私はKDEでDebian 9.1を使用していますが、なぜデフォルトでファイアウォールをインストールして有効にしないのか疑問に思います。 gufwはDVD1パッケージにもありません。
人々がインターネットに接続することを期待していますか?今後ファイアウォールをインストールしますか?なぜ?すべてのポートがデフォルトで閉じられていても、インストール、更新、またはダウンロードされたさまざまなプログラムがポートを開くことができます(または開くことができませんか?)、私の許可なしに私のコンピュータから1ビットを残したくありません。
編集:だから私はちょうど見つけました。iptablesしかし、ファイアウォールはほとんどの人にとって基本的なルール、アクセシビリティ、使いやすさ、実際に再起動すると、デフォルトですべてのiptableルールがリセットされます。。
答え1
まず、Debian はあなたが何をしているのかを知っていると仮定し、あなたに代わって選択をしないようにしようとする傾向があります。
Debian のデフォルトインストールはかなり小さく安全です。どのサービスも開始しません。インストールに追加された標準オプションの追加項目(Webサーバー、SSHなど)も通常、かなり保守的で安全です。
したがって、この場合はファイアウォールは必要ありません。 Debian(またはその開発者)は、他のサービスを起動すると、そのサービスを保護する方法を知り、必要に応じてファイアウォールを追加できると仮定します。
おそらくもっと重要なのは、Debianで使用するファイアウォールソフトウェアを選択できないようにすることです。いくつかのオプションがあります。どのオプションを使用する必要がありますか?デフォルトのファイアウォール設定でどの設定を選択する必要がありますか?ただし、iptables
優先順位が重要なので、デフォルトでインストールされます。しかし、もちろん、Debianはあなたがどのように設定したいのか分からないので、あなたのために設定しません。とにかくiptables
後継者を使用する方が良いかもしれません。nftables
また、ファイアウォール機能はLinuxカーネルにある程度組み込まれていますnftables
。 Debianやその他のLinuxディストリビューションは、この機能を管理するためnetfilter
のユーザースペースツールを提供します。iptables
しかし、彼らと何をするかはあなた次第です。
これらのエンティティの名前は一貫していません。引用するウィキペディアnftables
ページ:
nftablesはユーザースペースユーティリティnftによって設定され、netfilterはiptables、ip6tables、arptables、およびebtablesフレームワークユーティリティで設定されます。
答え2
まず、すでに話した内容を繰り返したいです。 Debian は、他の主流ディストリビューション (特に Ubuntu) とは非常に異なるユーザーベースに対応しています。 Debian は、システムがどのように動作するかを理解し、システムに対する高レベルの制御を見返りに変更することを恐れていない人のためのものです。たとえば、Ubuntuは非常に多様なターゲット顧客をターゲットにしています。つまり、背後で何が起こっているのか(本当に)気にせず、仕事が正常に機能したい人、仕事が機能するようにシステム構成を操作したくない人です。これは、最終システムのいくつかの側面に影響を与えます。ある程度これはLinuxの利点の1つです。同じ基本システムを使用して、さまざまな要件を満たす環境を構築できます。 UbuntuはDebianの派生物であり、まだDebianと強い類似性を維持していることを覚えておいてください。
gufwはDVD1パッケージにもありません。
最初のディスクには、インストールされたシステムから匿名統計を収集することを選択することによって決定される最も広く使用されているソフトウェアが含まれています。 gufwが最初のディスクにないという事実は、これがDebianであまり人気のない(インストールベースの面では)パッケージではないことを示しています。他のオプションよりもこのオプションを好む場合は、ネットワークとプライマリシステムが実行されたら簡単にインストールできます。
人々はファイアウォールをインストールする前にインターネットに接続したいですか?なぜ?
まあ、まずDebianはネットワークを介したインストールを許可すると思います。 (一般インストール中にネットワークからパッケージをダウンロードするだけでなく、文字通りインストールしているホスト以外のホストからインストールを開始します。。 ) 基本的に制限されたルールセットで構成されるファイアウォールは、干渉の危険があります。インストールプロセス中に発信するネットワークアクセスを必要とするインストールと同様に、インストールの目的は、インストールされているパッケージの最新バージョンをダウンロードすることだけではありません。
一方、上記のようなものです。一般に、Debianはあなたが何をしているのかを知りたいのです。ファイアウォールが必要な場合は自分で設定できる必要があり、特別な要件が何であるかを Debian 管理者よりもよく知っておく必要があります。この点で Debian は OpenBSD と少し似ていますが、それほど極端ではありません。 (基本システムをより安全にすることと、より便利にすることの1つを選択すると、OpenBSD管理者は実際には常にセキュリティを選択します。これは、基本的なシステムセキュリティの脆弱性統計に反映されますが、有用性ではありません。大きな影響を与えます。)
もちろん、技術的な詳細もあります:ファイアウォールサポートはい基本システムに含まれています。カーネルは許可されているすべてのルールセットに対してこの設定をデフォルト値に設定し、デフォルトのDebianインストールはこの設定を変更するために何もしません。トラフィックを制限するために実行できるいくつかのコマンドがあります。
すべてのポートがデフォルトで閉じられていても、インストール、更新、またはダウンロードされたさまざまなプログラムがポートを開くことができます(または開くことができませんか?)、私の許可なしに私のコンピュータから1ビットを残したくありません。
まず、ファイアウォールはしばしば制限のために使用されます。着信輸送。制限したい場合出る輸送は全く異なる質問です。確かに可能ですが、特定の状況に合わせてより多くの調整が必要です。ファイアウォールはデフォルトで発信トラフィックをブロックし、一般的に使用されるポートは開いたままにします(これらの共通ポートはftp/20+21、ssh/22、smtp/25、http/80、https/443、pop3/110、imap / 143と1つのヒープ)、確立されたセッションに関連するトラフィックを許可することは、デフォルトで許可するファイアウォールよりも安全ではありません。基本的なシステムインストール用のパッケージセットを理解しやすく安全に構成し、追加の保護が必要な場合は、管理者が適切なファイアウォールルールを設定できる提供パッケージセットに制限することをお勧めします。
第二に、閉鎖ポート(aTCP RST / ACKを使用してTCP SYNに応答する、通常「接続拒否」と報告されます。これは通常、TCP / IPをサポートするライブシステムではTCPポートのデフォルト状態であり、逆の構成がなく、ソフトウェアの受信がありません)は重大な脆弱性ではありません。別のファイアウォール接続システムでも同様です。完全閉鎖構成で唯一重要な脆弱性は、カーネルのTCP / IPスタック実装に脆弱性がある場合です。しかし、パケットはすでにカーネルのnetfilter(iptables)コードを通過しており、そこにもバグが隠れている可能性があります。相手に「接続拒否」をもたらす応答ロジックは単純すぎるため、ネットワークサービスに関連するセキュリティエラーだけでなく、エラーの主な原因になる可能性があるという事実も信じられません。ループバックインターフェイス以外にサービス自体が実行されていないか聞いていない場合、攻撃者は実際に接続して悪用できるものは何もありません。
第三に、パッケージは通常ルートとしてインストールされ、ユーザー(パッケージ)は自分も知らないようにiptablesルールを変更できます。したがって、人間の管理者にホストファイアウォールを介したトラフィックを手動で許可するように要求するなどの結果は得られません。このような分離が必要な場合は、まずファイアウォールで保護されているホストからファイアウォールを分離する必要があります。
だから私はiptablesを見つけましたが、ファイアウォールはほとんどの人にとって非常に見慣れていて、基本的なルールとアクセシビリティと使いやすさのために問題はまだiptablesにあるようです。
私は実際に言うでしょう反対ファイアウォールとしてiptablesは本当です。よく知られている。これはあなたが遭遇するほぼすべてのLinuxシステムで動作します。 (Linuxカーネルバージョン2.4の開発中に2000年頃にipchainsを置き換えました。私が正確に覚えていれば、ファイアウォールの一般的なユースケースで2つの間でユーザーが見ることができる最大の変更点は、組み込みのルールチェーンが大文字であることです。文字名(たとえばINPUT
、小文字の代わりにinput
)。
iptablesは次のことができます。その他これを広く使用されていない、または理解されていないファイアウォールと比較してください。たとえば、IP パケットの書き換えに使用できます。今後ファイアウォールを通過します。
答え3
私が推測しているなら、そして真の世代のDebian開発者と管理者の心がなければ、私の推測は次のようになります。
Debian は主にサーバオペレーティングシステムとして設計されており、sid とテストブランチの主な目的は、次の安定ブランチを作成することです。固定されると、Stretchで発生したように固定され、新しい安定分岐がテストから取得されます。 。
これを考えると、私はデータセンターのファイアウォールがサーバーのセキュリティがはるかに優れている外部デバイス(少なくとも1人はそれを望む)であり、主なファイアウォールタスクを処理すると仮定し、システム管理者の友人にこれを確認する必要がありました。ルーターがある小規模LANでも同様です。ルータはファイアウォールです。私のシステムはローカルファイアウォールルールを使用しません。なぜですか?
人々は、デスクトップ Debian をローカルにインストールしたり、オフィスや自宅に単一のファイルサーバーをインストールしたり、主に本番用途に焦点を当てた Debian に接続する実際の作業を混乱させる可能性があると思います。
私はこれについて確信していませんが、開発者であり、Debian の支持者として 10 年以上にわたって Debian を使ってみた後、このような気がします。
これは実際には良い質問なので確認できますが、私の考えでは、実際のネットワークにはマシン単位ではなく、ネットワークエントリポイントにファイアウォールがあるか、少なくともこれがThoughts Durbanを駆動できる基本事項のようです。さらに、もちろん、そうでない場合、システム管理者は、デフォルトのインストールに依存せずに各システムにファイアウォールルールを設定するためにChefのようなものを使用します。 Debian ssh 設定は、個人的にデフォルトで使用する設定ではありません。たとえば、デフォルトでrootログインを許可し、システム管理者がこれが悪い習慣であると判断した場合は、修正する必要があります。
つまり、Debian には他のディストリビューションには存在しない機能に関する仮定があると思います。たとえば、変更したい項目を変更したり、イメージを作成したり、サイト管理ソフトウェアを使用して管理したりするなどの操作を実行できます。これはいくつかの可能性にすぎません。たとえば、少なくとも本番環境では、新しいサーバーを作成するためにDVDを使用しません。私が頻繁に使用する最小ネットワークインストールのようなものを使用することもできます(例:私はより小さな画像を使用しました)、停止しました)。デフォルトのインストールに何が含まれているのかを見ると、Debian が重要と思われるものとそうでないことがわかります。たとえば、SSHがあります。 Xorgはそうではなく、Sambaはそうではありません。
なぜGNOMEをデフォルトのデスクトップにリセットしたのか尋ねるかもしれませんが、これはシステムを望む方法にすることができるので、ユーザーが大幅に無視した決定にすぎません(つまり、Xfceデスクトップを取得するのはわかりません)、Xdebian(Xubuntuなど)をインストールせずにDebianコア、Xorg、およびXfceをインストールするだけです。同様に、ファイアウォールが必要な場合はファイアウォールを構成し、詳細などを知っていますが、個人的にDebianがその機能を有効にするとは思わず、有効にしても実際には少し迷惑になります。おそらくこれに対する私の意見は、Debianでも見つけることができる合意を反映するでしょう。
また、もちろんDebianのようなものは実際にはなく、さまざまなインストールイメージ、ネットワークインストール、フルインストールがあります。これらのインストールは、ベアボーン、CLI専用からかなり完全なユーザーデスクトップまで、さまざまです。たとえば、本番ユーザーはユーザーが望む方法で設定されたイメージを作成でき、Debianサーバーを設定するには、元の基本から始めて要件を満たすまで構築する必要があることを知っています。
その後、全く異なるワックス認定のWebサーバーの世界に入り、彼らは非常に異なるセキュリティ上の問題を抱えており、地下ハッカーと非常に関連している私の長い友人が言ったように、Webサーバーをどのように運営しているかを知りません。セキュリティを守る人は、クラッカーがサーバーを所有している人とも言えます。
答え4
人々は以前にインターネットに接続することを期待していますか?
はい
ファイアウォールをインストールしますか?
デフォルトでは、すべてのポートが閉じていても
申し訳ありません。そうではありません。rpcbind
デフォルトでは、ネットワークからインストール、アクティブ化、リッスンしているようです。
編集する:私はこの問題がDebian 9(Stretch)である最新のインストーラで修正されたと思います。。しかし、以前のバージョンのDebianでは、パブリックWiFiネットワークにインストールしてアップデートするのは安全性が低いと感じました。
なぜ?
人々が推測していると思います。
- ローカルネットワークはネットワークサービスを攻撃できません。
- ローカルネットワークとより広いインターネットの間にはすでにファイアウォールがあります。
後者がコンシューマルータで一般的に使用される方法ですが、これは保証されていません。当然、以前の仮説は文書化されていない。これも賢明な措置ではありません。
私の考えでは、rpcbindの問題はより一般的な問題の例です。人々はDebianを宣伝しようとするかもしれません。 Debian には素晴らしい機能がたくさんあります。しかし、Debian はどれほどスタイリッシュでユーザーフレンドリーなのか、使用している人がどれほど信頼できるのかについても、Ubuntu より劣っています。考える詳しくはこちらをご覧ください。
ダウンロードしたプログラムはそのプログラムを開くことができます(または開くことができませんか?)、私の許可なしに私のコンピュータを離れないでください。
どの機能を実行しているかわからない任意のソフトウェアをダウンロードして実行する前に、ファイアウォールを自由にインストールできます。 :-p。
部分的に同意します。 Linuxをインストールしましたが、よく知られているセキュリティ層へのインターフェースが見つからないことは衝撃的です。個人的には、デフォルトのWindowsファイアウォールがどのように設定されているかを理解するのが便利だと思います。ホームネットワークを「信頼」することを期待し、最新バージョンでは、クイックインストールが現在のネットワークを信頼しているかどうかを尋ねるメッセージもスキップされます。主な目的は、ホームネットワーク、保護されていない接続(たとえば、直接接続されたモデム)、パブリックWi-Fiネットワークを区別することです。 UFWはとにかくこれをサポートしていないことに注意してください。
Fedora Linuxは単独で試されていますfirewalld
。 (パッケージはDebianでも利用できるようです...)GUIはGUFWほど「フレンドリー」ではありません。