web-dev-qa-db-ja.com

ファイアウォールがデフォルトで無効になっているのはなぜですか?

Ubuntuでufwファイアウォールが有効になっておらず、デフォルトで事前設定されているのに、なぜufwファイアウォールが含まれているのですか?ほとんどのユーザーは、GUIフロントエンドが提供されていないため、そこにあることすら知りません。

64
6205

デフォルトでは、UbuntuはTCPまたはUDPポートが開いていない状態で出荷されるため、デフォルトでは ncomplicated Firewall(ufw) を実行する理由はないと考えられています。ただし、ufwを無効にすることは奇妙な決定であることに同意します。私の理由は、経験の浅いユーザーは、Samba、Apacheなど、前に置いたシステムで実験するようなものをインストールする可能性が高いということです。この影響を理解していない場合、インターネット上の悪意のある動作にさらされることになります。

例-私はラップトップをSambaで構成しましたが、これはWPA2で保護されたホームネットワークでは問題ありません。しかし、私がラップトップをスターバックスに持っていくと、何も考えないかもしれませんが、そのラップトップは私の株をすべての人に宣伝しています。ファイアウォールを使用すると、Sambaポートをホームサーバーまたはピアデバイスのみに制限できます。誰が私のラップトップに接続しようとしているかについて心配する必要はありません。 VNC、SSH、またはラップトップが実行している、または接続しようとしている他の多数の有用なサービスについても同様です。

Ubuntuは、セキュリティの特定の要素に対して非常にオン/オフのアプローチを取っていますが、これは私が同意できない哲学です。セキュリティは技術的にオンまたはオフになっている場合がありますが、セキュリティの要素を相互に重ねることで、より優れたシステムになります。確かに、Ubuntuのセキュリティはすべてではありませんが、多数のユースケースに十分対応できます。

要するに、ufwを実行します。転ばぬ先の杖。

複雑でないファイアウォールには多くのグラフィカルなフロントエンドがありますが、最も単純なものは Gufw です。

GUFW Logo

Sudo apt-get install gufw

ここでは、企業環境内の特定のサーバーVLANからのすべてのトラフィックを許可し、リバースSSHセッションに必要なポートがこのマシンから跳ね返ることを許可するルールを追加しました。

GUFW Screenshot

37
Scaine

Microsoft Windowsとは対照的に、Ubuntuデスクトップはセキュリティ上の問題を引き起こす可能性のあるポートをデフォルトで開かないため、インターネット上で安全にするためにファイアウォールを必要としません。

一般に、適切に強化されたUnixまたはLinuxシステムにはファイアウォールは必要ありません。ファイアウォール(Windowsコンピューターの特定のセキュリティ問題を除く)は、インターネットへの内部ネットワークをブロックするのにより適しています。この場合、ローカルコンピューターは、ファイアウォールによって外部に向かってブロックされている開いているポートを介して互いに通信できます。この場合、コンピューターは、内部ネットワークの外部で使用できないはずの内部通信のために意図的に開かれます。

標準のUbuntuデスクトップではこれは必要ないため、ufwはデフォルトでは有効になっていません。

28
txwikinger

Ubuntuまたはその他のLinuxでは、ファイアウォールはベースシステムの一部であり、iptables/netfilterと呼ばれます。常に有効になっています。

iptablesは、パケットが着信した場合の動作と動作方法に関する一連のルールで構成されています。特定のIPからの着信接続を明示的にブロックする場合は、ルールを追加する必要があります。実際にそうする必要はありません。リラックス。

何からでも優れたセキュリティが必要な場合は、どこからでもランダムなソフトウェアをインストールしないでください。デフォルトのセキュリティ設定が台無しになる可能性があります。rootとして実行しないでください。公式リポジトリを常に信頼してください。

UIがインストールされているかどうかを尋ねたいと思いましたか?

8
Manish Sinha

また、gufwはGUIフロントエンドを提供できます。 (私にとっては、コマンドラインでufwよりも実際には直観的ではありませんが、そこにあるものをより視覚的に思い出させることができます。)現在、ファイアウォールがうまく宣伝されていないことに同意します。私が推測した場合、これは新しいユーザーが自分自身を足で撃つことを防ぐためだと思います。

4
belacqua