Tại sao Debian đến mà không có tường lửa được bật theo mặc định?

Tôi đang sử dụng Debian 9.1 với KDE và tôi tự hỏi tại sao nó không có tường lửa được cài đặt và bật theo mặc định? gufw thậm chí không có trong các gói của DVD1.

Mọi người có dự kiến ​​kết nối Internet trước khi có tường lửa không? Tại sao? Ngay cả khi tất cả các cổng được đóng theo mặc định, các chương trình được cài đặt, cập nhật hoặc tải xuống có thể mở chúng (hoặc không?) Và tôi ước không có một bit nào rời khỏi máy mà không có sự cho phép của tôi.

Chỉnh sửa: Vì vậy, tôi mới tìm hiểu về iptables nhưng tôi đoán câu hỏi vẫn còn là iptables vì ​​tường lửa dường như khá xa lạ với hầu hết các quy tắc mặc định, khả năng truy cập và dễ sử dụng của nó và thực tế là mặc định mọi quy tắc iptable đều được đặt lại lúc khởi động lại .

Đầu tiên, Debian có xu hướng cho rằng bạn biết bạn đang làm gì và cố gắng tránh đưa ra lựa chọn cho bạn.

Cài đặt mặc định của Debian khá nhỏ và an toàn - nó không khởi động bất kỳ dịch vụ nào. Và ngay cả các tính năng bổ sung tùy chọn tiêu chuẩn (ví dụ: máy chủ web, ssh) được thêm vào cài đặt thường khá bảo thủ và an toàn.

Vì vậy, một tường lửa là không cần thiết trong trường hợp này. Debian (hoặc nhà phát triển của nó) cho rằng nếu bạn khởi động các dịch vụ bổ sung, bạn sẽ biết cách bảo vệ chúng và có thể thêm tường lửa nếu cần.

Quan trọng hơn, có lẽ, Debian tránh đưa ra lựa chọn cho bạn về việc sử dụng phần mềm tường lửa nào. Có một số lựa chọn có sẵn - nên chọn cái nào? Và thậm chí liên quan đến một cài đặt tường lửa cơ bản, nên chọn cài đặt nào? Phải nói rằng, iptablesưu tiên quan trọng, vì vậy nó được cài đặt theo mặc định. Nhưng tất nhiên, Debian không biết bạn muốn nó được cấu hình như thế nào, vì vậy nó không cấu hình nó cho bạn. Và dù sao thì bạn cũng có thể thích sử dụng iptablesngười kế vị nftables.

Cũng lưu ý rằng chức năng tường lửa đã được tích hợp vào nhân Linux ở một mức độ nhất định; ví dụ nftablesvà netfilter. Debian và các bản phân phối Linux khác cung cấp các công cụ không gian người dùng muốn iptablesquản lý chức năng đó. Nhưng những gì bạn làm với họ là tùy thuộc vào bạn.

Lưu ý rằng các thực thể này không được đặt tên nhất quán. Để trích dẫn trang Wikipedianftables :

nftables được cấu hình thông qua tiện ích không gian người dùng nft trong khi netfilter được cấu hình thông qua các tiện ích iptables, ip6tables, arptables và ebtables.

Trước hết, tôi muốn nhắc lại những gì đã được nói: Debian phục vụ cho một nhóm người dùng khá khác so với nhiều bản phân phối chính khác, đặc biệt là Ubuntu. Debian hướng đến những người biết cách hệ thống hoạt động và đôi khi họ không ngại sửa đổi để đổi lấy mức độ kiểm soát cao đối với hệ thống. Ví dụ, Ubuntu phục vụ cho một đối tượng mục tiêu rất khác: những người chỉ muốn mọi thứ hoạt động và không (thực sự) quan tâm đến những gì đang diễn ra, và chắc chắn không muốn phải sửa đổi cấu hình hệ thống để tạo ra mọi thứ công việc. Điều này tác động đến một số khía cạnh của hệ thống kết quả. Và ở một mức độ nào đó, đó là một nét đẹp của Linux; cùng một hệ thống cơ sở có thể được sử dụng để xây dựng các môi trường phục vụ cho các nhu cầu khác nhau. Hãy nhớ rằng Ubuntu là một dẫn xuất Debian,

gufw thậm chí không có trong các gói của DVD1.

Đĩa đầu tiên chứa phần mềm phổ biến nhất, được xác định bằng cách chọn tham gia thu thập số liệu thống kê ẩn danh từ các hệ thống được cài đặt. Thực tế là gufw không có trên đĩa đầu tiên chỉ đơn giản chỉ ra rằng đây không phải là gói rất phổ biến (về mặt cơ sở được cài đặt) trong Debian. Bạn cũng có thể dễ dàng cài đặt một khi bạn có hệ thống cơ sở với kết nối và chạy mạng, nếu bạn thích nó hơn các lựa chọn thay thế.

Mọi người có dự kiến ​​kết nối Internet trước khi có tường lửa không? Tại sao?

Chà, vì một điều, tôi tin rằng Debian cho phép cài đặt qua mạng. (Không chỉ tải xuống các gói từ mạng trong khi cài đặt bình thường, mà theo nghĩa đen bắt đầu cài đặt từ một máy chủ khác với cài đặt trên đó .) Một tường lửa được cấu hình theo mặc định với bộ quy tắc hạn chế sẽ có nguy cơ can thiệp vào điều đó. Tương tự với các cài đặt cần truy cập mạng đi trong quá trình cài đặt cho các mục đích khác ngoài việc chỉ tải xuống các phiên bản mới nhất của gói đang được cài đặt.

Đối với người khác, có những gì tôi đã đề cập ở trên; như một quy luật, Debian mong rằng bạn biết bạn đang làm gì. Nếu bạn muốn có tường lửa, bạn sẽ có thể tự cấu hình nó và bạn sẽ biết rõ hơn những người bảo trì Debian về nhu cầu cụ thể của bạn là gì. Debian hơi giống OpenBSD về vấn đề đó, chỉ là không cực đoan. (Khi được lựa chọn giữa việc làm cho hệ thống cơ sở an toàn hơn một chút và làm cho nó dễ sử dụng hơn một chút, các nhà bảo trì OpenBSD hầu như luôn luôn bảo mật. Điều đó cho thấy trong thống kê lỗ hổng bảo mật hệ thống cơ sở của họ, nhưng có ý nghĩa rất lớn về khả năng sử dụng.)

Và tất nhiên, tính kỹ thuật: Hỗ trợ tường lửa được bao gồm trong hệ thống cơ sở. Chỉ là nó được đặt thành quy tắc cho phép hoàn toàn được đặt theo mặc định bởi kernel và cài đặt Debian cơ bản không làm gì để thay đổi điều đó. Bạn có thể chạy một vài lệnh để hạn chế lưu lượng.

Ngay cả khi tất cả các cổng được đóng theo mặc định, các chương trình được cài đặt, cập nhật hoặc tải xuống có thể mở chúng (hoặc không?) Và tôi ước không có một bit nào rời khỏi máy mà không có sự cho phép của tôi.

Đầu tiên, tường lửa thường được sử dụng để hạn chế lưu lượng đến lưu lượng . Nếu bạn muốn hạn chế đi , đó là một ấm cá khá khác nhau; chắc chắn có thể làm được, nhưng cần điều chỉnh nhiều hơn cho tình huống cụ thể của bạn. Tường lửa lưu lượng truy cập đi ra chặn mặc định để mở các cổng thường được sử dụng (trong đó các cổng thường được sử dụng có thể là ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 và một gói khác), cộng với việc cho phép lưu lượng truy cập liên quan đến các phiên đã thiết lập, sẽ không an toàn hơn nhiều so với tường lửa cho phép mặc định. Tốt hơn là đảm bảo tập hợp các gói được cài đặt bởi hệ thống cơ sở được giới hạn ở một tập hợp được hiểu rõ, được định cấu hình an toàn như các gói được phân phối và cho phép quản trị viên thiết lập các quy tắc tường lửa phù hợp nếu chúng cần bảo vệ nhiều hơn thế.

Thứ hai, một cổng đóng (một cổng đáp ứng với TCP TCP bằng TCP RST / ACK, thường được báo cáo là "từ chối kết nối" - đây thường là trạng thái mặc định của cổng TCP trên hệ thống trực tiếp hỗ trợ TCP / IP mà không có cấu hình ngược lại hoặc phần mềm nghe trên đó) không phải là một lỗ hổng đáng kể, thậm chí trên một hệ thống không được kết nối thông qua một tường lửa riêng. Lỗ hổng đáng kể duy nhất trong cấu hình toàn bộ sẽ là nếu có lỗ hổng trong triển khai ngăn xếp TCP / IP của kernel. Nhưng các gói đã đi qua mã netfilter (iptables) trong kernel và một lỗi cũng có thể ẩn ở đó. Logic để phản hồi với kết quả trong "kết nối bị từ chối" ở đầu bên kia đủ đơn giản để tôi có một thời gian khó tin rằng nó sẽ là một nguồn chính của các lỗi, chứ đừng nói đến các lỗi liên quan đến bảo mật;

Thứ ba, các gói thường được cài đặt dưới dạng root, từ đó bạn (gói) có thể thay đổi các quy tắc iptables mà bạn không biết. Vì vậy, nó không giống như bạn đạt được bất cứ điều gì như yêu cầu quản trị viên con người cho phép lưu lượng truy cập thông qua tường lửa máy chủ. Nếu bạn muốn loại cách ly đó, bạn nên có một tường lửa tách biệt với máy chủ mà nó đang bảo vệ ở nơi đầu tiên.

Vì vậy, tôi chỉ tìm hiểu về iptables nhưng tôi đoán câu hỏi vẫn còn là iptables vì ​​tường lửa dường như khá xa lạ với hầu hết, các quy tắc mặc định của nó và khả năng truy cập và dễ sử dụng.

Tôi thực sự sẽ nói rằng điều ngược lại là đúng; iptables như một tường lửa được biết đến . Nó cũng có sẵn trên hầu hết mọi hệ thống Linux mà bạn có khả năng gặp phải. (Nó đã thay thế ipchains trong quá trình phát triển dẫn đến Linux kernel phiên bản 2.4, khoảng năm 2000 hoặc lâu hơn. Nếu tôi nhớ lại mọi thứ một cách chính xác, sự thay đổi rõ ràng nhất của người dùng giữa hai trường hợp sử dụng chung cho tường lửa là quy tắc tích hợp sẵn các chuỗi bây giờ được đặt tên bằng chữ hoa, như INPUT, thay vì chữ thường, như input.)

Nếu bất cứ điều gì, iptables có thể làm những việc khác ngoài tường lửa không được sử dụng hoặc hiểu rộng rãi. Ví dụ, nó có thể được sử dụng để ghi lại các gói IP trước khi chúng được chuyển qua tường lửa.

Nếu tôi đoán, mà không thực sự nằm trong đầu của một thế hệ các nhà phát triển và bảo trì Debian, thì tôi đoán là:

Debian được thiết kế chủ yếu như một hệ điều hành máy chủ, cả hai nhánh thử nghiệm và nhánh đều có mục đích chính là tạo ra nhánh ổn định tiếp theo và tại thời điểm đóng băng, chúng bị đóng băng và ổn định mới được lấy từ thử nghiệm, như chỉ là đã xảy ra với Stretch.

Với điều này, tôi sẽ giả định thêm, tôi phải xác nhận điều này với một người bạn sysadmin, rằng tường lửa trung tâm dữ liệu là thiết bị bên ngoài, bảo mật cao hơn nhiều (ít nhất một người hy vọng đây là trường hợp), cho các máy chủ và xử lý chính nhiệm vụ tường lửa. Ngay cả trên một mạng LAN nhỏ có bộ định tuyến, đây là trường hợp, bộ định tuyến là tường lửa, tôi không sử dụng bất kỳ quy tắc tường lửa cục bộ nào trên bất kỳ hệ thống nào của mình, tại sao tôi lại làm vậy?

Tôi nghĩ rằng có thể mọi người nhầm lẫn các bản cài đặt cục bộ của máy tính để bàn Debian hoặc một máy chủ tệp duy nhất trong văn phòng hoặc nhà riêng với công việc thực tế được kết nối với Debian, mà tôi tin rằng tập trung chủ yếu vào việc sử dụng sản xuất.

Tôi không chắc về điều này, nhưng sau hơn một thập kỷ sử dụng Debian, đó là cảm giác của tôi, vừa là nhà phát triển vừa là người hỗ trợ Debian theo nhiều cách.

Tôi có thể kiểm tra vấn đề này, vì đây thực sự là một câu hỏi hay, nhưng tôi đoán là các mạng thực sự được tường lửa tại các điểm truy cập vào mạng, không phải trên cơ sở trên mỗi máy, hoặc ít nhất, đó là ý tưởng cơ bản có thể điều khiển Debian. Tất nhiên, thêm vào đó, nếu không phải như vậy, sysadmin sẽ thiết lập các quy tắc tường lửa trên cơ sở từng máy, sử dụng một cái gì đó như Chef, không dựa vào bất kỳ cài đặt mặc định nào, đó sẽ không phải là thứ bạn có xu hướng ví dụ, để tin tưởng, các cấu hình ssh Debian mặc định không phải là cấu hình mặc định mà tôi sẽ sử dụng theo mặc định, ví dụ, chúng cho phép đăng nhập root theo mặc định và tùy thuộc vào sysadmin để sửa lỗi nếu chúng thấy đó là một thông lệ xấu .

Đó là, có một giả định về năng lực mà tôi nghĩ rằng Debian có thể vắng mặt trong một số bản phát hành khác. Như trong, bạn sẽ thay đổi những gì bạn muốn thay đổi, tạo hình ảnh, quản lý chúng bằng phần mềm quản lý trang web, v.v. Đó chỉ là một vài khả năng. Ví dụ: bạn sẽ không bao giờ sử dụng DVD để tạo một máy chủ mới, ít nhất là không bao giờ được sản xuất, có lẽ bạn sẽ sử dụng một cái gì đó như cài đặt mạng tối thiểu, ví dụ như những gì tôi luôn sử dụng (tôi đã từng sử dụng một hình ảnh nhỏ hơn , nhưng họ đã ngừng nó). Nếu bạn xem những gì được bao gồm trong bản cài đặt cơ sở đó, bạn sẽ hiểu rõ về những gì Debian coi là quan trọng và những gì nó không. ssh là có, ví dụ. Xorg thì không, Samba thì không.

Người ta cũng có thể hỏi tại sao họ quay lại Gnome như một máy tính để bàn mặc định, nhưng đây chỉ là những quyết định mà họ đưa ra và về cơ bản người dùng của họ bỏ qua vì bạn có thể tạo ra các hệ thống theo cách bạn muốn (nghĩa là để có được máy tính để bàn Xfce, tôi không Tôi không cài đặt Xdebian (như trong Xubfox), tôi chỉ cài đặt lõi Debian, Xorg và Xfce, và tôi sẽ tắt). Theo cách tương tự, nếu tôi muốn tường lửa, tôi sẽ cấu hình nó, tìm hiểu các phần mở rộng, v.v., nhưng cá nhân tôi sẽ không mong đợi Debian sẽ phát hành với tính năng được kích hoạt đó, nó thực sự sẽ gây khó chịu cho tôi nếu nó là . Có thể quan điểm của tôi về điều này phản ánh một loại đồng thuận mà bạn cũng có thể tìm thấy trong Debian.

Thêm vào đó, tất nhiên, thực sự không có thứ gì như Debian, có nhiều hình ảnh cài đặt, cài đặt mạng, cài đặt đầy đủ, tất cả đều khác nhau từ barebones, chỉ cli, cho đến một máy tính để bàn hoàn chỉnh hợp lý. Người dùng sản xuất có thể sẽ tạo hình ảnh chẳng hạn, sẽ được định cấu hình theo cách người dùng muốn, tôi biết nếu tôi đang thiết lập máy chủ Debian, tôi sẽ bắt đầu với những điều cơ bản thô và xây dựng nó cho đến khi nó làm được điều tôi muốn.

Sau đó, bạn có thế giới máy chủ web, đó là một quả bóng sáp hoàn toàn khác, những người có câu hỏi bảo mật rất khác nhau, và, như một người bạn cũ của tôi kết nối tốt với hacker ngầm, một người điều hành máy chủ web mà không biết cách bảo mật nó cũng có thể được gọi là ai đó có máy chủ được sở hữu bởi các cracker.

Ý tưởng chung là, bạn không cần tường lửa trên hầu hết các hệ thống ngoại trừ các thiết lập phức tạp.

SSH đang chạy ,, khi bạn cài đặt một máy chủ. Không có gì khác nên lắng nghe và có lẽ bạn muốn có thể kết nối với ssh.

Khi bạn cài đặt một máy chủ web, bạn sẽ mong đợi máy chủ web sẽ khả dụng, phải không? Và để điều chỉnh cơ bản, bạn chỉ có thể liên kết máy chủ web, với giao diện lan riêng, ví dụ 192.168.172.42 (IP LAN cục bộ của bạn), thay vì 0.0.0.0 (tất cả ips). Bạn vẫn không cần tường lửa.

Tất nhiên, mọi thứ đều có thể mở một cổng> 1024, nhưng khi bạn có phần mềm không đáng tin cậy (hoặc người dùng không tin cậy), bạn nên làm nhiều hơn là chỉ cài đặt tường lửa. Trong thời điểm bạn cần không tin tưởng một cái gì đó hoặc ai đó bạn cần một khái niệm bảo mật không chỉ là một phần mềm. Vì vậy, đó là một điều tốt khi bạn cần chủ động suy nghĩ về giải pháp tường lửa của mình.

Bây giờ có tất nhiên các kịch bản phức tạp hơn. Nhưng khi bạn thực sự có một trong số này, bạn thực sự cần phải tinh chỉnh tường lửa và đừng để một hệ thống tự động như ufw làm điều đó. Hoặc thậm chí bạn có thể sử dụng ufw, nhưng sau đó bạn đã quyết định nó và không phải mặc định của hệ điều hành.

Mọi người có dự kiến ​​kết nối Internet trước không

Đúng

nhận được một tường lửa?

Ngay cả khi tất cả các cổng được đóng theo mặc định

Xin lỗi, họ không phải. rpcbindtheo mặc định dường như được cài đặt, kích hoạt và nghe trên mạng.

EDIT: Tôi tin rằng điều này đã được sửa trong trình cài đặt mới nhất, tức là cho Debian 9 (Stretch) . Nhưng với các phiên bản trước của Debian, tôi sẽ không cảm thấy an toàn khi cài đặt (và sau đó cập nhật) chúng trên mạng wifi công cộng.

Tại sao?

Tôi nghi ngờ mọi người có một giả định rằng

1. mạng cục bộ sẽ không tấn công các dịch vụ mạng của bạn
2. đã có một tường lửa giữa mạng cục bộ của bạn và internet rộng hơn.

Mặc dù sau này là thông lệ phổ biến, ví dụ như bởi các bộ định tuyến người tiêu dùng, tôi không tin rằng nó được đảm bảo. Không có gì đáng ngạc nhiên khi giả định trước đây không được ghi nhận; Nó cũng không phải là một điều hợp lý.

Theo tôi, vấn đề với rpcbind là một ví dụ về một điểm chung hơn. Mọi người có thể cố gắng quảng bá Debian và nó có nhiều tính năng thú vị. Nhưng Debian tụt lại phía sau Ubuntu về mức độ thân thiện và thân thiện của nó, hoặc thậm chí có thể tin rằng nó đáng tin cậy như thế nào đối với những người muốn tìm hiểu các chi tiết như vậy.

các chương trình đã tải xuống có thể mở chúng (hoặc không?) và tôi mong muốn thậm chí không một chút nào rời khỏi máy của mình mà không có sự cho phép của tôi.

Bạn chắc chắn có thể tự do cài đặt tường lửa trước khi bắt đầu tải xuống và chạy phần mềm ngẫu nhiên mà bạn không chắc nó làm gì :-p.

Tôi đồng ý một phần, thật đáng báo động khi cài đặt Linux và không tìm thấy bất kỳ giao diện nào được thiết lập cho lớp bảo mật rất nổi tiếng. Cá nhân tôi thấy hữu ích để hiểu cách thiết lập tường lửa Windows mặc định. Nó muốn bạn có thể "tin tưởng" một mạng gia đình và trong các phiên bản gần đây hơn, cài đặt nhanh thậm chí sẽ bỏ qua việc hỏi bạn có tin tưởng mạng hiện tại không. Mục tiêu chính dường như là để phân biệt giữa các mạng gia đình, các kết nối không được bảo vệ như modem được kết nối trực tiếp và mạng wifi công cộng. Lưu ý rằng UFW không hỗ trợ điều này.

Fedora Linux một mình đã cố gắng cung cấp một cái gì đó như thế này, trong firewalld. (Các gói dường như cũng có sẵn trong Debian ...). GUI cho nó không "thân thiện", giả sử như GUFW.

Triết lý truyền thống của Unix luôn là HÔN NHÂN và chạy / phơi bày tối thiểu các dịch vụ.

Một số dịch vụ cũng phải được cài đặt rõ ràng và thậm chí một số dịch vụ bị ràng buộc với localhost và bạn phải cho phép chúng hiển thị trong mạng cục bộ / trên Internet (MySQL, MongoDB, snmpd, ntpd, xorg ...). Đây là một cách tiếp cận hợp lý hơn sau đó cho phép tường lửa theo mặc định.

Bạn chỉ cần sự phức tạp mà tường lửa mang lại từ một điểm nhất định và nhu cầu đó có thể bị giảm đi đằng sau bộ định tuyến của công ty hoặc thiết bị đóng cửa tại nhà, do đó nghe có vẻ hợp lý khi đưa ra quyết định của người dùng. Một tường lửa, giống như nhiều phần mềm bảo mật khác cũng có thể cung cấp cảm giác sai về bảo mật nếu không được quản lý đúng cách.

Định hướng của Debian luôn là dân gian có định hướng kỹ thuật hơn, người biết iptables là gì; cũng có một số trình bao bọc, giao diện văn bản hoặc chế độ đồ họa có thể dễ dàng cài đặt.

Trên hết, việc nó đi kèm với quá nhiều hay quá ít phần mềm được cài đặt đều là vấn đề quan điểm. Đối với một người lâu năm, nó đi kèm với quá nhiều phần mềm và dịch vụ được cài đặt theo mặc định, đặc biệt là trong chế độ máy chủ.