vositasi va port blokirovkasini ko'rib chiqamiz. Esda tutish kerak bo'lgan birinchi narsa - qoidalarni qo'shish uchun qo'shimcha sintaksis buyruqlari:

  • ufw allow имя_службы
  • ufw allow порт
  • ufw allow порт/протокол

Shundan so'ng, siz qoidalarni yaratishni boshlashingiz va rad etishingiz mumkin. Keling, har bir siyosat turini tartibda ko'rib chiqamiz.

  1. Foydalanish sudo ufw allow OpenSSH xizmat ko'rsatish portlariga kirishni ochish uchun.
  2. Qoidalar yangilanganligi haqida sizga xabar beriladi.
  3. Kirish quyidagi kabi xizmat nomi o'rniga portni ko'rsatish orqali ochilishi mumkin: sudo ufw allow 22.
  4. Xuddi shu narsa port / protokol orqali o'tadi - sudo ufw allow 22/tcp.
  5. Qoidalarni o'rnatgandan so'ng, mavjud dasturlarning ro'yxatini kiriting sudo ufw app list. Agar hamma narsa to'g'ri qo'llanilgan bo'lsa, kerakli xizmat quyidagi qatorlardan birida paydo bo'ladi.
  6. Port trafigiga ruxsat berish va rad etishga kelsak, bu sintaksisni joriy qilish orqali amalga oshiriladi ufw allow направление порт. Quyidagi skrinshotda siz portdagi chiquvchi trafikka ruxsat berish misolini ko'rishingiz mumkin (sudo ufw allow out 80/tcp), shuningdek kirish tomon tomon bir xil yo'nalishda rad etish siyosati (sudo ufw deny in 80/tcp).
  7. Agar sizga kengroq sintaktik yozuv kiritib, qanday qilib siyosatni qo'shish misoli qiziq bo'lsa, misoldan foydalaning ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения.

5-qadam: Qoidalarni belgilang

Chegara qoidalarini belgilash mavzusini alohida bosqichga o'tkazdik, chunki bu haqda batafsilroq gaplashishimiz kerak. Ushbu qoida bitta portga ulangan IP-manzillar sonini cheklaydi. Ushbu parametr uchun eng aniq foydalanish shafqatsiz parol hujumlaridan himoya qilishdir. Standart siyosatni o'rnatish usuli quyidagicha:

  1. Konsolda yozing sudo ufw limit ssh/tcp va ustiga bosing Men kirdim.
  2. Super foydalanuvchi hisob qaydnomangiz uchun parolni kiriting.
  3. Sizga qoidalarni yangilash muvaffaqiyatli bo'lganligi to'g'risida xabar beriladi.

Cheklov qoidalari boshqa dasturlar uchun ham xuddi shunday o'rnatiladi. Buning uchun xizmat nomi, port yoki port / protokoldan foydalaning.

6-qadam: UFW holatini ko'rish.

Ba'zan foydalanuvchi xavfsizlik devori holatini nafaqat faoliyat nuqtai nazaridan, balki o'rnatilgan qoidalar bilan ham ko'rishlari kerak. Buning uchun alohida buyruq bor, biz ilgari bu haqda gaplashdik, ammo endi biz uni batafsil ko'rib chiqamiz.

  1. Imlo bilan yozing sudo ufw statusstandart ma'lumotlarni olish uchun.
  2. Yangi qatorlarda barcha o'rnatilgan qoidalar manzil, protokol va xizmat nomi bo'yicha ko'rsatiladi. Amallar va ko'rsatmalar o'ng tomonda ko'rsatilgan.
  3. Qo'shimcha ma'lumot ixtiyoriy argument ishlatilganda ko'rsatiladi va buyruq formasini oladi sudo ufw status verbose.
  4. Ajam foydalanuvchilar uchun tushunarsiz shaklda barcha qoidalar ro'yxati ko'rsatiladi sudo ufw show raw.

Mavjud xavfsizlik devorining qoidalari va holati to'g'risida ba'zi ma'lumotlarni aks ettiradigan boshqa variantlar mavjud. Keling, ularning barchasini qisqacha ko'rib chiqamiz:

  • raw - iptables formatini ishlatib, barcha faol qoidalarni namoyish etadi.
  • builtins - faqat sukut bo'yicha qo'shilgan qoidalarni o'z ichiga oladi.
  • before-rules - tashqi manbadan paketni qabul qilishdan oldin bajarilgan qoidalarni ko'rsatadi.
  • user-rules - mos ravishda foydalanuvchi tomonidan qo'shilgan qoidalarni ko'rsatadi.
  • after-rules - oldingi qoidalar bilan bir xil, lekin faqat paketlar qabul qilingandan so'ng faollashtiriladigan qoidalarni o'z ichiga oladi.
  • logging-rules - qayd qilingan voqealar to'g'risidagi ma'lumotlarni namoyish etadi.
  • listening - faol (tinglash) portlarni ko'rish uchun ishlatiladi.
  • added - yaqinda qo'shilgan qoidalarni ko'rish uchun ishlatiladi.

Siz o'zingiz xohlagan ma'lumotni olish va o'zingizning xizmatingizga joylashtirish uchun ushbu variantlarning har qandayidan foydalanishingiz mumkin.

7-qadam: Mavjud qoidalarni o'chirib tashlang

Ba'zi foydalanuvchilar, mavjud qoidalar to'g'risida to'g'ri ma'lumotni olganlaridan so'ng, ulanish o'rnatish yoki yangi qoidalarni o'rnatish uchun ulardan ba'zilarini olib tashlashni xohlashadi. Ko'rib chiqilayotgan xavfsizlik devori buni istalgan vaqtda bajarishga imkon beradi, bu quyidagicha amalga oshiriladi:

  1. Buyruqni kiriting sudo ufw delete allow out 80/tcp. Port / protokol 80 / tcp orqali chiquvchi ulanishlarga ruxsat beruvchi qoida avtomatik ravishda o'chiriladi.
  2. IPv4 va IPv6 uchun siyosat muvaffaqiyatli olib tashlanganligi haqida sizga xabar beriladi.
  3. Xuddi shu narsa aloqani rad etish uchun ham amal qiladi, masalan, sudo ufw delete deny in 80/tcp.

Kerakli qoidalarni nusxalash va ularni misolda ko'rsatilgandek o'chirish uchun holat ko'rinishidagi parametrlardan foydalaning.

8-qadam: Ro'yxatdan o'tishni faollashtirish

Bugungi maqoladagi so'nggi qadam - vaqti-vaqti bilan UFW xatti-harakatlari haqidagi ma'lumotlarni avtomatik ravishda alohida faylga saqlaydigan variantni faollashtirish. Bu barcha foydalanuvchilar uchun kerak emas, lekin u quyidagicha amal qiladi:

  1. Yozing sudo ufw logging on va tugmasini bosing Men kirdim.
  2. Yozuv saqlanishi to'g'risida bildirishnomani kuting.
  3. Quyidagi kabi boshqa variantni ham qo'llashingiz mumkin, sudo ufw logging medium. Bundan tashqari, bor past (faqat bloklangan paketlar haqidagi ma'lumotlarni saqlaydi) va Alto (barcha ma'lumotlarni saqlaydi). O'rta parametr bloklangan va ruxsat berilgan paketlarni yozib oladi.

Yuqorida siz Ubuntu operatsion tizimidagi UFW xavfsizlik devorini sozlash uchun ishlatiladigan sakkizta bosqichni o'rganib chiqdingiz. Ko'rib turganingizdek, bu sintaksisni o'zlashtirish qulayligi tufayli hatto yangi boshlanuvchilar uchun ham juda mos bo'lgan juda oddiy xavfsizlik devori. UFW standart iptables-ning o'rnini bosadi, agar u sizni qoniqtirmasa.

Biz sizning muammoingizda sizga yordam bera olganimizdan xursandmiz.

Siz uchun nima ishlamaganligini tasvirlab bering.
Bizning mutaxassislarimiz imkon qadar tezroq javob berishga harakat qilishadi.

Ushbu maqola sizga yordam berdimi?