Tại sao Debian đến mà không có tường lửa được bật theo mặc định?


15

Tôi đang sử dụng Debian 9.1 với KDE và tôi tự hỏi tại sao nó không có tường lửa được cài đặt và bật theo mặc định? gufw thậm chí không có trong các gói của DVD1.

Mọi người có dự kiến ​​kết nối Internet trước khi có tường lửa không? Tại sao? Ngay cả khi tất cả các cổng được đóng theo mặc định, các chương trình được cài đặt, cập nhật hoặc tải xuống có thể mở chúng (hoặc không?) Và tôi ước không có một bit nào rời khỏi máy mà không có sự cho phép của tôi.

Chỉnh sửa: Vì vậy, tôi mới tìm hiểu về iptables nhưng tôi đoán câu hỏi vẫn còn là iptables vì ​​tường lửa dường như khá xa lạ với hầu hết các quy tắc mặc định, khả năng truy cập và dễ sử dụng của nó và thực tế là mặc định mọi quy tắc iptable đều được đặt lại lúc khởi động lại .


Câu hỏi rất hay. Máy chủ Ubuntu thậm chí không iptablesđược cài đặt sẵn! Tôi đoán mọi người chỉ cố gắng áp dụng nguyên tắc end-to-end cho lớp 7 cực kỳ ...
rlf

8
Lý do nào khiến bạn nói rằng iptables là "không biết đến hầu hết"?
SaAtomic

1
Tôi đã hỏi một cái gì đó tương tự một lúc trước unix.stackexchange.com/questions/127394/ trên
StrongBad

1
"Ngay cả khi tất cả các cổng được đóng theo mặc định, các chương trình được cài đặt, cập nhật hoặc tải xuống có thể mở chúng ..." - Nếu bạn giả sử ác ý, thì các chương trình đã cài đặt, cập nhật hoặc tải xuống cũng có thể xóa các quy tắc tường lửa.
marcelm

1
@mYnDstrEAm ví dụ bởi vì bạn đưa ra những chương trình cài đặt script quyền root khi bạn cung cấp cho sudomật khẩu của bạn như trongsudo apt-get install package ...
mèo

Câu trả lời:


28

Đầu tiên, Debian có xu hướng cho rằng bạn biết bạn đang làm gì và cố gắng tránh đưa ra lựa chọn cho bạn.

Cài đặt mặc định của Debian khá nhỏ và an toàn - nó không khởi động bất kỳ dịch vụ nào. Và ngay cả các tính năng bổ sung tùy chọn tiêu chuẩn (ví dụ: máy chủ web, ssh) được thêm vào cài đặt thường khá bảo thủ và an toàn.

Vì vậy, một tường lửa là không cần thiết trong trường hợp này. Debian (hoặc nhà phát triển của nó) cho rằng nếu bạn khởi động các dịch vụ bổ sung, bạn sẽ biết cách bảo vệ chúng và có thể thêm tường lửa nếu cần.

Quan trọng hơn, có lẽ, Debian tránh đưa ra lựa chọn cho bạn về việc sử dụng phần mềm tường lửa nào. Có một số lựa chọn có sẵn - nên chọn cái nào? Và thậm chí liên quan đến một cài đặt tường lửa cơ bản, nên chọn cài đặt nào? Phải nói rằng, iptablesưu tiên quan trọng, vì vậy nó được cài đặt theo mặc định. Nhưng tất nhiên, Debian không biết bạn muốn nó được cấu hình như thế nào, vì vậy nó không cấu hình nó cho bạn. Và dù sao thì bạn cũng có thể thích sử dụng iptablesngười kế vị nftables.

Cũng lưu ý rằng chức năng tường lửa đã được tích hợp vào nhân Linux ở một mức độ nhất định; ví dụ nftablesnetfilter. Debian và các bản phân phối Linux khác cung cấp các công cụ không gian người dùng muốn iptablesquản lý chức năng đó. Nhưng những gì bạn làm với họ là tùy thuộc vào bạn.

Lưu ý rằng các thực thể này không được đặt tên nhất quán. Để trích dẫn trang Wikipedianftables :

nftables được cấu hình thông qua tiện ích không gian người dùng nft trong khi netfilter được cấu hình thông qua các tiện ích iptables, ip6tables, arptables và ebtables.


4
@sourcejedi Theo như tôi có thể nhớ, cài đặt mặc định của Debian rất giống nhau vì ít nhất là khoai tây, đó là khi tôi bắt đầu sử dụng nó. Vì vậy, tôi không chắc ý của bạn là gì.
Faheem Mitha

1
@FaheemMitha mặc định trước đó không cho phép nó chấp nhận kết nối từ bên ngoài, dù sao đi nữa :)
hobbs

1
+1 để cố gắng tránh đưa ra lựa chọn cho bạn. . Có nhiều công cụ khác nhau để quản lý tường lửa, mỗi công cụ có ưu và nhược điểm khác nhau, mỗi công cụ có các trường hợp sử dụng khác nhau. và có nhiều cách hơn nữa mà tường lửa có thể được cấu hình. bảo vệ theo chiều sâu (ví dụ: quy tắc tường lửa / bộ định tuyến độc lập VÀ quy tắc iptables trên máy chủ) là tốt, nhưng tôi sẽ thấy rất khó chịu nếu trình cài đặt debian giả định biết cách thiết lập mạng của tôi và quy tắc tường lửa nào tôi muốn. đó là cho tôi biết và tôi quyết định.
cas

4
Câu trả lời hay, mặc dù "Debian tránh đưa ra lựa chọn cho bạn [vì] có một số lựa chọn khả dụng" không có ý nghĩa nhiều với tôi. Debian đã đưa ra các lựa chọn (ví dụ: chọn Apache qua lighttpd khi tôi chọn "Máy chủ web", gỡ lỗi qua vòng / phút ... rõ ràng), nơi có sẵn các lựa chọn thay thế. Không phải chính điểm của một bản phân phối là một trong những lựa chọn sao?
gd1

1
@ gd1 Đó là sự thật; Debian cung cấp và cài đặt mặc định - ví dụ Exim, theo lịch sử. Nhưng chúng dễ thay đổi. Và tôi cho rằng iptablescũng là một mặc định cho Debian. Nhưng một điều mà Debian không tự làm là cấu hình hệ thống không rõ ràng cho người dùng.
Faheem Mitha

12

Trước hết, tôi muốn nhắc lại những gì đã được nói: Debian phục vụ cho một nhóm người dùng khá khác so với nhiều bản phân phối chính khác, đặc biệt là Ubuntu. Debian hướng đến những người biết cách hệ thống hoạt động và đôi khi họ không ngại sửa đổi để đổi lấy mức độ kiểm soát cao đối với hệ thống. Ví dụ, Ubuntu phục vụ cho một đối tượng mục tiêu rất khác: những người chỉ muốn mọi thứ hoạt động và không (thực sự) quan tâm đến những gì đang diễn ra, và chắc chắn không muốn phải sửa đổi cấu hình hệ thống để tạo ra mọi thứ công việc. Điều này tác động đến một số khía cạnh của hệ thống kết quả. Và ở một mức độ nào đó, đó là một nét đẹp của Linux; cùng một hệ thống cơ sở có thể được sử dụng để xây dựng các môi trường phục vụ cho các nhu cầu khác nhau. Hãy nhớ rằng Ubuntu là một dẫn xuất Debian,

gufw thậm chí không có trong các gói của DVD1.

Đĩa đầu tiên chứa phần mềm phổ biến nhất, được xác định bằng cách chọn tham gia thu thập số liệu thống kê ẩn danh từ các hệ thống được cài đặt. Thực tế là gufw không có trên đĩa đầu tiên chỉ đơn giản chỉ ra rằng đây không phải là gói rất phổ biến (về mặt cơ sở được cài đặt) trong Debian. Bạn cũng có thể dễ dàng cài đặt một khi bạn có hệ thống cơ sở với kết nối và chạy mạng, nếu bạn thích nó hơn các lựa chọn thay thế.

Mọi người có dự kiến ​​kết nối Internet trước khi có tường lửa không? Tại sao?

Chà, vì một điều, tôi tin rằng Debian cho phép cài đặt qua mạng. (Không chỉ tải xuống các gói từ mạng trong khi cài đặt bình thường, mà theo nghĩa đen bắt đầu cài đặt từ một máy chủ khác với cài đặt trên đó .) Một tường lửa được cấu hình theo mặc định với bộ quy tắc hạn chế sẽ có nguy cơ can thiệp vào điều đó. Tương tự với các cài đặt cần truy cập mạng đi trong quá trình cài đặt cho các mục đích khác ngoài việc chỉ tải xuống các phiên bản mới nhất của gói đang được cài đặt.

Đối với người khác, có những gì tôi đã đề cập ở trên; như một quy luật, Debian mong rằng bạn biết bạn đang làm gì. Nếu bạn muốn có tường lửa, bạn sẽ có thể tự cấu hình nó và bạn sẽ biết rõ hơn những người bảo trì Debian về nhu cầu cụ thể của bạn là gì. Debian hơi giống OpenBSD về vấn đề đó, chỉ là không cực đoan. (Khi được lựa chọn giữa việc làm cho hệ thống cơ sở an toàn hơn một chút và làm cho nó dễ sử dụng hơn một chút, các nhà bảo trì OpenBSD hầu như luôn luôn bảo mật. Điều đó cho thấy trong thống kê lỗ hổng bảo mật hệ thống cơ sở của họ, nhưng có ý nghĩa rất lớn về khả năng sử dụng.)

Và tất nhiên, tính kỹ thuật: Hỗ trợ tường lửa được bao gồm trong hệ thống cơ sở. Chỉ là nó được đặt thành quy tắc cho phép hoàn toàn được đặt theo mặc định bởi kernel và cài đặt Debian cơ bản không làm gì để thay đổi điều đó. Bạn có thể chạy một vài lệnh để hạn chế lưu lượng.

Ngay cả khi tất cả các cổng được đóng theo mặc định, các chương trình được cài đặt, cập nhật hoặc tải xuống có thể mở chúng (hoặc không?) Và tôi ước không có một bit nào rời khỏi máy mà không có sự cho phép của tôi.

Đầu tiên, tường lửa thường được sử dụng để hạn chế lưu lượng đến lưu lượng . Nếu bạn muốn hạn chế đi , đó là một ấm cá khá khác nhau; chắc chắn có thể làm được, nhưng cần điều chỉnh nhiều hơn cho tình huống cụ thể của bạn. Tường lửa lưu lượng truy cập đi ra chặn mặc định để mở các cổng thường được sử dụng (trong đó các cổng thường được sử dụng có thể là ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 và một gói khác), cộng với việc cho phép lưu lượng truy cập liên quan đến các phiên đã thiết lập, sẽ không an toàn hơn nhiều so với tường lửa cho phép mặc định. Tốt hơn là đảm bảo tập hợp các gói được cài đặt bởi hệ thống cơ sở được giới hạn ở một tập hợp được hiểu rõ, được định cấu hình an toàn như các gói được phân phối và cho phép quản trị viên thiết lập các quy tắc tường lửa phù hợp nếu chúng cần bảo vệ nhiều hơn thế.

Thứ hai, một cổng đóng (một cổng đáp ứng với TCP TCP bằng TCP RST / ACK, thường được báo cáo là "từ chối kết nối" - đây thường là trạng thái mặc định của cổng TCP trên hệ thống trực tiếp hỗ trợ TCP / IP mà không có cấu hình ngược lại hoặc phần mềm nghe trên đó) không phải là một lỗ hổng đáng kể, thậm chí trên một hệ thống không được kết nối thông qua một tường lửa riêng. Lỗ hổng đáng kể duy nhất trong cấu hình toàn bộ sẽ là nếu có lỗ hổng trong triển khai ngăn xếp TCP / IP của kernel. Nhưng các gói đã đi qua mã netfilter (iptables) trong kernel và một lỗi cũng có thể ẩn ở đó. Logic để phản hồi với kết quả trong "kết nối bị từ chối" ở đầu bên kia đủ đơn giản để tôi có một thời gian khó tin rằng nó sẽ là một nguồn chính của các lỗi, chứ đừng nói đến các lỗi liên quan đến bảo mật;

Thứ ba, các gói thường được cài đặt dưới dạng root, từ đó bạn (gói) có thể thay đổi các quy tắc iptables mà bạn không biết. Vì vậy, nó không giống như bạn đạt được bất cứ điều gì như yêu cầu quản trị viên con người cho phép lưu lượng truy cập thông qua tường lửa máy chủ. Nếu bạn muốn loại cách ly đó, bạn nên có một tường lửa tách biệt với máy chủ mà nó đang bảo vệ ở nơi đầu tiên.

Vì vậy, tôi chỉ tìm hiểu về iptables nhưng tôi đoán câu hỏi vẫn còn là iptables vì ​​tường lửa dường như khá xa lạ với hầu hết, các quy tắc mặc định của nó và khả năng truy cập và dễ sử dụng.

Tôi thực sự sẽ nói rằng điều ngược lại là đúng; iptables như một tường lửa được biết đến . Nó cũng có sẵn trên hầu hết mọi hệ thống Linux mà bạn có khả năng gặp phải. (Nó đã thay thế ipchains trong quá trình phát triển dẫn đến Linux kernel phiên bản 2.4, khoảng năm 2000 hoặc lâu hơn. Nếu tôi nhớ lại mọi thứ một cách chính xác, sự thay đổi rõ ràng nhất của người dùng giữa hai trường hợp sử dụng chung cho tường lửa là quy tắc tích hợp sẵn các chuỗi bây giờ được đặt tên bằng chữ hoa, như INPUT, thay vì chữ thường, như input.)

Nếu bất cứ điều gì, iptables có thể làm những việc khác ngoài tường lửa không được sử dụng hoặc hiểu rộng rãi. Ví dụ, nó có thể được sử dụng để ghi lại các gói IP trước khi chúng được chuyển qua tường lửa.


Tóm tắt tuyệt vời và chi tiết của vấn đề. Tuy nhiên, bạn đã viết "Thứ hai, một cổng đóng không phải là một lỗ hổng đáng kể, ngay cả trên một hệ thống không được kết nối qua một tường lửa riêng biệt." Bạn có thể có nghĩa là để viết "mở"? Nếu không, bạn có thể mở rộng về cách một cổng đóng là một lỗ hổng không? Cảm ơn.
Faheem Mitha

"Nó đã thay thế ipchains một thời gian trong quá trình phát triển kernel 2.5, nếu tôi nhớ lại chính xác. Đó là thứ gì đó giống như 15 năm trước." - 2.3, thực sự. Điều này làm cho nó gần hơn với 20.
Jules

Câu trả lời tuyệt vời, đồng ý. Tôi cũng nói thêm rằng khi bạn cài đặt từ iso cài đặt tối thiểu có thể, hiện đang cài đặt net, một phần của quá trình cài đặt thực sự là để cài đặt các gói từ apt qua mạng, vì vậy cài đặt của bạn không bị lỗi thời, đó là hiện tại, đó chính xác là những gì bạn muốn, mặc dù bạn cũng có thể chọn cài đặt từ đĩa, để cài đặt thực sự cần kết nối mạng ngay lập tức. Nhưng câu trả lời này là rất tốt.
Lizardx

1
Nhận xét được cho là: "Hãy nhớ rằng Ubuntu khởi đầu là một nhánh của Debian và cho đến ngày nay vẫn giữ được sự tương đồng lớn với Debian." Theo tôi biết, Ubuntu vẫn có nguồn gốc từ Debian. Đó không phải là một ngã ba.
Faheem Mitha

6

Nếu tôi đoán, mà không thực sự nằm trong đầu của một thế hệ các nhà phát triển và bảo trì Debian, thì tôi đoán là:

Debian được thiết kế chủ yếu như một hệ điều hành máy chủ, cả hai nhánh thử nghiệm và nhánh đều có mục đích chính là tạo ra nhánh ổn định tiếp theo và tại thời điểm đóng băng, chúng bị đóng băng và ổn định mới được lấy từ thử nghiệm, như chỉ là đã xảy ra với Stretch.

Với điều này, tôi sẽ giả định thêm, tôi phải xác nhận điều này với một người bạn sysadmin, rằng tường lửa trung tâm dữ liệu là thiết bị bên ngoài, bảo mật cao hơn nhiều (ít nhất một người hy vọng đây là trường hợp), cho các máy chủ và xử lý chính nhiệm vụ tường lửa. Ngay cả trên một mạng LAN nhỏ có bộ định tuyến, đây là trường hợp, bộ định tuyến là tường lửa, tôi không sử dụng bất kỳ quy tắc tường lửa cục bộ nào trên bất kỳ hệ thống nào của mình, tại sao tôi lại làm vậy?

Tôi nghĩ rằng có thể mọi người nhầm lẫn các bản cài đặt cục bộ của máy tính để bàn Debian hoặc một máy chủ tệp duy nhất trong văn phòng hoặc nhà riêng với công việc thực tế được kết nối với Debian, mà tôi tin rằng tập trung chủ yếu vào việc sử dụng sản xuất.

Tôi không chắc về điều này, nhưng sau hơn một thập kỷ sử dụng Debian, đó là cảm giác của tôi, vừa là nhà phát triển vừa là người hỗ trợ Debian theo nhiều cách.

Tôi có thể kiểm tra vấn đề này, vì đây thực sự là một câu hỏi hay, nhưng tôi đoán là các mạng thực sự được tường lửa tại các điểm truy cập vào mạng, không phải trên cơ sở trên mỗi máy, hoặc ít nhất, đó là ý tưởng cơ bản có thể điều khiển Debian. Tất nhiên, thêm vào đó, nếu không phải như vậy, sysadmin sẽ thiết lập các quy tắc tường lửa trên cơ sở từng máy, sử dụng một cái gì đó như Chef, không dựa vào bất kỳ cài đặt mặc định nào, đó sẽ không phải là thứ bạn có xu hướng ví dụ, để tin tưởng, các cấu hình ssh Debian mặc định không phải là cấu hình mặc định mà tôi sẽ sử dụng theo mặc định, ví dụ, chúng cho phép đăng nhập root theo mặc định và tùy thuộc vào sysadmin để sửa lỗi nếu chúng thấy đó là một thông lệ xấu .

Đó là, có một giả định về năng lực mà tôi nghĩ rằng Debian có thể vắng mặt trong một số bản phát hành khác. Như trong, bạn sẽ thay đổi những gì bạn muốn thay đổi, tạo hình ảnh, quản lý chúng bằng phần mềm quản lý trang web, v.v. Đó chỉ là một vài khả năng. Ví dụ: bạn sẽ không bao giờ sử dụng DVD để tạo một máy chủ mới, ít nhất là không bao giờ được sản xuất, có lẽ bạn sẽ sử dụng một cái gì đó như cài đặt mạng tối thiểu, ví dụ như những gì tôi luôn sử dụng (tôi đã từng sử dụng một hình ảnh nhỏ hơn , nhưng họ đã ngừng nó). Nếu bạn xem những gì được bao gồm trong bản cài đặt cơ sở đó, bạn sẽ hiểu rõ về những gì Debian coi là quan trọng và những gì nó không. ssh là có, ví dụ. Xorg thì không, Samba thì không.

Người ta cũng có thể hỏi tại sao họ quay lại Gnome như một máy tính để bàn mặc định, nhưng đây chỉ là những quyết định mà họ đưa ra và về cơ bản người dùng của họ bỏ qua vì bạn có thể tạo ra các hệ thống theo cách bạn muốn (nghĩa là để có được máy tính để bàn Xfce, tôi không Tôi không cài đặt Xdebian (như trong Xubfox), tôi chỉ cài đặt lõi Debian, Xorg và Xfce, và tôi sẽ tắt). Theo cách tương tự, nếu tôi muốn tường lửa, tôi sẽ cấu hình nó, tìm hiểu các phần mở rộng, v.v., nhưng cá nhân tôi sẽ không mong đợi Debian sẽ phát hành với tính năng được kích hoạt đó, nó thực sự sẽ gây khó chịu cho tôi nếu nó là . Có thể quan điểm của tôi về điều này phản ánh một loại đồng thuận mà bạn cũng có thể tìm thấy trong Debian.

Thêm vào đó, tất nhiên, thực sự không có thứ gì như Debian, có nhiều hình ảnh cài đặt, cài đặt mạng, cài đặt đầy đủ, tất cả đều khác nhau từ barebones, chỉ cli, cho đến một máy tính để bàn hoàn chỉnh hợp lý. Người dùng sản xuất có thể sẽ tạo hình ảnh chẳng hạn, sẽ được định cấu hình theo cách người dùng muốn, tôi biết nếu tôi đang thiết lập máy chủ Debian, tôi sẽ bắt đầu với những điều cơ bản thô và xây dựng nó cho đến khi nó làm được điều tôi muốn.

Sau đó, bạn có thế giới máy chủ web, đó là một quả bóng sáp hoàn toàn khác, những người có câu hỏi bảo mật rất khác nhau, và, như một người bạn cũ của tôi kết nối tốt với hacker ngầm, một người điều hành máy chủ web mà không biết cách bảo mật nó cũng có thể được gọi là ai đó có máy chủ được sở hữu bởi các cracker.


Tôi thường không thích những câu trả lời dài như thế này :) nhưng bạn chạm vào một điểm rất phù hợp. Nếu bạn chạy một máy chủ web, nó cần chấp nhận kết nối với máy chủ web. Bạn có thể nghi ngờ giá trị nào bạn nhận được từ việc định cấu hình phần mềm thứ hai để nói: có, tôi muốn chấp nhận các yêu cầu web được gửi đến máy chủ web của mình. Và trường hợp sử dụng này dường như được chăm sóc nhiều hơn trong Debian so với máy tính để bàn.
sourcejedi

sourcejedi, lol, đã không lâu, tôi sẽ không nhận được câu hỏi về máy chủ web, đó là điều cuối cùng tôi thêm vào. Nhưng trong trường hợp này, bạn có một người dùng rõ ràng mới, ít kinh nghiệm, người có thể không nhận ra rằng các bản phân phối khác nhau bao gồm các trường hợp sử dụng và người dùng khác nhau. Vì vậy, về cơ bản họ không có thông tin, và tại thời điểm đó, thật khó để biết những gì họ biết và không biết, ergo, quá nhiều từ. Hoặc vừa đủ. Khó biết.
Lizardx

"Tất nhiên, tất nhiên, thực sự không có thứ gì như Debian". Tôi không chắc ý của bạn là gì - chắc chắn có một thứ như Debian. Đây là hệ điều hành được sản xuất bởi dự án Debian. Về mặt kỹ thuật, nó là một họ các hệ điều hành, nhưng tất nhiên, biến thể Linux chiếm ưu thế rất nhiều. Có nhiều phương pháp cài đặt khác nhau, nhưng tất cả đều cài đặt cùng một hệ thống. Tất nhiên, bạn có rất nhiều tự do về việc cài đặt phần nào của nó.
Faheem Mitha

Không phải trong ý nghĩa của nó đề cập đến một điều. Những gì bạn lưu ý là những gì nó là về mặt kỹ thuật là những gì tôi có ý nghĩa. Đó là, Debian là hình ảnh trình cài đặt dvd mà người này nhắc đến? Đây có phải là cài đặt cốt lõi mà bạn nhận được trên netinstall không? Đây có phải là gói gói apt cho kiến ​​trúc cụ thể không? Đây có phải là hồ bơi phụ cho điều đó? Nhóm thử nghiệm? và như thế. Về cách người dùng định nghĩa sự vật, tôi muốn nói rằng không có điều đó, dự án thực sự là gì, Debian, chi phối các quy tắc và gói đóng gói xác định apt và .deb. Đây là lý do tại sao tôi thích nó, đó là quy tắc xác định dự án.
Lizardx

Khó giải thích, nhưng tôi sẽ thử: Tôi không cài đặt 'Debian', tôi cài đặt nói, Debian tests / Buster, biến thể 64 bit, từ iso cài đặt mạng. Vì vậy, Debian là chiếc ô, chạy và tạo ra những gì tôi cài đặt. Tôi đã nhận ra nhiều năm qua tại sao tôi thích Debian rất nhiều, họ có những quy tắc nghiêm ngặt và những quy tắc đó đối với tôi là những gì thực sự định nghĩa một thứ gì đó là Debian chứ không phải Ubuntu. Vì vậy, ví dụ, nếu bạn lấy một bộ các gói từ Debian và tạo Ubuntu, khi nào nó ngừng là Debian? đó là các gói giống nhau, ít nhất là trong một thời gian và tôi đề nghị, nó sẽ dừng khi bạn dừng theo quy tắc dfsg.
Lizardx

5

Ý tưởng chung là, bạn không cần tường lửa trên hầu hết các hệ thống ngoại trừ các thiết lập phức tạp.

SSH đang chạy ,, khi bạn cài đặt một máy chủ. Không có gì khác nên lắng nghe và có lẽ bạn muốn có thể kết nối với ssh.

Khi bạn cài đặt một máy chủ web, bạn sẽ mong đợi máy chủ web sẽ khả dụng, phải không? Và để điều chỉnh cơ bản, bạn chỉ có thể liên kết máy chủ web, với giao diện lan riêng, ví dụ 192.168.172.42 (IP LAN cục bộ của bạn), thay vì 0.0.0.0 (tất cả ips). Bạn vẫn không cần tường lửa.

Tất nhiên, mọi thứ đều có thể mở một cổng> 1024, nhưng khi bạn có phần mềm không đáng tin cậy (hoặc người dùng không tin cậy), bạn nên làm nhiều hơn là chỉ cài đặt tường lửa. Trong thời điểm bạn cần không tin tưởng một cái gì đó hoặc ai đó bạn cần một khái niệm bảo mật không chỉ là một phần mềm. Vì vậy, đó là một điều tốt khi bạn cần chủ động suy nghĩ về giải pháp tường lửa của mình.

Bây giờ có tất nhiên các kịch bản phức tạp hơn. Nhưng khi bạn thực sự có một trong số này, bạn thực sự cần phải tinh chỉnh tường lửa và đừng để một hệ thống tự động như ufw làm điều đó. Hoặc thậm chí bạn có thể sử dụng ufw, nhưng sau đó bạn đã quyết định nó và không phải mặc định của hệ điều hành.


1
IIRC, tường lửa cho máy tính cá nhân là một phản ứng đối với một trong những lỗ hổng bảo mật với Windows 95, đó là tất cả các cổng được mở theo mặc định. Trên hầu hết các hệ điều hành, trước và kể từ đó, một cổng chỉ mở nếu thực sự có dịch vụ lắng nghe trên cổng đó. Thứ hai, tường lửa thường được cấu hình để bỏ các gói một cách im lặng, thay vì từ chối rõ ràng chúng, do đó rất khó để nói rằng có một hệ thống tại một địa chỉ IP.
bgvaughan

Tôi không chắc ý của bạn là gì với một cổng mở mà không có dịch vụ nghe. Gói tin nên đi đâu và tại sao đây phải là một lỗ hổng bảo mật? Và việc thả các gói trong tường lửa của bạn sẽ không che giấu bạn, nhưng làm cho nó rõ ràng hơn nữa, rằng có một máy có tường lửa. Khi hệ thống của bạn không trực tuyến, bộ định tuyến trước khi hệ thống của bạn gửi câu trả lời "không thể truy cập". Nó không hoạt động khi máy của bạn ở đó (cả khi bạn chấp nhận, từ chối hoặc bỏ gói tin). Bạn có thể tự kiểm tra hiệu ứng bằng cách sử dụng thực hiện traceroutevới hệ thống của mình.
allo

1
Khi tôi bắt đầu một traceroute cho bạn, sau đó tôi có thể thấy 7 bước nhảy. Đầu tiên là máy tính của tôi, cuối cùng là điểm vào mạng của bạn. Khi PC của bạn ngoại tuyến, bước thứ 6 sẽ gửi phản hồi "không thể truy cập". Khi PC của bạn được kết nối nhưng được tường lửa, bước thứ 6 sẽ gửi phản hồi bình thường và lần thứ 7 giảm (hoặc từ chối) gói tin. Và bạn không kiểm soát được hop thứ 6, vì vậy bạn không thể giả mạo hoặc làm rơi gói tin ở đó.
allo

1
"Các hệ thống Windows cũ hơn, như 95 và tôi nghĩ XP, sẽ mở tất cả các cổng, ngay cả khi không có dịch vụ đang chạy" Tôi hoàn toàn không biết, ý nghĩa của bạn là giữ cổng mở mà không nghe. Khi một gói đến, bạn có thể gửi nó đến một chương trình nghe, rejectnó hoặc dropnó. Không có khái niệm "cổng mở mà không lắng nghe". Có thể bạn có nghĩa là bỏ (chấp nhận mà không gửi nó đến một chương trình).
allo

1
Cá nhân tôi có một từ chối theo tường lửa mặc định cũng như dự phòng an toàn. Nhưng tôi hiểu khi debian cho phép người dùng cài đặt tường lửa. Tôi đang thử nghiệm rất nhiều, những người khác chọn máy chủ web trong taskel và đã xong. Không có ý tưởng về điều win95, nhưng tôi đoán dù sao nó cũng không quan trọng ngày hôm nay;).
allo

4

Mọi người có dự kiến ​​kết nối Internet trước không

Đúng

nhận được một tường lửa?

Ngay cả khi tất cả các cổng được đóng theo mặc định

Xin lỗi, họ không phải. rpcbindtheo mặc định dường như được cài đặt, kích hoạt và nghe trên mạng.

EDIT: Tôi tin rằng điều này đã được sửa trong trình cài đặt mới nhất, tức là cho Debian 9 (Stretch) . Nhưng với các phiên bản trước của Debian, tôi sẽ không cảm thấy an toàn khi cài đặt (và sau đó cập nhật) chúng trên mạng wifi công cộng.

Tại sao?

Tôi nghi ngờ mọi người có một giả định rằng

  1. mạng cục bộ sẽ không tấn công các dịch vụ mạng của bạn
  2. đã có một tường lửa giữa mạng cục bộ của bạn và internet rộng hơn.

Mặc dù sau này là thông lệ phổ biến, ví dụ như bởi các bộ định tuyến người tiêu dùng, tôi không tin rằng nó được đảm bảo. Không có gì đáng ngạc nhiên khi giả định trước đây không được ghi nhận; Nó cũng không phải là một điều hợp lý.

Theo tôi, vấn đề với rpcbind là một ví dụ về một điểm chung hơn. Mọi người có thể cố gắng quảng bá Debian và nó có nhiều tính năng thú vị. Nhưng Debian tụt lại phía sau Ubuntu về mức độ thân thiện và thân thiện của nó, hoặc thậm chí có thể tin rằng nó đáng tin cậy như thế nào đối với những người muốn tìm hiểu các chi tiết như vậy.

các chương trình đã tải xuống có thể mở chúng (hoặc không?) và tôi mong muốn thậm chí không một chút nào rời khỏi máy của mình mà không có sự cho phép của tôi.

Bạn chắc chắn có thể tự do cài đặt tường lửa trước khi bắt đầu tải xuống và chạy phần mềm ngẫu nhiên mà bạn không chắc nó làm gì :-p.

Tôi đồng ý một phần, thật đáng báo động khi cài đặt Linux và không tìm thấy bất kỳ giao diện nào được thiết lập cho lớp bảo mật rất nổi tiếng. Cá nhân tôi thấy hữu ích để hiểu cách thiết lập tường lửa Windows mặc định. Nó muốn bạn có thể "tin tưởng" một mạng gia đình và trong các phiên bản gần đây hơn, cài đặt nhanh thậm chí sẽ bỏ qua việc hỏi bạn có tin tưởng mạng hiện tại không. Mục tiêu chính dường như là để phân biệt giữa các mạng gia đình, các kết nối không được bảo vệ như modem được kết nối trực tiếp và mạng wifi công cộng. Lưu ý rằng UFW không hỗ trợ điều này.

Fedora Linux một mình đã cố gắng cung cấp một cái gì đó như thế này, trong firewalld. (Các gói dường như cũng có sẵn trong Debian ...). GUI cho nó không "thân thiện", giả sử như GUFW.


Tôi rất vui vì bạn đã đủ điều kiện nhận xét trên Ubuntu với 'cho ai đó cố gắng học', tôi nghĩ theo nghĩa đó là câu trả lời thực tế, debian không phải là một hệ thống được tạo ra cho nhóm đó và sự tồn tại của ubfox thực sự có thể đi vào thực tế đó. Là một người không cố gắng học hỏi, đó là lý do chính xác, tôi luôn thích debian hơn ubfox chẳng hạn. Tôi đã từng chơi với tường lửa địa phương, nhưng cuối cùng, tôi bắt đầu thấy chúng là đồ chơi hơn là đồ tiện ích thực sự, ý tôi là đồ gui, không phải iptables, v.v ... 1. và 2. Điểm của tôi tôi nghĩ về suy nghĩ đằng sau quyết định này, Tôi đồng ý với quyết định đó.
Lizardx

@Lizardx Tôi đã chỉnh sửa để thử và nhấn mạnh cách tôi thấy nản lòng với rpcbind + mạng wifi công cộng :). Tôi nghĩ tôi biết bạn đến từ đâu trong bình luận đó, nhưng tôi không hoàn toàn đồng ý. Tôi rất vui khi có quyền truy cập vào kho vũ khí trong repo, nhưng tôi muốn có một mặc định được xác định (hoặc một số, ví dụ: nếu bạn coi XFCE là tùy chọn "không phải Gnome3" phổ biến) làm cơ sở đáng tin cậy để xây dựng từ .
nguồn

Wifi công cộng rõ ràng là trường hợp sử dụng trong đó tường lửa trên một hệ thống rất quan trọng đối với người dùng thông thường. Nhưng như đã chỉ ra trong các câu trả lời khác, Debian cho rằng bạn biết điều này nếu bạn cài đặt nó và tình cờ sử dụng nó theo cách đó. Có lẽ gần hơn với cách FreeBSD hoặc OpenBSD có thể xem câu hỏi này? Chỉ nói cho tôi, tôi không phải là người hâm mộ của các lựa chọn nhóm gói mặc định của Debian, tôi chưa bao giờ thấy họ tạo ra thứ gì đó mà tôi thực sự muốn chạy, không giống như, XUbfox hoặc các vòng quay Debian khác nhau đã tạo ra các bản cài đặt mặc định đẹp . Với điều này, tôi đồng ý, một tùy chọn không phải là Gnome 3, XFCE, sẽ rất hay.
Lizardx

4
gufw thật kinh khủng. ufw gần như không có ý nghĩa và không lưu trữ các quy tắc trong XML? ừm ngay cả một quy tắc iptables thủ công cũng dễ đối phó hơn.
user2497

3

Triết lý truyền thống của Unix luôn là HÔN NHÂN và chạy / phơi bày tối thiểu các dịch vụ.

Một số dịch vụ cũng phải được cài đặt rõ ràng và thậm chí một số dịch vụ bị ràng buộc với localhost và bạn phải cho phép chúng hiển thị trong mạng cục bộ / trên Internet (MySQL, MongoDB, snmpd, ntpd, xorg ...). Đây là một cách tiếp cận hợp lý hơn sau đó cho phép tường lửa theo mặc định.

Bạn chỉ cần sự phức tạp mà tường lửa mang lại từ một điểm nhất định và nhu cầu đó có thể bị giảm đi đằng sau bộ định tuyến của công ty hoặc thiết bị đóng cửa tại nhà, do đó nghe có vẻ hợp lý khi đưa ra quyết định của người dùng. Một tường lửa, giống như nhiều phần mềm bảo mật khác cũng có thể cung cấp cảm giác sai về bảo mật nếu không được quản lý đúng cách.

Định hướng của Debian luôn là dân gian có định hướng kỹ thuật hơn, người biết iptables là gì; cũng có một số trình bao bọc, giao diện văn bản hoặc chế độ đồ họa có thể dễ dàng cài đặt.

Trên hết, việc nó đi kèm với quá nhiều hay quá ít phần mềm được cài đặt đều là vấn đề quan điểm. Đối với một người lâu năm, nó đi kèm với quá nhiều phần mềm và dịch vụ được cài đặt theo mặc định, đặc biệt là trong chế độ máy chủ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.