Tại sao tường lửa bị tắt theo mặc định?

65

Tại sao tường lửa ufw có trong Ubuntu, khi nó không được bật và được cấu hình sẵn theo mặc định? Hầu hết người dùng thậm chí không biết nó ở đó, bởi vì không có giao diện GUI nào được cung cấp.

— 6205
nguồn

6

Tôi đã bị sốc khi vô tình phát hiện ra rằng một tường lửa được cài đặt nhưng bị vô hiệu hóa! Các đối số được đề cập ở đây là khá yếu.

— HRJ

1

Tôi có cùng một câu hỏi là tại sao tôi lại đến đây, chỉ có một phỏng đoán rất hoang dã rằng người dùng Linux (trái ngược với người dùng Windows có nhiều khả năng là người dùng máy tính để bàn bình thường) có nhiều cách sử dụng Linux khác nhau: Một số sử dụng ssh, một số không, rất nhiều sử dụng nó như một máy chủ web, cơ sở dữ liệu hoặc máy chủ smtp ... triết lý Linux sẽ cho phép mọi người dùng cấu hình tường lửa của anh ta khi anh ta thấy phù hợp.

— dùng10089632

Đây là một quyết định thiết kế vô cùng tồi tệ. Thật đáng kinh ngạc!

— iono

37

Ra khỏi hộp, Ubuntu vận chuyển không có cổng TCP hoặc UDP mở, do đó người ta tin rằng không có lý do gì để chạy Tường lửa không biến đổi (ufw) theo mặc định. Tuy nhiên, tôi đồng ý rằng việc ufw bị vô hiệu hóa là một quyết định kỳ lạ. Lý do của tôi là người dùng thiếu kinh nghiệm sẽ có khả năng cài đặt những thứ như Samba, Apache và như họ thử nghiệm với hệ thống đặt trước họ. Nếu họ không hiểu ý nghĩa của việc này, họ sẽ tiếp xúc với bevaviour độc hại trên internet.

Ví dụ - Tôi đã cấu hình máy tính xách tay của mình với Samba, mạng của tôi được bảo vệ bằng WPA2. Nhưng nếu tôi mang máy tính xách tay của mình đến Starbucks, tôi có thể không nghĩ gì về nó, nhưng chiếc máy tính xách tay đó hiện đang quảng cáo cổ phiếu của tôi cho tất cả và lặt vặt. Với tường lửa, tôi có thể giới hạn các cổng samba của mình chỉ cho máy chủ gia đình hoặc các thiết bị ngang hàng. Không cần phải lo lắng nhiều về việc ai có thể đang cố gắng kết nối với máy tính xách tay của tôi. Tương tự với VNC, SSH hoặc một số lượng lớn các dịch vụ hữu ích khác mà máy tính xách tay của tôi có thể đang chạy hoặc đang cố gắng kết nối.

Ubuntu có một cách tiếp cận bật / tắt đối với các yếu tố bảo mật nhất định, một triết lý mà tôi không thể đồng ý. Bảo mật có thể được bật hoặc tắt về mặt kỹ thuật, nhưng bằng cách xếp các yếu tố bảo mật lên nhau, bạn kết thúc với một hệ thống tốt hơn. Chắc chắn, bảo mật của Ubuntu là đủ tốt cho một số lượng lớn các trường hợp sử dụng, nhưng không phải tất cả.

Dòng dưới cùng, chạy ufw. Cẩn tắc vô ưu.

Tường lửa không phức tạp có một số mặt trước đồ họa, nhưng đơn giản nhất là Gufw .

sudo apt-get install gufw

Ở đây, tôi đang cho phép tất cả lưu lượng truy cập từ các Vlan máy chủ cụ thể trong môi trường công ty của mình và tôi đã thêm một quy tắc để cho phép các cổng cần thiết cho phiên SSH ngược để thoát khỏi máy này.

GUFW Ảnh chụp màn hình

— Scaine
nguồn

ufw chỉ kiểm soát iptables - đó là lý do tại sao nó không được bật theo mặc định. Người dùng nâng cao có thể sử dụng iptables.

— papukaija

3

@papukaija - người dùng nâng cao của iptables có thể sử dụng iptables. Một người dùng nâng cao trên hệ thống bsd sẽ sử dụng pf, nhưng điều đó không làm cho người dùng đó, đến với Ubuntu, đột nhiên không tinh vi. Tương tự như vậy với một người chủ yếu là kỹ sư mạng - người đó sẽ biết logic ACL của Cisco hoặc Juniper. Nó không dành cho tất cả mọi người, nhưng ufw có thể giúp cấu hình dễ truy cập hơn và theo tôi đây là một điều tốt.

— belacqua

2

@jgbelacqua: Đúng nhưng câu trả lời của scaine đưa ra một hình ảnh rằng ufw là một bức tường lửa trong khi nó chỉ là tiền đề cho iptables.

— papukaija

1

(Cảnh báo dành cho người đi bộ gây căng thẳng) Tôi khuyên người dùng không cho phép các gói UDP / 53 đến ngẫu nhiên trên cơ sở địa chỉ nguồn giả mạo. Chúng đã được sử dụng trong các cuộc tấn công trong thế giới thực (chất độc DNS, DoS bởi lưu lượng được khuếch đại). Bạn sẽ cần phải làm điều này tại sao?

— nguồn

Đúng, có lẽ đúng. Đó thực sự là một ảnh chụp màn hình xấu, của một PC cũ, nơi tôi chỉ muốn OpenDNS ra khỏi nhật ký của mình. Đó không phải là thực hành tốt. Nếu tôi có thời gian, tôi sẽ cố gắng cập nhật ảnh chụp màn hình, vì GUFW ngày nay trông khá khác biệt.

— Scaine

28

Trái ngược với Microsoft Windows, máy tính để bàn Ubuntu không cần tường lửa để an toàn trên Internet, vì theo mặc định, Ubuntu không mở các cổng có thể gây ra sự cố bảo mật.

Nói chung, một hệ thống Unix hoặc Linux được làm cứng đúng cách sẽ không cần tường lửa. Tường lửa (ngoại trừ một số vấn đề bảo mật nhất định với máy tính Windows) có ý nghĩa hơn để chặn các mạng nội bộ với Internet. Trong trường hợp này, các máy tính cục bộ có thể giao tiếp với nhau qua các cổng mở là các khối hướng ra bên ngoài bởi tường lửa. Trong trường hợp này, các máy tính được mở ra một cách có chủ ý để liên lạc nội bộ không nên có sẵn bên ngoài mạng nội bộ.

Máy tính để bàn Ubuntu tiêu chuẩn sẽ không yêu cầu điều này, do đó ufw không được bật theo mặc định.

— txwikinger
nguồn

Không phải (g) uwf chỉ là một frontend sao? Ý tôi là tường lửa thực sự là iptables, phải không?

— papukaija

9

Ngay cả các hệ thống được làm cứng đúng cách cũng sẽ được hưởng lợi từ tường lửa. Ví dụ: nếu bạn chạy Samba, bạn sẽ mở nhiều cổng khác nhau cho mọi người. Với một tường lửa, bạn có thể hạn chế điều đó chỉ với máy chủ hoặc đồng nghiệp của bạn.

— Scaine

netfilter + iptables hoặc netfilter + ufw (bao gồm iptables) cung cấp tường lửa. Nhưng nếu bạn có ufw, bạn sẽ có chức năng tường lửa.

— belacqua

4

[cần dẫn nguồn]

— ζ--

7

Điều này là hoàn toàn vô lý. Tường lửa được sử dụng để bảo vệ thông tin liên lạc trong và ngoài việc sử dụng không hợp pháp ... Điều này có nghĩa là nếu bạn cài đặt một trình phát nhạc mở cổng sai, bạn sẽ có kết nối mở với internet. Đó gọi là bảo mật phòng ngừa, bạn bảo vệ khỏi những điều có thể xảy ra. Câu trả lời này mang đến cho mọi người cảm giác sai lầm về bảo mật trong môi trường linux.

— Daniel

8

Trong Ubuntu hoặc bất kỳ Linux nào khác, tường lửa là một phần của hệ thống cơ sở và được gọi là iptables / netfilter. Nó luôn được kích hoạt.

iptables bao gồm một tập hợp các quy tắc về những việc cần làm và cách ứng xử khi một gói nếu đi vào. Nếu bạn muốn chặn rõ ràng các kết nối đến từ một IP cụ thể, bạn sẽ cần thêm quy tắc. Thật ra bạn không cần phải làm như vậy. Thư giãn.

Nếu bạn muốn bảo mật tốt từ mọi thứ, hãy nhớ đừng cài đặt phần mềm ngẫu nhiên từ bất cứ đâu. Nó có thể làm hỏng cài đặt bảo mật mặc định của bạn. Đừng chạy như root bao giờ. Luôn tin tưởng các repos chính thức.

Tôi nghĩ điều bạn muốn hỏi là liệu UI có được cài đặt hay không?

— Manish Sinha
nguồn

8

Bạn làm cho nó có vẻ như tường lửa là "luôn luôn được bật", đó không phải là trường hợp. Nó có thể được tích hợp, nhưng trừ khi bạn bật nó lên sudo ufw enable, phần mềm máy chủ đầu tiên bạn cài đặt sẽ mở ra một cổng mà iptables tích hợp sẽ không làm được gì.

— Scaine

4

@Scaine: ufw không làm việc; nó được thực hiện bởi iptables được bật theo mặc định.

— papukaija

7

Chào các cậu. UFW là một giao diện người dùng trên iptables - tôi hiểu rồi. Tuy nhiên, theo mặc định, iptables không chính xác. Nó không hoạt động. Đây không phải là tường lửa. Nó đã sẵn sàng, nhưng vô dụng. Bạn PHẢI chạy sudo ufw enabletrước khi iptables được cấu hình để làm bất cứ điều gì. Manish, câu trả lời của bạn nghe như tường lửa đang chạy. Bạn đang nói "về mặt kỹ thuật là như vậy" và về mặt kỹ thuật thì bạn đã đúng. Nhưng nó không làm gì cả, vì vậy bạn đang tạo ấn tượng sai lầm lớn về bảo mật ở nơi không tồn tại.

— Scaine

3

@manish, liên quan đến "người dùng bình thường cài đặt phần mềm máy chủ". Nhiều người sẽ cài đặt Samba, theo ví dụ của tôi. Nhiều người khác sẽ sử dụng máy chủ VNC tích hợp trong tùy chọn / máy tính để bàn từ xa. Điều này tốt trong môi trường gia đình (có thể), nhưng hãy mang máy tính xách tay đó ra ngoài với các dịch vụ được kích hoạt, bạn có khả năng phơi bày hành vi độc hại.

— Scaine

2

Các cổng ssh, liên quan đến in và thư cũng thường xuyên được mở cho các loại hoạt động hoàn toàn bình thường của máy tính để bàn hoặc máy chủ. Chúng có thể bị khóa (ví dụ bằng IP nguồn) hoặc đóng hoàn toàn bằng ufw hoặc một hương vị khác của tường lửa / ACL.

— belacqua

4

Ngoài ra, gufwcó thể cung cấp một giao diện người dùng GUI. (Đối với tôi, nó không thực sự trực quan hơn ufw trên dòng lệnh, nhưng nó cho bạn một lời nhắc nhở trực quan hơn về những gì đang có.) Tôi đồng ý rằng tường lửa hiện không được quảng cáo tốt. Nếu tôi đoán, tôi sẽ nói điều này là để ngăn người dùng mới tự bắn vào chân mình.

— belacqua
nguồn

-1

Bởi vì: mật khẩu hoặc khóa mật mã.

Đây là IMO câu trả lời đúng, và cho đến nay, một câu trả lời hoàn toàn khác so với những câu trả lời khác. ufwbị tắt theo mặc định để thuận tiện cho phần lớn người dùng Ubuntu biết rằng mật khẩu là một hình thức bảo vệ quan trọng để cung cấp quyền riêng tư và kiểm soát hạn chế. Phần lớn người dùng Ubuntu sẽ "kiểm tra" phần mềm bằng cách cài đặt từ kho lưu trữ được Ubuntu chấp thuận và cẩn thận với các nguồn khác, để giảm thiểu rủi ro nói chung, không chỉ rủi ro liên quan đến cổng. Bằng cách đó, họ đã đi một chặng đường dài để giảm thiểu rủi ro liên quan đến cổng vốn đã nhỏ vì họ sử dụng mật khẩu "bình thường" và rất nhỏ nếu họ sử dụng mật khẩu khó mã hóa hoặc khóa mật mã.

Một số rủi ro được trích dẫn như máy chủ tệp Samba, máy chủ HTTP Apache, SSH, VNC trên WiFi (công khai) của Starbucks thường sẽ được loại bỏ bằng mật khẩu khó đọc trên máy chủ.

ufwPhần mềm "phá vỡ", như một tường lửa, đó là lý do tại sao nó bị tắt theo mặc định. Để kiểm tra điều này trên bản cài đặt mới của Ubuntu, máy chủ A, cài đặt sshvà đăng nhập từ một máy khác, máy khách B, trên cùng một mạng cục bộ và bạn sẽ thấy nó hoạt động ngay lập tức. Đăng xuất. Sau đó quay trở lại máy chủ A và sudo ufw enable. Quay trở lại máy khách B và bạn sẽ không sshđến máy chủ A.

— H2ONaCl
nguồn

1

Mật khẩu ngồi ở cấp độ cao hơn nhiều của ngăn xếp. Các hệ thống có thể bị tấn công thông qua các lỗi tràn bộ đệm đơn giản ở các cấp thấp hơn của ngăn xếp.

— HRJ

Tại sao các downvote?

— H2ONaCl

@HRJ, "các hệ thống có thể bị tấn công" không bác bỏ rằng vấn đề thuận tiện. Bạn đã không giải quyết tính chính xác của những gì tôi đã viết. Tôi đã đúng. Bạn đang trên một tiếp tuyến.

— H2ONaCl