Si të siguroni serverin tuaj Linux me një mur zjarri UFW


UFW, shkurt për firewall i pakomplikuar, është një front për programin më kompleks iptables . Është krijuar për ta bërë menaxhimin e një muri zjarri aq të thjeshtë sa vendosja e porteve të jenë të hapura dhe të mbyllura dhe rregullimi i trafikut që lejohet të kalojë.

Vendosja e UFW

UFW është instaluar si parazgjedhje në Ubuntu, por nëse nuk është, mund ta instaloni nga apt:

sudo apt-get install ufw

Nëse po drejtoni një shpërndarje tjetër, do të duhet të përdorni menaxherin e paketave të asaj shpërndarjeje, por UFW është gjerësisht i disponueshëm. Ju mund të kontrolloni statusin e murit të zjarrit me:

sudo ufw status

Cili duhet të thotë Joaktiv nëse nuk e keni konfiguruar më parë.

Një vend i mirë për të filluar me çdo mur zjarri është duke mbyllur të gjithë trafikun në hyrje dhe duke lejuar trafikun dalës. Mos u shqetësoni, kjo nuk do ta ndërpresë lidhjen tuaj SSH menjëherë, pasi muri i zjarrit nuk është aktivizuar ende.

sudo ufw default deny incoming
sudo ufw default allow outgoing

Kjo na jep një fletë të zbrazët për të punuar dhe për të shtuar rregulla në krye.

Hapja e porteve me UFW

Për të hapur portet, përdorni komandën ufw lejo. Për shembull, do t'ju duhet të hapni portin 22, kështu që vazhdoni dhe ekzekutoni:

sudo ufw allow 22

Ju gjithashtu mund të lini një shënim për veten tuaj të ardhshme kur shtoni ndonjë rregull:

sudo ufw allow 8080/tcp comment 'Open port for Express API'

Shumë aplikacione instalojnë profile për UFW, SSH është një prej tyre. Kështu që ju gjithashtu mund të lejoni disa aplikacione të hapin portat që kërkojnë duke specifikuar emrin:

sudo ufw allow ssh

Mund të shikoni një listë të aplikacioneve të disponueshme me lista e aplikacioneve ufw dhe të shikoni detajet rreth një aplikacioni me info ufw app [name].

Ju gjithashtu mund të lejoni një gamë të tërë portash duke përdorur një dy pika si ndarës dhe mund të specifikoni një protokoll. Për shembull, për të lejuar vetëm trafikun TCP në portat 3000 deri në 3100, mund të ekzekutoni:

sudo ufw allow 3000:3100/tcp

Meqenëse parazgjedhja është vendosur të refuzojë hyrjen, nuk do t'ju duhet të mbyllni manualisht asnjë portë. Nëse dëshironi të mbyllni një port dalës, do të specifikoni një drejtim krahas ufw reject:

sudo ufw reject out 3001

Lista e bardhë dhe kufizimi i tarifave me UFW

Ju mund të lejoni që disa adresa IP të kenë leje të ndryshme. Për shembull, për të lejuar të gjithë trafikun nga adresa juaj IP, mund të ekzekutoni:

sudo ufw allow 192.168.1.1

Për të listës së bardhë të porteve specifike, do të duhet të përdorni sintaksën më të plotë:

sudo ufw allow proto tcp from 192.168.1.1 to any port 22

Me siguri nuk do të dëshironi të hiqni listën e bardhë të aksesit SSH në këtë mënyrë, përveç nëse keni një lidhje rezervë ose një lloj konfigurimi të trokitjes së portit, pasi adresat IP ndryshojnë mjaft shpesh. Një opsion nëse dëshironi të kufizoni aksesin SSH vetëm tek ju është të konfiguroni një server OpenVPN në të njëjtën re private dhe aksesin në listën e bardhë në atë server.

Nëse dëshironi të hiqni listën e bardhë të një blloku të tërë të adresave IP, siç është rasti kur jeni duke ekzekutuar serverët tuaj përmes një ofruesi virtual privat të resë kompjuterike, mund të përdorni shënimin standard të nënrrjetit CIDR:

sudo ufw allow 192.168.0.0/24

Nënrrjetet janë mjaft të ndërlikuara, kështu që ju mund të lexoni udhëzuesin tonë për të punuar me to për të mësuar më shumë.

Kufizimi i normës është një tjetër veçori e dobishme e mureve të zjarrit që mund të bllokojnë lidhjet që janë padyshim abuzive. Kjo përdoret për të mbrojtur kundër një sulmuesi që përpiqet të forcojë brutalisht një port të hapur SSH. Natyrisht, ju mund të bëni listën e bardhë të portit për ta mbrojtur atë plotësisht, por gjithsesi kufizimi i normës është i dobishëm. Si parazgjedhje, shkalla UFW kufizon 6 lidhje për 30 sekonda dhe synohet të përdoret për SSH:

sudo ufw limit ssh

Aktivizoni UFW

Pasi të keni mbaruar konfigurimin e rregullave tuaja, mund të aktivizoni UFW. Sigurohu që SSH në portën 22 të jetë i hapur ose do të mbyllesh jashtë. Nëse dëshironi, mund të çaktivizoni UFW që të funksionojë gjatë nisjes, në mënyrë që një rivendosje të rregullojë çdo problem të mundshëm:

sudo systemctl disable ufw

Pastaj, mund të aktivizoni UFW me:

sudo ufw enable

Nëse gjithçka është mirë, mund të ekzekutoni status ufw për të parë statusin aktual të murit të zjarrit. Nëse nuk jeni të kyçur jashtë dhe muri i zjarrit po funksionon, vendoseni që të funksionojë në nisje me:

sudo systemctl enable ufw

Sa herë që bëni ndryshime, do t'ju duhet të ringarkoni murin e zjarrit me:

sudo ufw reload

Mund të aktivizoni gjithashtu regjistrimin, për të regjistruar lidhjet në /var/log/:

sudo ufw logging on

Rregullat e menaxhimit dhe fshirjes

Nëse dëshironi të fshini një rregull, do të duhet të merrni numrin e tij me:

sudo ufw status numbered

Vini re se numrat fillojnë me 1, jo me 0. Ju mund të fshini një rregull sipas numrit:

sudo ufw delete [number]

Përsëri, sigurohuni që të mos e fshini rregullin tuaj duke mbajtur të hapur portin 22. Ju mund të përdorni parametrin --dry-run që UFW t'ju kërkojë konfirmim:

Nëse bëni ndonjë ndryshim, do t'ju duhet të ringarkoni përsëri murin e zjarrit.