Linuxのセキュリティ問題について知りたいです。ほとんどの人はLinuxシステムでウイルススキャナが役に立たないと思いますが、ファイアウォールはどうですか?私はDebian wheezy stableを使用しており、以前はUbuntu 12.04を使用していました。セキュアWLANにログインしたPCが1台しかない場合は、ファイアウォールが必要ですか?両方のオペレーティングシステムにすでに設定されているものは何ですか?
答え1
まず簡単なのは、DebianやUbuntu、または私が知っているほとんどのLinuxディストリビューションにはデフォルトでファイアウォールが設定されていないことです。
あなた必要Linuxにファイアウォールがありますか?おそらくそうではありません。なぜなら、着信接続を受け取るLinuxシステムのほとんどのプログラムは、誰かが明示的に起動し、展開が実行されているパッケージストアにインストールする必要があるからです。信頼できるWLANを使用している場合は、コンピュータにプライベートIPアドレスがあり、パブリックIPアドレスとしてNATを使用してルーターに接続でき、ルーターはファイアウォールとしても機能します。
Linuxでファイアウォールが必要な理由:
- Webサーバー(または他の種類のサーバー)を起動して、すべてのコンピューターでプログラムと対話できるプログラムがたくさんあります。そのようなプログラムにリモートで接続する必要がない場合は、ファイアウォールを使用してコンピュータ自体から入らないすべての接続をブロックできます。
- あなたはあなたのコンピュータが応答したくありません
ping
。次に、ファイアウォールを使用してすべてのICMPパケットをドロップします。ファイアウォールに閉じたポートへの接続を要求するすべてのパケットを破棄させることもできます。これにより、コンピュータがまったく応答しなくなります。たとえば、暗いコーヒーショップでWLANを使用すると(ほとんどすべての)ポートスキャンが表示されなくなります。 - パブリックIPアドレスを使用してインターネットに直接接続し、大胆で不正な居住者があなたを攻撃するIRCチャットルームに参加してください。
- あなたは国民国家に追われています。
答え2
通常、ファイアウォールは必要ありません。
ファイアウォール(より正確にはパケットフィルタ)は、ネットワークパケットをフィルタリングするために使用されます。つまり、特定の接続を許可し、他の接続を許可しません。
接続方法は次のとおりです。着信または出る。
一つ着信接続、つまりコンピュータに接続したい他の人は、コンピュータが特定のサービスを提供している場合にのみ可能です。 - パーソナルコンピュータを使用するとサービスを提供できず、他の人があなたに接続することはできません。ファイアウォールなしですべて可能です。
~のため出る接続するには、つまり別のコンピュータに接続するには、それを実行するソフトウェアが必要です。たとえば、Webブラウザを使用して一部のリモートWebサーバーにアクセスします。 - すべてのLinuxディストリビューションと同様に、通常、選択したディストリビューションリポジトリからのみソフトウェアをインストールします。 - ソフトウェアは一般的にオープンソースなので、ソフトウェアは自分が主張するように実行することを確信できます。 - ファイアウォールは通常役に立ちません。
ファイアウォールが適切な唯一のケースは、ネットワークの特定の部分に特定のサービスを提供したい場合です。この場合、接続を許可する必要があるが必要ない接続をフィルタリングする必要があります。 - しかし、この場合でも、tcpwrapperやいくつかのサービス構成などのより簡単な解決策があるかもしれません。
sudo netstat -tupln
すべてのアクティブ・サービスのリストなどのコマンドを使用できます。これは127.0.0.1
、同じホストからのみアクセスできることを意味するバインドでき、0.0.0.0
どこからでもアクセスできることを意味するバインドできます。
答え3
必要でないときにポートをオープンに開くことは、実際には良い考えではありません。関連ソフトウェアのセキュリティ脆弱性にさらされる危険性が高まります。
別のゲストWLANについて言及していないので、将来他のデバイス(ゲストのラップトップや携帯電話など)が同じWLANに接続できるようにすることを前提にしてください。その結果、ゲストラップトップは信頼できないと仮定する必要があります。
どちらのオペレーティングシステムもファイアウォールが設定されていません。
Ubuntuは、次のグループを満たすことを目指しています。「オープンポートがありません」基本的に。最新バージョンではこれを行いません。 (UbuntuのRhythmboxのバグ)。
Debian Wheezyの標準インストールは、実行時にUDPポート111をリッスンしますrpcbind
(上記のように)。ここ)
ss
現在開いているポートの使用または確認をサポートしますnetstat
。私の使用説明書ここ。上記の2つの例は、私が探している主な例です。
rpcbind
使用しない場合は必ず削除してください。rpcbind
NFS2 および NFS3 にのみ必要です。 (NFS4には必要ありません)個人用PCがあり、NFSが何であるかわからない場合は、NFSを使用していません。
Rhythmboxを使用していない場合は、RhythmboxでDAAPプラグインを無効にすることもできます。 (これはローカルネットワークを介して音楽にアクセスする1つの方法です。これを無効にし、音楽が失われたかどうかを確認できます:-)。
ファイアウォールの実行の欠点は、一部のコンテンツをブロックするときにトラブルシューティングが必要であることです。する必要。たとえば、BitTorrentを使用するには、それを許可するようにファイアウォールを設定する必要があります。それ以外の場合はアップロードできません(tit-for-tatアルゴリズムはダウンロードが遅くなることを意味します)。
私は2段階のアプローチをお勧めします。まず確認する方法を学びss
ますnetstat
。ネットワーク上でリッスンしている不要なプログラムを無効/削除します。第二に、ファイアウォールを構成します。
何かが正しく機能しないため、問題を解決する必要がある場合は、1)どのプログラムがネットワークでリッスンしているかを再確認し、2)ファイアウォールを完全に無効にすることができます。
問題が解決したら、ファイアウォールの問題であることがわかります。どのポートを許可する必要があるのかを調べることができます(またはもっと難しい問題がある場合:-)。結局のところ、ファイアウォールを設定して再度有効にして上書きできることを願っています。Nextこれで、Ubuntuが主要なセキュリティポリシーを忘れて、不要な新しいポートを開いたときです。 :-)
このufw
ファイアウォールはDebianとUbuntuで利用できます。 Ubuntuは「簡単なファイアウォール」を提供するためにこれを作成しました。