mYn*_*EAm 17 security firewall debian ufw
我正在使用带有 KDE 的 Debian 9.1,我想知道为什么它没有安装和默认启用防火墙?gufw 甚至不在 DVD1 的软件包中。
人们是否希望在获得防火墙之前连接到 Internet ?为什么?即使默认情况下所有端口都关闭,各种已安装、更新或下载的程序也可以打开它们(或不打开?),我希望在未经我许可的情况下,我的机器一丁点都没有。
编辑:所以我刚刚发现了iptables,但我想这个问题仍然是 iptables,因为防火墙似乎对大多数人来说是相当陌生的,它的默认规则,它的可访问性和易用性以及默认情况下任何 iptable-rules 都被重置的事实在重新启动。
Fah*_*tha 30
首先,Debian 倾向于假设您知道自己在做什么,并试图避免为您做出选择。
Debian 的默认安装相当小而且是安全的——它不启动任何服务。甚至添加到安装中的标准可选附加功能(例如,Web 服务器、ssh)通常也非常保守和安全。
因此,在这种情况下不需要防火墙。Debian(或其开发人员)假设如果您启动其他服务,您将知道如何保护它们,并且可以在必要时添加防火墙。
更重要的是,也许 Debian 避免为您选择使用哪种防火墙软件。有多种选择——它应该使用哪一个?即使是基本的防火墙设置,应该选择什么设置?话虽如此,iptables优先级很重要,因此默认情况下会安装它。但是当然,Debian 不知道您希望它如何配置,因此它不会为您配置它。无论如何iptables,您可能更喜欢使用的后继nftables。
另请注意,防火墙功能已在一定程度上内置于 Linux 内核中;例如nftables和netfilter。Debian 和其他 Linux 发行版确实提供了iptables用于管理该功能的用户空间工具。但是你如何处理它们取决于你。
请注意,这些实体的命名不一致。引用维基百科nftables页面:
nftables 通过用户空间实用程序 nft 进行配置,而 netfilter 通过实用程序 iptables、ip6tables、arptables 和 ebtables 框架进行配置。
use*_*ser 12
首先,我确实想重复已经说过的话:与许多其他主流发行版相比,Debian 迎合了相当不同的用户群,尤其是 Ubuntu。Debian 面向那些了解系统如何工作的人,他们不害怕不时修补以换取对系统的高度控制。例如,Ubuntu 迎合了非常不同的目标受众:那些只想让事情正常工作而不(真的)关心幕后发生的事情的人,当然不想修改系统配置来制作东西的人工作。这会影响最终系统的许多方面。在某种程度上,这是 Linux 的一大优点;相同的基础系统可用于构建满足不同需求的环境。请记住,Ubuntu 是 Debian 的衍生版本,
gufw 甚至不在 DVD1 的软件包中。
第一个磁盘包含最流行的软件,这是通过从已安装的系统中选择加入匿名统计数据来确定的。gufw 不在第一个磁盘上的事实仅表明这在 Debian 中不是一个非常流行的(就安装基础而言)软件包。如果您更喜欢它而不是其他选择,那么一旦您拥有启动并运行网络的基本系统,它也很容易安装。
人们是否希望在获得防火墙之前连接到 Internet?为什么?
嗯,一方面,我相信 Debian 允许通过网络安装。(不仅在正常安装过程中从网络下载软件包,而且从与安装在. 与在安装过程中需要传出网络访问的安装相同,其目的不仅仅是下载正在安装的最新版本的软件包。
另一方面,还有我上面提到的;通常,Debian 希望您知道自己在做什么。如果您想要一个防火墙,您应该能够自己配置它,并且您应该比 Debian 维护者更了解您的特定需求。Debian 在这方面有点像 OpenBSD,只是没有那么极端。(当在让基础系统更安全和更易用之间做出选择时,OpenBSD 维护者几乎总是追求安全性。这显示在他们的基础系统安全漏洞统计中,但对可用性有巨大影响。)
当然,专门性:防火墙支持被包含在基本系统。只是它被设置为内核默认设置的全许可规则,而基本的 Debian 安装不会做任何改变。您可以运行几个命令来限制流量。
即使默认情况下所有端口都关闭,各种已安装、更新或下载的程序也可以打开它们(或不打开?),我希望在未经我许可的情况下,我的机器一丁点都没有。
首先,防火墙通常用于限制传入流量。如果你想限制外出交通,这是一个相当不同的鱼;当然可行,但需要根据您的具体情况进行更多定制。默认阻止传出流量防火墙,使常用端口保持打开状态(常用端口可能是 ftp/20+21、ssh/22、smtp/25、http/80、https/443、pop3/110、imap/143 和一堆其他人),加上允许与已建立的会话相关的流量,不会比默认允许的防火墙更安全。最好确保基本系统安装的软件包集仅限于一组易于理解、配置为安全的交付软件包,并允许管理员在需要更多保护时设置适当的防火墙规则。
第二,一个关闭的端口(一个用 TCP RST/ACK 响应 TCP SYN 的端口),通常报告为“连接被拒绝”——这通常是支持 TCP/IP 的实时系统上 TCP 端口的默认状态,没有相反的配置,或者没有软件监听)不是一个重大漏洞,即使在未通过单独防火墙连接的系统上。全封闭配置中唯一的重大漏洞是内核的 TCP/IP 堆栈实现中是否存在漏洞。但是数据包已经通过内核中的 netfilter (iptables) 代码,并且那里也可能潜伏着一个错误。在另一端响应导致“连接被拒绝”的逻辑非常简单,我很难相信它会成为错误的主要来源,更不用说与安全相关的错误了;
第三,软件包通常以 root 身份安装,您(软件包)可以从中更改 iptables 规则,而您无论如何都不知道。因此,您不会像要求人工管理员手动允许流量通过主机防火墙那样获得任何好处。如果您想要这种隔离,您应该首先将防火墙与它所保护的主机分开。
所以我刚刚发现了 iptables,但我想问题仍然是 iptables,因为防火墙对大多数人来说似乎相当陌生,它的默认规则以及可访问性和易用性。
我实际上会说相反的情况是正确的。iptables 作为防火墙是众所周知的。它也可以在您可能遇到的几乎所有 Linux 系统上使用。(它在导致 Linux 内核版本 2.4 的开发过程中取代了 ipchains,大约在 2000 年左右。如果我没记错的话,对于防火墙的常见用例,两者之间最大的用户可见变化是内置规则链现在以大写命名,如INPUT,而不是小写,如input。)
如果有的话,iptables的可以做的事情其他比它的防火墙没有被广泛使用或理解。例如,它可用于在 IP 数据包通过防火墙之前对其进行重写。
如果让我猜测,实际上并不是处于 Debian 开发人员和维护人员的头脑中,我的猜测是这样的:
Debian 主要设计为服务器操作系统,sid 和 testing 分支的主要目的都是创建下一个稳定分支,并且在冻结时,它们被冻结,而新的稳定分支则来自测试,就像发生在 Stretch 上。
鉴于此,我会进一步假设,我必须与系统管理员朋友确认这一点,数据中心防火墙是外部设备,安全性更高(至少有人希望是这种情况)),服务器,并处理主要防火墙任务。即使在带有路由器的小型局域网上,情况也是如此,路由器就是防火墙,我没有在我的任何系统上使用任何本地防火墙规则,为什么会这样?
我想也许人们会将他们本地安装的桌面 Debian 或办公室或家中的单个文件服务器与连接到 Debian 的实际工作混淆,我认为这主要集中在生产使用上。
我不确定这一点,但在使用 Debian 十多年后,这是我的感觉,作为 Debian 的开发者和支持者在许多方面。
我可以检查一下,因为这实际上是一个很好的问题,但我的猜测是真实的网络在网络的入口点被防火墙设置,而不是在每台机器的基础上,或者至少,这是可能会驱动的基本思想Debian。另外,当然,如果不是这种情况,系统管理员将在每台机器的基础上设置防火墙规则,使用像 Chef 这样的东西,而不依赖于任何默认安装,这不会是你倾向于的信任,例如,默认的 Debian ssh 配置不是我个人会使用的默认配置,例如,它们默认允许 root 登录,如果他们发现这是不好的做法,则由系统管理员纠正.
也就是说,我认为 Debian 的能力假设在其他一些发行版中可能不存在。比如,您可以更改想要更改的内容、创建图像、使用站点管理软件进行管理等等。这些只是几种可能性。例如,您永远不会使用 DVD 来创建新服务器,至少永远不会在生产中使用,您可能会使用诸如最小网络安装之类的东西,这就是我一直使用的东西,例如(我曾经使用更小的图像,但他们停止了它)。如果您查看基本安装中包含的内容,您就会对 Debian 认为重要的内容和不重要的内容有一个很好的了解。例如,ssh 就在那里。Xorg 不是,Samba 不是。
人们还可能会问为什么他们回到 GNOME 作为默认桌面,但这些只是他们做出的决定,而他们的用户基本上会忽略这些,因为您可以按照自己想要的方式制作系统(即获得 Xfce 桌面,我不不安装 Xdebian(如 Xubuntu),我只安装 Debian 核心、Xorg 和 Xfce,然后我就走了)。以类似的方式,如果我想要防火墙,我会配置它,了解细节等,但我个人不希望 Debian 启用它,如果它真的对我来说有点烦人. 也许我对此的看法反映了您在 Debian 内部也可能找到的某种共识。
另外,当然,真的没有 Debian 这样的东西,有各种安装映像、网络安装、完整安装,这些都从准系统、仅 cli 到合理完整的用户桌面各不相同。例如,生产用户可能会创建图像,这将按照用户想要的方式进行配置,我知道如果我正在设置 Debian 服务器,我会从原始基础开始,然后构建它,直到它完成我想要的。
然后你就有了网络服务器的世界,这是一个完全不同的蜡球,它们有非常不同的安全问题,而且,正如我的一位与地下黑客关系密切的老朋友所说,有人在不知道如何保护的情况下运行网络服务器它也可以称为服务器为黑客所有的人。
一般的想法是,除了复杂的设置外,大多数系统都不需要防火墙。
当您安装服务器时,SSH 正在运行。没有其他东西应该在监听,您可能希望能够连接到 ssh。
当您安装网络服务器时,您希望网络服务器可用,不是吗?对于基本调整,您可以将网络服务器绑定到专用 LAN 接口,例如 192.168.172.42(您的本地 LAN IP),而不是 0.0.0.0(所有 ip)。您仍然不需要防火墙。
当然,任何东西都可以打开一个大于 1024 的端口,但是当您拥有不受信任的软件(或不受信任的用户)时,您应该做的不仅仅是安装防火墙。在您需要不信任某事或某人的那一刻,您不仅需要一个软件,还需要一个安全概念。因此,当您需要积极考虑防火墙解决方案时,这是一件好事。
现在当然还有更复杂的场景。但是当你真正拥有其中一个时,你真的需要自己微调防火墙,不要让像 ufw 这样的半自动系统来做。或者您甚至可以使用 ufw,但后来您决定使用它而不是操作系统的默认设置。
| 归档时间: |
|
| 查看次数: |
21882 次 |
| 最近记录: |