Linuxのセキュリティ問題について疑問に思っていました。ほとんどの人は、ウイルススキャナーがLinuxシステムでは役に立たないことに同意していますが、ファイアウォールについてはどうでしょうか。私はDebianwheezy安定版を使用しており、以前はUbuntu12.04を使用していました。セキュリティで保護されたWLANにログインしているパーソナルPCしかない場合、ファイアウォールが必要ですか。また、上記の2つのOSに何が設定されていますか。
最初の簡単な部分:DebianやUbuntu、または私が知っているほとんどのLinuxディストリビューションにはデフォルトでファイアウォールが設定されていません。
あなたは必要 Linuxのファイアウォールですか?おそらくそうではないでしょう。なぜなら、着信接続をリッスンしているLinuxシステム上のほとんどのプログラムは、誰かが明示的に開始する必要があり、ディストリビューションによって実行されるパッケージリポジトリからインストールされたからです。また、信頼できるWLANを使用している場合、コンピューターにはおそらくプライベートIPアドレスがあり、パブリックIPアドレスを使用してNATを使用してルーターに接続しており、そのルーターはファイアウォールとしても機能します。 。
Linuxでファイアウォールが必要になる理由:
ping
に応答することを望まない。次に、ファイアウォールを使用してすべてのICMPパケットをドロップします。また、コンピュータがまったく応答せずに、閉じたポートへの接続を要求するすべてのパケットをファイアウォールでドロップすることもできます。これにより、たとえば、日陰の喫茶店でWLANを使用している場合、(実質的にすべての)ポートスキャンから見えなくなります。通常、ファイアウォールは必要ありません。
ファイアウォール(より正確にはパケットフィルター)は、ネットワークパッケージをフィルター処理するために使用されます。つまり、一部の接続を許可し、他の接続を禁止します。
接続はingoingまたはoutgoingにすることができます。
ingoing接続、つまり他の誰かがあなたのコンピュータに接続したい場合は、あなたのコンピュータが何らかのサービスを提供している場合にのみ可能です。 -プライベートコンピュータの場合、サービスを提供せず、他の誰もあなたに接続できません。すべてファイアウォールなし。
発信接続の場合、つまり、他のコンピューターに接続しようとしている場合は、そのためのソフトウェアが必要です。たとえば、Webブラウザを使用してリモートWebサーバーにアクセスします。 -すべてのLinuxディストリビューションでは、通常、選択したディストリビューションのリポジトリからソフトウェアのみをインストールします。 -このソフトウェアは通常オープンソースであるため、かなり確信できます。このソフトウェアは、主張していることだけを実行しています。 -ファイアウォールは通常役に立ちません。
ファイアウォールが理にかなっている唯一の状況は、ネットワークの特定の部分に何らかのサービスを提供したい場合です。この場合、接続を許可する必要がありますが、不要な接続をファイリングします。 -ただし、この場合でも、tcpwrapperやサービスの構成などのより簡単なソリューションがある可能性があります。
Sudo netstat -tupln
のようなコマンドを使用して、アクティブなすべてのサービスを一覧表示できます。それらは、同じホストからのみアクセスできることを意味する127.0.0.1
にバインドされているか、どこからでもアクセスできることを意味する0.0.0.0
にバインドされている可能性があります。
開いているポートが不要なときに公開することは、実際には良い考えではありません。これにより、関連するソフトウェアのセキュリティの脆弱性にさらされる可能性が高くなります。
別のゲストWLANについては言及していないため、将来、ゲストのラップトップや自分の電話などの他のデバイスが同じWLANに接続できるようになると想定する必要があります。次に、ゲストのラップトップは信頼できないと想定する必要があります。
2つのOSのどちらにも、最初からファイアウォールが設定されていません。
Ubuntuは、デフォルトで "No Open Ports" と呼ばれるものを満たすことを目的としていました。最近のバージョンでは、そうすることができません。 ( buntuのRhythmboxのバグ )。
Debian Wheezyの標準インストールは、rpcbind
を実行するため、UDPポート111をリッスンします。 (前述のとおり ここ )
ss
またはnetstat
を使用して現在開いているポートを確認することをお勧めします。私は指示を使用します ここ 。上記の2つの例は、私が見つけることを期待する主な例です。
使用していない場合は、rpcbind
を完全に削除してください。 rpcbind
は、NFS2およびNFS3にのみ必要です。 (NFS4には必要ありません)。パーソナルPCをお持ちで、NFSが何であるかわからない場合は、NFSを使用していません。
使用していない場合は、RhythmboxでDAAPプラグインを無効にすることもできます。 (これは、ローカルネットワーク経由で音楽にアクセスする1つの方法です。したがって、無効にして、音楽が失われるかどうかを確認できます:-)。
ファイアウォールを実行することの欠点は、doが必要とするものをブロックするときに必要なトラブルシューティングです。たとえば、BitTorrentを使用する場合は、ファイアウォールを構成して許可する必要があります。そうしないと、アップロードできません(そして、しっぺ返しアルゴリズムにより、ダウンロードが遅くなる可能性があります)。
2層のアプローチを提案します。まず、ss
またはnetstat
を確認する方法を学びます。ネットワーク上でリッスンしている不要なプログラムを無効化/削除してください。次に、ファイアウォールを構成します。
何かが機能しておらず、トラブルシューティングが必要な場合は、1)ネットワーク上でリッスンしているプログラムを再確認し、2)ファイアウォールを完全に無効にすることができます。
問題が解消されれば、ファイアウォールの問題であることがわかります。どのポートを許可する必要があるか(またはもっと難しい問題があるかどうか:-)の調査を開始できます。そして、うまくいけば、最終的にファイアウォールを構成して再度有効にすることで、Ubuntuがフラグシップセキュリティポリシーを忘れて新しいポートを開くnext時間に対応できるようになりますあなたが必要としないこと:-)
ufw
ファイアウォールは、DebianとUbuntuの両方で使用できます。 Ubuntuは「シンプルなファイアウォール」を提供するためにそれを作成しました。