Debian neden varsayılan olarak bir güvenlik duvarı etkin olmadan gelir?


15

Debian 9.1'i KDE ile kullanıyorum ve neden varsayılan olarak bir güvenlik duvarı yüklü ve etkin olmadan geldiğini merak ediyorum? gufw DVD1 paketlerinde bile yok.

İnsanların güvenlik duvarı almadan önce İnternet'e bağlanması bekleniyor mu? Neden? Tüm portlar varsayılan olarak kapalı olsa bile, çeşitli kurulu, güncellenmiş veya indirilmiş programlar bunları açabilir (veya açamaz mı?) Ve iznim olmadan makinemden tek bir bit bile çıkmamasını diliyorum.

Düzenleme: Yani ben sadece iptables hakkında öğrendim ama sanırım güvenlik duvarı en çok bilinmeyen görünüyor gibi varsayılan iptables olarak kalır, varsayılan kuralları, erişilebilirliği ve kullanım kolaylığı ve aslında herhangi bir iptable-kuralları sıfırlandı yeniden başlatma .


Çok güzel bir soru. Ubuntu sunucusu iptablesönceden yüklenmiş olarak bile gelmiyor ! Sanırım insanlar sadece uçtan uca prensibi katman 7 aşırı almaya çalışıyor ...
rlf

8
Iptables "çoğu için bilinmeyen" olduğunu belirtmek için neden nedir?
SaAtomic

1
Bir süre önce benzer bir şey sordum geri unix.stackexchange.com/questions/127397/…
StrongBad

1
"Tüm bağlantı noktaları varsayılan olarak kapalı olsa bile, yüklü, güncellenmiş veya indirilmiş çeşitli programlar bunları açabilir ..." - Kötü niyetli olduğunu varsayarsanız, yüklenen, güncellenen veya indirilen programlar da güvenlik duvarı kurallarını temizleyebilir.
marcelm

1
mYnDstrEAm, örneğin sudoparolanızı olduğu gibi parolayı verdiğinizde bu programların yükleme komut dosyalarına root erişimi verdiğiniz içinsudo apt-get install package ...
cat

Yanıtlar:


28

İlk olarak, Debian ne yaptığınızı bildiğinizi varsayar ve sizin için seçim yapmaktan kaçınır.

Debian'ın varsayılan kurulumu oldukça küçüktür ve güvenlidir - herhangi bir hizmet başlatmaz. Ve bir kuruluma eklenen standart isteğe bağlı ekstralar (örneğin, web sunucusu, ssh) bile genellikle oldukça muhafazakar ve güvenlidir.

Bu nedenle, bu durumda bir güvenlik duvarına gerek yoktur. Debian (veya geliştiricileri), ek hizmetler başlatırsanız, bunları nasıl koruyacağınızı bileceğinizi ve gerekirse bir güvenlik duvarı ekleyebileceğinizi varsayar.

Daha da önemlisi, Debian, hangi güvenlik duvarı yazılımının kullanılacağı konusunda sizin için seçim yapmaktan kaçınır. Bir dizi seçenek vardır - hangisini kullanmalıdır? Ve temel bir güvenlik duvarı ayarında bile, hangi ayar seçilmelidir? Bunu söyledikten sonra iptables, öncelik önemlidir, bu yüzden varsayılan olarak yüklenir. Ama elbette, Debian nasıl yapılandırılmasını istediğinizi bilmiyor, bu yüzden sizin için yapılandırmıyor. Ve zaten iptableshalefini kullanmayı tercih edebilirsiniz nftables.

Ayrıca, güvenlik duvarı işlevselliğinin belirli bir ölçüde Linux çekirdeğinde yerleşik olduğunu unutmayın; örneğin nftablesve netfilter. Debian ve diğer Linux dağıtımları, iptablesbu işlevselliği yönetmek gibi kullanıcı alanı araçları sağlar. Ama onlarla yaptığınız şey size kalmış.

Bu varlıkların tutarlı bir şekilde adlandırılmadığını unutmayın. Wikipedia nftablessayfasını alıntılamak için :

nftables kullanıcı alanı yardımcı programı nft üzerinden, netfilter ise iptables, ip6tables, arptables ve ebtables çerçeveleri üzerinden yapılandırılır.


4
@sourcejedi Hatırlayabildiğim kadarıyla Debian'ın varsayılan kurulumu en azından patatesden beri çok benzerdi, ki kullanmaya başladığım zaman. Ne demek istediğinden emin değilim.
Faheem Mitha

1
@FaheemMitha önceki varsayılan herhangi bir şekilde dışarıdan bağlantıları kabul etmek için değildi :)
hobbs

1
+1 sizin için seçim yapmaktan kaçınmaya çalışır. . Güvenlik duvarlarını yönetmek için, her biri farklı artı ve eksileri olan, her biri farklı kullanım durumlarına sahip birçok farklı araç vardır. ve bir güvenlik duvarının yapılandırılmasının çok daha fazla yolu vardır. derinlemesine savunma (örneğin bağımsız bir güvenlik duvarı / yönlendirici VE ana bilgisayar başına iptables kuralları) iyi, ama debian yükleyici ağımın nasıl kurulduğunu ve hangi güvenlik duvarı kurallarını nasıl istediğini bildiğini varsayarsam çok can sıkıcı bulurdum. bunu bilmek benim için ve karar vermem için.
cas

4
Güzel cevap, "Debian sizin için seçim yapmaktan kaçınır [gibi] mevcut bir dizi seçenek var" benim için çok mantıklı değil. Debian, alternatiflerin mevcut olduğu yerlerde zaten seçimler yapıyor (örneğin, "Web sunucusu" nu seçtiğimde, apache'yi lighttpd üzerinden seçmek, rpm üzerinden deb ... açıkçası). Bir dağıtımın asıl amacı seçim yapmak değil midir?
gd1

1
@ gd1 Doğru; Debian, tarihsel olarak varsayılanları sağlar - örneğin Exim. Ama değiştirmek kolaydır. Ve sanırım iptablesDebian için de bir varsayılan. Ancak Debian'ın kendi başına yapmadığı bir şey, kullanıcı için açık olmayan sistem yapılandırmasıdır.
Faheem Mitha

12

Öncelikle, daha önce söylenenleri tekrarlamak istiyorum: Debian, diğer birçok ana dağıtımdan, özellikle de Ubuntu'dan çok farklı bir kullanıcı grubuna hitap ediyor. Debian, sistemin nasıl çalıştığını bilen ve zaman zaman sistem üzerinde yüksek bir kontrol sağlamak için uğraşmaktan korkmayan insanlara yöneliktir. Örneğin Ubuntu, çok farklı bir hedef kitleye hitap ediyor: sadece işlerin çalışmasını isteyen ve kaputun altında neler olup bittiğini umursamayan ve kesinlikle bir şeyler yapmak için sistem yapılandırmasını değiştirmek zorunda kalmayan insanlar iş. Bu, ortaya çıkan sistemin bir takım yönlerini etkiler. Ve bir dereceye kadar, bu Linux'un bir güzelliği; aynı temel sistem, farklı ihtiyaçlara cevap veren ortamlar oluşturmak için kullanılabilir. Ubuntu'nun bir Debian türevi olduğunu unutmayın,

gufw DVD1 paketlerinde bile yok.

İlk disk, yüklü sistemlerden anonim istatistiklerin kaydolmasıyla belirlenen en popüler yazılımı içerir. Gufw'nin ilk diskte olmaması, bunun Debian'da oldukça popüler (yüklü taban açısından) bir paket olmadığını gösterir. Alternatif olarak tercih ederseniz, ağ kurup çalışan temel sisteme sahip olduğunuzda da kurulumu kolaydır.

İnsanların güvenlik duvarı almadan önce İnternet'e bağlanması bekleniyor mu? Neden?

Bir kere Debian'ın bir ağ üzerinden kuruluma izin verdiğine inanıyorum. (Yalnızca normal bir yükleme sırasında paketleri ağdan indirmekle kalmaz, aynı zamanda yüklemeyi kurulmakta olandan farklı bir ana bilgisayardan başlatır .) Varsayılan olarak kısıtlayıcı kural seti ile yapılandırılmış bir güvenlik duvarı buna müdahale etme riski taşır. Yalnızca, yüklenmekte olan paketlerin en son sürümlerini indirmek dışında, kurulum işlemi sırasında giden ağ erişimine ihtiyaç duyan kurulumlarla aynıdır.

Bir diğeri için yukarıda bahsettiğim; Kural olarak, Debian ne yaptığınızı bilmenizi bekler. Bir güvenlik duvarı istiyorsanız, kendiniz yapılandırabilmeniz beklenir ve Debian koruyucularından özel gereksinimlerinizin ne olduğunu daha iyi bilmeniz beklenir. Debian bu açıdan OpenBSD'ye benziyor, aşırı değil. (Temel sistemi biraz daha güvenli hale getirme ve biraz daha kullanışlı hale getirme arasında seçim yapıldığında, OpenBSD sahipleri neredeyse her zaman güvenliği ararlar. Bu, temel sistem güvenlik açığı istatistiklerini gösterir, ancak kullanılabilirlik üzerinde büyük etkileri vardır.)

Ve tabii ki, teknik detay: Firewall desteği olan taban sisteme dahil. Sadece çekirdek tarafından varsayılan olarak ayarlanan tüm izinli bir kurala ayarlanmıştır ve temel Debian yüklemesi bunu değiştirmek için hiçbir şey yapmaz. Trafik akışını kısıtlamak için birkaç komut çalıştırabilirsiniz.

Tüm portlar varsayılan olarak kapalı olsa bile, çeşitli kurulu, güncellenmiş veya indirilmiş programlar bunları açabilir (veya açamaz mı?) Ve iznim olmadan makinemden tek bir bit bile çıkmamasını diliyorum.

İlk olarak, güvenlik duvarları genellikle gelen trafiği kısıtlamak için kullanılır . Gidenleri kısıtlamak istiyorsanıztrafik, bu oldukça farklı bir balık su ısıtıcısı; kesinlikle yapılabilir, ancak özel durumunuza daha çok uyarlanması gerekir. Yaygın olarak kullanılan bağlantı noktalarını açık bırakan varsayılan blok giden bir trafik güvenlik duvarı (yaygın olarak kullanılan bağlantı noktalarının ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 ve diğerlerinden oluşan bir paket) ve ayrıca yerleşik oturumlarla ilgili trafiğe izin verilmesi, varsayılan izin verilen güvenlik duvarından çok daha güvenli olmaz. Temel sistem tarafından kurulan paket kümesinin iyi anlaşılmış, teslim edilen paketler olarak güvenli yapılandırılmış bir dizi ile sınırlı olduğundan emin olmak ve yöneticinin bundan daha fazla korumaya ihtiyaç duymaları durumunda uygun güvenlik duvarı kurallarını ayarlamasına izin vermek daha iyidir.

İkincisi, kapalı bir bağlantı noktası ( TCP SYN'ye TCP RST / ACK ile yanıt veren bağlantı noktası), genellikle "bağlantı reddedildi" olarak bildirilir - bu, aksine yapılandırma yapılandırması veya üzerinde yazılım dinlememesi durumunda TCP / IP'yi destekleyen canlı bir sistemdeki TCP bağlantı noktasının varsayılan durumudur) önemli bir güvenlik açığı değildir, ayrı bir güvenlik duvarı üzerinden bağlı olmayan bir sistemde bile. Tamamen kapalı bir yapılandırmadaki tek önemli güvenlik açığı, çekirdeğin TCP / IP yığını uygulamasında bir güvenlik açığı olması olabilir. Ancak paketler zaten çekirdekteki netfilter (iptables) kodundan geçiyor ve bir hata da orada gizlenebilir. Diğer ucunda bir "bağlantı reddedildi" ile sonuçlanan yanıt mantığı, güvenlikle ilgili hatalar olsa da, hataların büyük bir kaynağı olacağına inanmakta zorlanacağım kadar basittir;

Üçüncüsü, paketler tipik olarak root olarak kurulur, siz (paket) zaten sizin bilginiz olmadan iptables kurallarını değiştirebilirsiniz. Bu yüzden, insan yöneticinin ana bilgisayar güvenlik duvarı üzerinden trafiğe manuel olarak izin vermesini istemek gibi bir şey kazanmak gibi bir şey değil. Bu tür bir izolasyon istiyorsanız, koruduğu ana bilgisayardan ayrı bir güvenlik duvarına sahip olmalısınız.

Bu yüzden sadece iptables hakkında öğrendim ama sanırım güvenlik duvarı çoğu, varsayılan kuralları ve erişilebilirlik ve kullanım kolaylığı için oldukça bilinmeyen gibi görünüyor hala iptables olarak kalır.

Aslında bunun tersinin doğru olduğunu söyleyebilirim ; bir güvenlik duvarı olarak iptables iyi bilinmektedir . Ayrıca karşılaşacağınız hemen hemen her Linux sisteminde de mevcuttur. (Linux çekirdeği sürüm 2.4'e neden olan geliştirme sırasında 2000 yılı civarında ipchainlerin yerini aldı. Bir şeyleri doğru bir şekilde hatırlarsam, güvenlik duvarının yaygın kullanımı için ikisi arasında kullanıcı tarafından görülebilir en büyük değişiklik yerleşik kuralın zincirler artık INPUTküçük harf yerine büyük harf olarak adlandırılmıştır input.)

Şey, iptables şeyler yapabiliyorsa diğer yaygın olarak kullanılan ya da anlaşılamamıştır ateşduvarlarında daha. Örneğin, IP paketlerini güvenlik duvarından geçirilmeden önce yeniden yazmak için kullanılabilir .


Sorunun mükemmel ve ayrıntılı özeti. Ancak, "İkinci olarak, kapalı bir bağlantı noktası ayrı bir güvenlik duvarı üzerinden bağlı olmayan bir sistemde bile önemli bir güvenlik açığı değildir" yazdınız. Muhtemelen "açık" yazmak mı istediniz? Değilse, kapalı bir bağlantı noktasının nasıl bir güvenlik açığı olduğunu genişletebilir misiniz? Teşekkürler.
Faheem Mitha

"Doğru hatırlarsam çekirdek 2.5 gelişiminde ipchains'in yerini bir süre aldı. 15 yıl önce olduğu gibi." - 2.3, aslında. Bu da 20'ye yaklaşıyor.
Jules

Mükemmel cevap, kabul etti. Ayrıca, şu anda netinstall, mümkün olan en düşük kurulum iso'sundan yüklediğinizde, yükleme işleminin bir kısmının paketleri ağ üzerinden uygun bir şekilde kurmak olduğunu da ekledim, bu nedenle kurulumunuz güncel değil, akım, tam olarak istediğiniz şeydir, ancak diskten yüklemeyi de seçebilirsiniz, böylece yükleme gerçekten hemen çalışan bir ağ bağlantısına ihtiyaç duyar. Ama bu cevap çok iyiydi.
Lizardx

1
Gecikmiş yorum: "Ubuntu'nun Debian'ın bir çatalı olarak başladığını ve bugüne kadar Debian ile büyük benzerliğini koruduğunu unutmayın." Bildiğim kadarıyla Ubuntu hala Debian'dan geliyor. Çatal değil.
Faheem Mitha

6

Tahmin edersem, aslında Debian'ın bir nesil geliştiricilerinin ve koruyucusunun başında olmadan tahminim şöyle olurdu:

Debian öncelikle bir sunucu işletim sistemi olarak tasarlanmıştır, hem sid hem de test dalları birincil amacı olarak bir sonraki kararlı dalın oluşturulmasına sahiptir ve donma anında dondurulur ve yeni kararlılık, testten alınır. Stretch ile oldu.

Bu göz önüne alındığında, bunu bir sysadmin arkadaşımla, veri merkezi güvenlik duvarlarının harici cihazlar, çok daha yüksek güvenlik (durumun en az bir tanesi böyle) olduğunu doğrulamak ve sunucuları işlemek zorunda olduğumu varsayacağım. güvenlik duvarı görevleri. Yönlendiricili küçük bir LAN'da bile, durum böyle, yönlendirici güvenlik duvarı, hiçbir sistemimde yerel güvenlik duvarı kuralı kullanmıyorum, neden yapayım?

Sanırım insanlar yerel Debian masaüstü kurulumlarını veya bir ofis veya evdeki tek bir dosya sunucusunu Debian'a bağlı gerçek çalışma ile karıştırıyorlar, ki bu da esas olarak üretim kullanımına odaklanıyor.

Bundan emin değilim, ancak Debian'ın on yıldan fazla bir süredir kullanımından sonra, Debian'ın hem geliştiricisi hem de destekçisi olarak benim düşüncem bu.

Bunu kontrol edebilirim, çünkü bu gerçekten iyi bir soru, ama tahminim gerçek ağların ağa giriş noktalarında güvenlik duvarı olması, makine başına değil, ya da en azından, belki de sürecek temel fikir Debian. Ayrıca, elbette, durum böyle olmasaydı, sistem yöneticisi, Şef gibi bir şey kullanarak, herhangi bir varsayılan yüklemeye dayanmadan, güvenlik duvarı kurallarını makine bazında kuracaktı. Örneğin, varsayılan Debian ssh yapılandırmalarına kişisel olarak varsayılan olarak kullanacağım şey değil, örneğin varsayılan olarak kök oturum açmaya izin veriyorlar ve kötü bir uygulama olduğunu tespit ederse düzeltmek sysadmin'e bağlı .

Yani, Debian'ın diğer bazı dağıtımlarda bulunmayabilecek bir yetkinlik varsayımı var. Olduğu gibi, değiştirmek istediğiniz şeyi değiştirir, görüntüler oluşturur, site yönetim yazılımı ile yönetirsiniz. Bunlar sadece birkaç olasılık. Örneğin, DVD'yi asla yeni bir sunucu oluşturmak için kullanmazsınız, en azından üretimde olmaz, muhtemelen minimum netinstall gibi bir şey kullanırsınız, örneğin her zaman kullandığım şeydir, örneğin (daha küçük bir görüntü kullanırdım) , ancak durdular). Bu temel kurulumda nelerin içerdiğine bir göz atarsanız, Debian'ın neyin önemli olduğunu ve neyin yapmadığını iyi bir şekilde anlarsınız. Örneğin, ssh orada. Xorg değil, Samba değil.

Bir de neden GNOME'a varsayılan bir masaüstü olarak geri döndüklerini sorabilir, ancak bunlar sadece aldıkları kararlar ve sistemleri temelde görmezden geldiği için sistemleri istediğiniz gibi yapabilirsiniz (yani Xfce masaüstü bilgisayarları almak için, Xdebian'ı kurmayın (olduğu gibi, Xubuntu), sadece Debian çekirdeğini, Xorg ve Xfce'yi yükledim ve gidiyorum). Benzer bir şekilde, eğer güvenlik duvarı isteseydim, onu yapılandıracaktım, ins ve çıkışları öğrenecektim, ama şahsen Debian'ın bu etkinle birlikte gelmesini beklemezdim, eğer gerçekten . Belki de bu konudaki görüşlerim Debian'da da bulabileceğiniz bir fikir birliğini yansıtıyor.

Artı, elbette, Debian gibi bir şey yok, çeşitli kurulum görüntüleri, netinstall, tam kurulum var, bunların hepsi barebone'dan, sadece klipten makul bir tam kullanıcı masaüstüne kadar değişiyor. Üretim kullanıcıları, örneğin kullanıcının istediği şekilde yapılandırılacak görüntüler oluşturabilirdi, Debian sunucusu kuruyor olsaydım, ham temellerle başlardım ve istediğimi yapana kadar kuruyordum.

Sonra tamamen farklı bir balmumu topu olan web sunucuları dünyasına sahipsiniz, bunlar çok farklı güvenlik soruları var ve eski bir arkadaşımın yeraltı hacker'ına iyi bağlanmış olduğu gibi, nasıl güvenliğini bilmeden bir web sunucusu çalıştıran biri sunucusu krakerlere ait biri olarak da adlandırılabilir.


Genellikle böyle uzun cevapları sevmem :) ama çok ilgili bir noktaya değiniyorsunuz. Bir web sunucusu çalıştırıyorsanız, web sunucusuna yapılan bağlantıları kabul etmesi gerekir. İkinci bir yazılım parçasını yapılandırmaktan ne kadar değer alacağınız şüphelidir: evet, web sunucuma gönderilen web isteklerini kabul etmek istiyorum. Ve bu kullanım durumu Debian'ın içinde masaüstünden daha fazla önemseniyor gibi görünüyor.
sourcejedi

sourcejedi, lol, uzun olmasaydı, web sunucusu sorusuna ulaşamazdım, eklediğim son şey buydu. Ancak bu durumda, açıkça farklı olan, daha az deneyimli, farklı dağıtımların radikal olarak farklı kullanım durumlarını ve kullanıcıları kapsadığını fark etmeyebilecek bir kullanıcınız var. Yani temelde hiçbir bilgileri yok ve bu noktada ne bildiklerini ve bilmediklerini bilmek zor, ergo, çok fazla kelime. Ya da yeter. Bunu bilmek zor.
Lizardx

"Tabii ki Debian diye bir şey yok". Bununla ne demek istediğinden emin değilim - kesinlikle Debian diye bir şey var. Debian projesi tarafından üretilen işletim sistemidir. Teknik olarak bir işletim sistemleri ailesidir, ancak elbette Linux varyantı çok baskındır. Çeşitli kurulum yöntemleri vardır, ancak hepsi aynı sistemi kurar. Tabii ki, hangi kısımlarının kurulacağı konusunda çok fazla özgürlüğünüz var.
Faheem Mitha

Tek bir şeye atıfta bulunma anlamında değil. Teknik olarak ne demek istediğinizi kastediyorum. Yani, Debian bu kişinin bahsettiği dvd yükleyici resmi mi? Netinstall'da aldığınız çekirdek kurulum mu? Belirli mimari için uygun paket havuzu mu? Bunun için sid havuzu var mı? Test havuzu mu? ve bunun gibi. Kullanıcıların bir şeyi nasıl tanımladığı açısından, böyle bir şey olmadığını söyleyebilirim, asıl olan, apt ve .deb'yi tanımlayan paketleme kurallarını ve paketleri yöneten Debian projesi. Bu yüzden hoşuma gidiyor, bu arada, projeyi tanımlayan kurallar.
Lizardx

Açıklamak zor, ama deneyeceğim: 'Debian' yüklemiyorum, diyorum ki, Debian Testing / Buster, 64 bit varyant, netinstall iso'dan. Debian şemsiyedir, koştuğum ve kurduğum şeyi yaratır. Bu, Debian'ı neden bu kadar çok sevdiğimi, katı kurallara sahip olduklarını ve Ubuntu değil de Debian olarak bir şeyi gerçekten tanımlayan şeyler olduğumu fark ettim. Örneğin, Debian'dan bir paket kümesi alıp Ubuntu oluşturursanız, Debian olmayı ne zaman durdurur? Aynı paketler, en azından bir süreliğine ve dfsg kurallarına uymayı bıraktığınızda durur.
Lizardx

5

Genel fikir, karmaşık kurulumlar dışında çoğu sistemde güvenlik duvarına ihtiyacınız olmamasıdır.

Bir sunucu yüklediğinizde SSH çalışıyor. Başka hiçbir şey dinlememelidir ve muhtemelen ssh'e bağlanabilmek istersiniz.

Bir web sunucusu yüklediğinizde, web sunucusunun kullanılabilir olmasını beklersiniz değil mi? Temel ayar için web sunucusunu 0.0.0.0 (tüm ips) yerine yalnızca özel lan arayüzüne, örneğin 192.168.172.42'ye (yerel LAN IP'niz) bağlayabilirsiniz. Hala bir güvenlik duvarına ihtiyacınız yok.

Tabii ki, her şey 1024'ten fazla bir bağlantı noktası açabilir, ancak güvenilmeyen yazılımınız (veya güvenilmeyen kullanıcılarınız) varsa, bir güvenlik duvarı yüklemekten daha fazlasını yapmanız gerekir. Bir şeye veya birisine güvenmemeniz gerektiği anda, sadece bir yazılıma değil, bir güvenlik konseptine de ihtiyacınız vardır. Bu nedenle, güvenlik duvarı çözümünüzü aktif olarak düşünmeniz gerektiğinde iyi bir şeydir.

Şimdi elbette daha karmaşık senaryolar var. Ancak bunlardan birine sahip olduğunuzda, güvenlik duvarını kendiniz ayarlamanız ve ufw gibi yarı otomatik bir sistemin bunu yapmasına izin vermemeniz gerekir. Veya ufw bile kullanabilirsiniz, ancak daha sonra işletim sisteminin varsayılanı değil, karar verdiniz.


1
IIRC, kişisel bilgisayarlar için güvenlik duvarları, tüm bağlantı noktalarının varsayılan olarak açık olduğu Windows 95'teki güvenlik açıklarından birine bir yanıttı. Çoğu işletim sisteminde, önceki ve bu yana, bir bağlantı noktası yalnızca o bağlantı noktasını dinleyen bir hizmet varsa açıktır. İkincisi, güvenlik duvarları genellikle paketleri açıkça reddetmek yerine sessizce bırakacak şekilde yapılandırılır, böylece bir IP adresinde bir sistem olduğunu söylemek zordur.
bgvaughan

Dinleme servisi olmayan açık bir liman ile ne demek istediğinizden emin değilim. Paket nereye gitmeli ve bu neden bir güvenlik deliği olmalı? Ve güvenlik duvarınıza paket bırakmak sizi gizlemez, ancak güvenlik duvarına sahip bir makine olduğunu daha da belirgin hale getirir. Sisteminiz çevrimiçi değilse, yönlendirici önce sisteminizde bir "ulaşılamaz" cevabını gönderir. Makineniz oradayken yapmaz (paketleri kabul ettiğinizde, reddettiğinizde veya bıraktığınızda). tracerouteSisteminize a kullanarak efekti kendiniz kontrol edebilirsiniz .
allo

1
Size bir traceroute başlattığımda, 7 atlama görebilirsiniz. Birincisi benim bilgisayarım, sonuncusu ağınıza giriş noktasıdır. Bilgisayarınız çevrimdışıyken 6. sekme "ulaşılamaz" bir yanıt gönderir. PC'niz bağlı ancak güvenlik duvarı olduğunda 6. sekme normal bir yanıt gönderir ve 7'nci paketi düşürür (veya reddeder). Ve 6. zıplamayı kontrol etmiyorsunuz, bu yüzden paketleri sahte ya da bırakamazsınız.
allo

1
"95 ve bence XP gibi daha eski Windows sistemleri, çalışan hizmet olmasa bile tüm bağlantı noktalarını açık tutacaktı" Kesinlikle hiçbir bağlantı noktası, dinlemeden bir bağlantı noktasını açık tutmakla ne demek istediğinizi bilmiyorum. Bir paket geldiğinde ya bir dinleme programına rejectya da dropona gönderebilirsiniz . "Dinlemeden açık port" kavramı yoktur. Belki düşmeyi kastediyorsunuz (bir programa göndermeden kabul etmek).
allo

1
Şahsen ben güvenlik duvarının yanı sıra varsayılan güvenlik duvarı tarafından reddediyorum. Ama debian kullanıcının güvenlik duvarını kurmasına ne zaman izin verdiğini anlıyorum. Ben çok deniyorum, diğerleri taskel web sunucusunu seçin ve yapılır. Win95 şey hakkında hiçbir fikrim yok, ama sanırım bugün zaten önemli değil;).
allo

4

İnsanların daha önce İnternet'e bağlanması bekleniyor mu?

Evet

güvenlik duvarı mı alıyorsunuz?

Tüm bağlantı noktaları varsayılan olarak kapalı olsa bile

Üzgünüm, değiller. rpcbindvarsayılan olarak ağa yüklenmiş, etkinleştirilmiş ve dinlenmiş gibi görünüyor.

EDIT: Bunun en son yükleyici, yani Debian 9 (Stretch) için düzeltildiğine inanıyorum . Ancak Debian'ın önceki sürümlerinde, onları genel bir wifi ağına kurmak (ve güncellemek) çok güvenli hissetmezdim.

Neden?

İnsanların,

  1. yerel ağ ağ hizmetlerinize saldırmaz
  2. yerel ağınız ve daha geniş internet arasında zaten bir güvenlik duvarı var.

İkincisi, örneğin tüketici yönlendiricileri tarafından yaygın olarak kullanılan bir uygulama olsa da, bunun garanti edildiğine inanmıyorum. Şaşırtıcı olmayan bir şekilde, önceki varsayım belgelenmemiştir; mantıklı da değil.

Bence, rpcbind ile ilgili sorun daha genel bir noktaya bir örnektir. İnsanlar Debian'ı tanıtmaya çalışabilir ve birçok harika özelliğe sahiptir. Ama Debian cilalı nasıl Ubuntu gerisinde ve dost tartışmalı bile olanlar için ne kadar güvenilirdir ya istediğiniz gibi ayrıntıları öğrenmek için.

indirilen programlar onları açabilir (ya da açamaz mı?)

Ne yaptığından emin olmadığınız rastgele yazılım indirmeye ve çalıştırmaya başlamadan önce bir güvenlik duvarı kurmak kesinlikle ücretsizdir :-p.

Kısmen katılıyorum, Linux'u kurmak endişe verici ve çok iyi bilinen bir güvenlik katmanı için ayarlanmış bir arayüz bulamıyorum. Şahsen, varsayılan Windows güvenlik duvarının nasıl kurulduğunu anlamayı yararlı buldum. Bir ev ağına "güvenebilmenizi" ister ve daha yeni sürümlerde hızlı yükleme, geçerli ağa güvenip güvenmediğinizi sorar. Ana amaç, ev ağları, doğrudan bağlı bir modem gibi korunmasız bağlantılar ve genel wifi ağları arasında ayrım yapmak gibi görünüyor. UFW'nin bunu zaten desteklemediğine dikkat edin.

Fedora Linux tek başına böyle bir şey sağlamaya çalıştı firewalld. (Paketler Debian'da da mevcut gibi görünüyor ...). Bunun için GUI "dost" değildir, diyelim ki GUFW.


Yorumunuzu ubuntu ile 'öğrenmeye çalışan biri' ile yeniden nitelendirdiğinize sevindim, bence gerçek cevap bu anlamda, debian bu grup için yaratılmış bir sistem değildir ve ubuntu'nun varlığı aslında bu gerçeğe gelebilir. Birisi öğrenmeye çalışmadığı için, örneğin her zaman ubuntu yerine debian'ı tercih etmemin nedeni budur. Yerel güvenlik duvarları ile oynardım, ama sonunda, onları gerçek yardımcı programlardan daha fazla oyuncak olarak görmeye başladım, yani gui şeyler, iptables vb. Değil. 1. ve 2. puanlarınız bu kararın arkasındaki düşünceyi kapsıyor, Bu arada bu karara katılıyorum.
Lizardx

@Lizardx rpcbind + genel wifi ağları ile durumu nasıl cesaret kırıcı bulduğumu vurgulamak için düzenledim :). Sanırım bu yorumda nereden geldiğini biliyorum, ama tamamen katılmıyorum. Repodaki tabanca cephaneliğine erişebildiğim için mutluyum, ancak tanımlanmış bir varsayılana sahip olmayı (veya birkaçını, örneğin XFCE'yi popüler "GNOME3 değil" seçeneği olarak sayıyorsanız) güvenilir bir temel oluşturmayı seviyorum .
sourcejedi

Genel wifi, bir sistemdeki güvenlik duvarlarının normal kullanıcılar için çok önemli olduğu kullanım durumudur. Ancak diğer yanıtlarda belirtildiği gibi, Debian bunu yüklerseniz ve bu şekilde kullanırsanız bunu bildiğinizi varsayar. Belki FreeBSD veya OpenBSD bu soruyu nasıl görebilir? Sadece benim için konuşan, Debian varsayılan paket grubu seçimlerinin BÜYÜK bir hayranı değilim, XUbuntu veya güzel varsayılan yüklemeler oluşturan çeşitli Debian dönüşlerinin aksine, aslında çalıştırmak istediğim bir şey yarattıklarını hiç görmedim . Bununla birlikte, katılıyorum, GNOME 3 değil, XFCE seçeneği çok iyi olurdu.
Lizardx

4
gufw korkunç. ufw neredeyse bir anlam ifade etmiyor ve kuralları XML'de saklamıyor mu? öf. manuel bir iptables kural kümesi bile başa çıkmak daha kolaydır.
user2497

3

Unix'in geleneksel felsefesi her zaman KISS olmuştur ve asgari hizmetleri yürütmekte / sergilemektedir.

Bazı servisler de açıkça kurulmalı ve hatta bazıları localhost'a bağlı olmalı ve bunların yerel ağınızda / İnternet'te (MySQL, MongoDB, snmpd, ntpd, xorg ...) görünür olmasını sağlamalısınız. Bu, varsayılan olarak bir güvenlik duvarını etkinleştirmekten daha mantıklı bir yaklaşımdır.

Sadece bir güvenlik duvarının belirli bir noktadan getirdiği karmaşıklığa ihtiyacınız vardır ve bu ihtiyaç şirket yönlendiricisinin veya evdeki bir aygıtın arkasında olmaktan azalabilir, bu nedenle kullanıcıya bu kararı bırakarak mantıklı gelebilir. Güvenlik duvarı, diğer birçok güvenlik yazılımı gibi, düzgün yönetilmezse yanlış bir güvenlik hissi sağlayabilir.

Debian'ın yönelimi her zaman iptables'ın ne olduğunu bilen daha teknik yönelimli halk olmuştur; ayrıca kolayca kurulabilen birkaç iyi bilen sarmalayıcı, metin veya grafik modu arabirimi vardır.

Bunun da ötesinde, yüklü çok fazla veya daha az yazılım ile gelip gelmediği bir görüş meselesidir. Uzun zamandır emektar olarak, özellikle sunucu modunda varsayılan olarak yüklenmiş çok fazla yazılım ve hizmetle birlikte gelir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.