Debian neden varsayılan olarak bir güvenlik duvarı etkin olmadan gelir?

Debian 9.1'i KDE ile kullanıyorum ve neden varsayılan olarak bir güvenlik duvarı yüklü ve etkin olmadan geldiğini merak ediyorum? gufw DVD1 paketlerinde bile yok.

İnsanların güvenlik duvarı almadan önce İnternet'e bağlanması bekleniyor mu? Neden? Tüm portlar varsayılan olarak kapalı olsa bile, çeşitli kurulu, güncellenmiş veya indirilmiş programlar bunları açabilir (veya açamaz mı?) Ve iznim olmadan makinemden tek bir bit bile çıkmamasını diliyorum.

Düzenleme: Yani ben sadece iptables hakkında öğrendim ama sanırım güvenlik duvarı en çok bilinmeyen görünüyor gibi varsayılan iptables olarak kalır, varsayılan kuralları, erişilebilirliği ve kullanım kolaylığı ve aslında herhangi bir iptable-kuralları sıfırlandı yeniden başlatma .

İlk olarak, Debian ne yaptığınızı bildiğinizi varsayar ve sizin için seçim yapmaktan kaçınır.

Debian'ın varsayılan kurulumu oldukça küçüktür ve güvenlidir - herhangi bir hizmet başlatmaz. Ve bir kuruluma eklenen standart isteğe bağlı ekstralar (örneğin, web sunucusu, ssh) bile genellikle oldukça muhafazakar ve güvenlidir.

Bu nedenle, bu durumda bir güvenlik duvarına gerek yoktur. Debian (veya geliştiricileri), ek hizmetler başlatırsanız, bunları nasıl koruyacağınızı bileceğinizi ve gerekirse bir güvenlik duvarı ekleyebileceğinizi varsayar.

Daha da önemlisi, Debian, hangi güvenlik duvarı yazılımının kullanılacağı konusunda sizin için seçim yapmaktan kaçınır. Bir dizi seçenek vardır - hangisini kullanmalıdır? Ve temel bir güvenlik duvarı ayarında bile, hangi ayar seçilmelidir? Bunu söyledikten sonra iptables, öncelik önemlidir, bu yüzden varsayılan olarak yüklenir. Ama elbette, Debian nasıl yapılandırılmasını istediğinizi bilmiyor, bu yüzden sizin için yapılandırmıyor. Ve zaten iptableshalefini kullanmayı tercih edebilirsiniz nftables.

Ayrıca, güvenlik duvarı işlevselliğinin belirli bir ölçüde Linux çekirdeğinde yerleşik olduğunu unutmayın; örneğin nftablesve netfilter. Debian ve diğer Linux dağıtımları, iptablesbu işlevselliği yönetmek gibi kullanıcı alanı araçları sağlar. Ama onlarla yaptığınız şey size kalmış.

Bu varlıkların tutarlı bir şekilde adlandırılmadığını unutmayın. Wikipedia nftablessayfasını alıntılamak için :

nftables kullanıcı alanı yardımcı programı nft üzerinden, netfilter ise iptables, ip6tables, arptables ve ebtables çerçeveleri üzerinden yapılandırılır.

Öncelikle, daha önce söylenenleri tekrarlamak istiyorum: Debian, diğer birçok ana dağıtımdan, özellikle de Ubuntu'dan çok farklı bir kullanıcı grubuna hitap ediyor. Debian, sistemin nasıl çalıştığını bilen ve zaman zaman sistem üzerinde yüksek bir kontrol sağlamak için uğraşmaktan korkmayan insanlara yöneliktir. Örneğin Ubuntu, çok farklı bir hedef kitleye hitap ediyor: sadece işlerin çalışmasını isteyen ve kaputun altında neler olup bittiğini umursamayan ve kesinlikle bir şeyler yapmak için sistem yapılandırmasını değiştirmek zorunda kalmayan insanlar iş. Bu, ortaya çıkan sistemin bir takım yönlerini etkiler. Ve bir dereceye kadar, bu Linux'un bir güzelliği; aynı temel sistem, farklı ihtiyaçlara cevap veren ortamlar oluşturmak için kullanılabilir. Ubuntu'nun bir Debian türevi olduğunu unutmayın,

gufw DVD1 paketlerinde bile yok.

İlk disk, yüklü sistemlerden anonim istatistiklerin kaydolmasıyla belirlenen en popüler yazılımı içerir. Gufw'nin ilk diskte olmaması, bunun Debian'da oldukça popüler (yüklü taban açısından) bir paket olmadığını gösterir. Alternatif olarak tercih ederseniz, ağ kurup çalışan temel sisteme sahip olduğunuzda da kurulumu kolaydır.

İnsanların güvenlik duvarı almadan önce İnternet'e bağlanması bekleniyor mu? Neden?

Bir kere Debian'ın bir ağ üzerinden kuruluma izin verdiğine inanıyorum. (Yalnızca normal bir yükleme sırasında paketleri ağdan indirmekle kalmaz, aynı zamanda yüklemeyi kurulmakta olandan farklı bir ana bilgisayardan başlatır .) Varsayılan olarak kısıtlayıcı kural seti ile yapılandırılmış bir güvenlik duvarı buna müdahale etme riski taşır. Yalnızca, yüklenmekte olan paketlerin en son sürümlerini indirmek dışında, kurulum işlemi sırasında giden ağ erişimine ihtiyaç duyan kurulumlarla aynıdır.

Bir diğeri için yukarıda bahsettiğim; Kural olarak, Debian ne yaptığınızı bilmenizi bekler. Bir güvenlik duvarı istiyorsanız, kendiniz yapılandırabilmeniz beklenir ve Debian koruyucularından özel gereksinimlerinizin ne olduğunu daha iyi bilmeniz beklenir. Debian bu açıdan OpenBSD'ye benziyor, aşırı değil. (Temel sistemi biraz daha güvenli hale getirme ve biraz daha kullanışlı hale getirme arasında seçim yapıldığında, OpenBSD sahipleri neredeyse her zaman güvenliği ararlar. Bu, temel sistem güvenlik açığı istatistiklerini gösterir, ancak kullanılabilirlik üzerinde büyük etkileri vardır.)

Ve tabii ki, teknik detay: Firewall desteği olan taban sisteme dahil. Sadece çekirdek tarafından varsayılan olarak ayarlanan tüm izinli bir kurala ayarlanmıştır ve temel Debian yüklemesi bunu değiştirmek için hiçbir şey yapmaz. Trafik akışını kısıtlamak için birkaç komut çalıştırabilirsiniz.

Tüm portlar varsayılan olarak kapalı olsa bile, çeşitli kurulu, güncellenmiş veya indirilmiş programlar bunları açabilir (veya açamaz mı?) Ve iznim olmadan makinemden tek bir bit bile çıkmamasını diliyorum.

İlk olarak, güvenlik duvarları genellikle gelen trafiği kısıtlamak için kullanılır . Gidenleri kısıtlamak istiyorsanıztrafik, bu oldukça farklı bir balık su ısıtıcısı; kesinlikle yapılabilir, ancak özel durumunuza daha çok uyarlanması gerekir. Yaygın olarak kullanılan bağlantı noktalarını açık bırakan varsayılan blok giden bir trafik güvenlik duvarı (yaygın olarak kullanılan bağlantı noktalarının ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 ve diğerlerinden oluşan bir paket) ve ayrıca yerleşik oturumlarla ilgili trafiğe izin verilmesi, varsayılan izin verilen güvenlik duvarından çok daha güvenli olmaz. Temel sistem tarafından kurulan paket kümesinin iyi anlaşılmış, teslim edilen paketler olarak güvenli yapılandırılmış bir dizi ile sınırlı olduğundan emin olmak ve yöneticinin bundan daha fazla korumaya ihtiyaç duymaları durumunda uygun güvenlik duvarı kurallarını ayarlamasına izin vermek daha iyidir.

İkincisi, kapalı bir bağlantı noktası ( TCP SYN'ye TCP RST / ACK ile yanıt veren bağlantı noktası), genellikle "bağlantı reddedildi" olarak bildirilir - bu, aksine yapılandırma yapılandırması veya üzerinde yazılım dinlememesi durumunda TCP / IP'yi destekleyen canlı bir sistemdeki TCP bağlantı noktasının varsayılan durumudur) önemli bir güvenlik açığı değildir, ayrı bir güvenlik duvarı üzerinden bağlı olmayan bir sistemde bile. Tamamen kapalı bir yapılandırmadaki tek önemli güvenlik açığı, çekirdeğin TCP / IP yığını uygulamasında bir güvenlik açığı olması olabilir. Ancak paketler zaten çekirdekteki netfilter (iptables) kodundan geçiyor ve bir hata da orada gizlenebilir. Diğer ucunda bir "bağlantı reddedildi" ile sonuçlanan yanıt mantığı, güvenlikle ilgili hatalar olsa da, hataların büyük bir kaynağı olacağına inanmakta zorlanacağım kadar basittir;

Üçüncüsü, paketler tipik olarak root olarak kurulur, siz (paket) zaten sizin bilginiz olmadan iptables kurallarını değiştirebilirsiniz. Bu yüzden, insan yöneticinin ana bilgisayar güvenlik duvarı üzerinden trafiğe manuel olarak izin vermesini istemek gibi bir şey kazanmak gibi bir şey değil. Bu tür bir izolasyon istiyorsanız, koruduğu ana bilgisayardan ayrı bir güvenlik duvarına sahip olmalısınız.

Bu yüzden sadece iptables hakkında öğrendim ama sanırım güvenlik duvarı çoğu, varsayılan kuralları ve erişilebilirlik ve kullanım kolaylığı için oldukça bilinmeyen gibi görünüyor hala iptables olarak kalır.

Aslında bunun tersinin doğru olduğunu söyleyebilirim ; bir güvenlik duvarı olarak iptables iyi bilinmektedir . Ayrıca karşılaşacağınız hemen hemen her Linux sisteminde de mevcuttur. (Linux çekirdeği sürüm 2.4'e neden olan geliştirme sırasında 2000 yılı civarında ipchainlerin yerini aldı. Bir şeyleri doğru bir şekilde hatırlarsam, güvenlik duvarının yaygın kullanımı için ikisi arasında kullanıcı tarafından görülebilir en büyük değişiklik yerleşik kuralın zincirler artık INPUTküçük harf yerine büyük harf olarak adlandırılmıştır input.)

Şey, iptables şeyler yapabiliyorsa diğer yaygın olarak kullanılan ya da anlaşılamamıştır ateşduvarlarında daha. Örneğin, IP paketlerini güvenlik duvarından geçirilmeden önce yeniden yazmak için kullanılabilir .

Tahmin edersem, aslında Debian'ın bir nesil geliştiricilerinin ve koruyucusunun başında olmadan tahminim şöyle olurdu:

Debian öncelikle bir sunucu işletim sistemi olarak tasarlanmıştır, hem sid hem de test dalları birincil amacı olarak bir sonraki kararlı dalın oluşturulmasına sahiptir ve donma anında dondurulur ve yeni kararlılık, testten alınır. Stretch ile oldu.

Bu göz önüne alındığında, bunu bir sysadmin arkadaşımla, veri merkezi güvenlik duvarlarının harici cihazlar, çok daha yüksek güvenlik (durumun en az bir tanesi böyle) olduğunu doğrulamak ve sunucuları işlemek zorunda olduğumu varsayacağım. güvenlik duvarı görevleri. Yönlendiricili küçük bir LAN'da bile, durum böyle, yönlendirici güvenlik duvarı, hiçbir sistemimde yerel güvenlik duvarı kuralı kullanmıyorum, neden yapayım?

Sanırım insanlar yerel Debian masaüstü kurulumlarını veya bir ofis veya evdeki tek bir dosya sunucusunu Debian'a bağlı gerçek çalışma ile karıştırıyorlar, ki bu da esas olarak üretim kullanımına odaklanıyor.

Bundan emin değilim, ancak Debian'ın on yıldan fazla bir süredir kullanımından sonra, Debian'ın hem geliştiricisi hem de destekçisi olarak benim düşüncem bu.

Bunu kontrol edebilirim, çünkü bu gerçekten iyi bir soru, ama tahminim gerçek ağların ağa giriş noktalarında güvenlik duvarı olması, makine başına değil, ya da en azından, belki de sürecek temel fikir Debian. Ayrıca, elbette, durum böyle olmasaydı, sistem yöneticisi, Şef gibi bir şey kullanarak, herhangi bir varsayılan yüklemeye dayanmadan, güvenlik duvarı kurallarını makine bazında kuracaktı. Örneğin, varsayılan Debian ssh yapılandırmalarına kişisel olarak varsayılan olarak kullanacağım şey değil, örneğin varsayılan olarak kök oturum açmaya izin veriyorlar ve kötü bir uygulama olduğunu tespit ederse düzeltmek sysadmin'e bağlı .

Yani, Debian'ın diğer bazı dağıtımlarda bulunmayabilecek bir yetkinlik varsayımı var. Olduğu gibi, değiştirmek istediğiniz şeyi değiştirir, görüntüler oluşturur, site yönetim yazılımı ile yönetirsiniz. Bunlar sadece birkaç olasılık. Örneğin, DVD'yi asla yeni bir sunucu oluşturmak için kullanmazsınız, en azından üretimde olmaz, muhtemelen minimum netinstall gibi bir şey kullanırsınız, örneğin her zaman kullandığım şeydir, örneğin (daha küçük bir görüntü kullanırdım) , ancak durdular). Bu temel kurulumda nelerin içerdiğine bir göz atarsanız, Debian'ın neyin önemli olduğunu ve neyin yapmadığını iyi bir şekilde anlarsınız. Örneğin, ssh orada. Xorg değil, Samba değil.

Bir de neden GNOME'a varsayılan bir masaüstü olarak geri döndüklerini sorabilir, ancak bunlar sadece aldıkları kararlar ve sistemleri temelde görmezden geldiği için sistemleri istediğiniz gibi yapabilirsiniz (yani Xfce masaüstü bilgisayarları almak için, Xdebian'ı kurmayın (olduğu gibi, Xubuntu), sadece Debian çekirdeğini, Xorg ve Xfce'yi yükledim ve gidiyorum). Benzer bir şekilde, eğer güvenlik duvarı isteseydim, onu yapılandıracaktım, ins ve çıkışları öğrenecektim, ama şahsen Debian'ın bu etkinle birlikte gelmesini beklemezdim, eğer gerçekten . Belki de bu konudaki görüşlerim Debian'da da bulabileceğiniz bir fikir birliğini yansıtıyor.

Artı, elbette, Debian gibi bir şey yok, çeşitli kurulum görüntüleri, netinstall, tam kurulum var, bunların hepsi barebone'dan, sadece klipten makul bir tam kullanıcı masaüstüne kadar değişiyor. Üretim kullanıcıları, örneğin kullanıcının istediği şekilde yapılandırılacak görüntüler oluşturabilirdi, Debian sunucusu kuruyor olsaydım, ham temellerle başlardım ve istediğimi yapana kadar kuruyordum.

Sonra tamamen farklı bir balmumu topu olan web sunucuları dünyasına sahipsiniz, bunlar çok farklı güvenlik soruları var ve eski bir arkadaşımın yeraltı hacker'ına iyi bağlanmış olduğu gibi, nasıl güvenliğini bilmeden bir web sunucusu çalıştıran biri sunucusu krakerlere ait biri olarak da adlandırılabilir.

Genel fikir, karmaşık kurulumlar dışında çoğu sistemde güvenlik duvarına ihtiyacınız olmamasıdır.

Bir sunucu yüklediğinizde SSH çalışıyor. Başka hiçbir şey dinlememelidir ve muhtemelen ssh'e bağlanabilmek istersiniz.

Bir web sunucusu yüklediğinizde, web sunucusunun kullanılabilir olmasını beklersiniz değil mi? Temel ayar için web sunucusunu 0.0.0.0 (tüm ips) yerine yalnızca özel lan arayüzüne, örneğin 192.168.172.42'ye (yerel LAN IP'niz) bağlayabilirsiniz. Hala bir güvenlik duvarına ihtiyacınız yok.

Tabii ki, her şey 1024'ten fazla bir bağlantı noktası açabilir, ancak güvenilmeyen yazılımınız (veya güvenilmeyen kullanıcılarınız) varsa, bir güvenlik duvarı yüklemekten daha fazlasını yapmanız gerekir. Bir şeye veya birisine güvenmemeniz gerektiği anda, sadece bir yazılıma değil, bir güvenlik konseptine de ihtiyacınız vardır. Bu nedenle, güvenlik duvarı çözümünüzü aktif olarak düşünmeniz gerektiğinde iyi bir şeydir.

Şimdi elbette daha karmaşık senaryolar var. Ancak bunlardan birine sahip olduğunuzda, güvenlik duvarını kendiniz ayarlamanız ve ufw gibi yarı otomatik bir sistemin bunu yapmasına izin vermemeniz gerekir. Veya ufw bile kullanabilirsiniz, ancak daha sonra işletim sisteminin varsayılanı değil, karar verdiniz.

İnsanların daha önce İnternet'e bağlanması bekleniyor mu?

Evet

güvenlik duvarı mı alıyorsunuz?

Tüm bağlantı noktaları varsayılan olarak kapalı olsa bile

Üzgünüm, değiller. rpcbindvarsayılan olarak ağa yüklenmiş, etkinleştirilmiş ve dinlenmiş gibi görünüyor.

EDIT: Bunun en son yükleyici, yani Debian 9 (Stretch) için düzeltildiğine inanıyorum . Ancak Debian'ın önceki sürümlerinde, onları genel bir wifi ağına kurmak (ve güncellemek) çok güvenli hissetmezdim.

Neden?

İnsanların,

1. yerel ağ ağ hizmetlerinize saldırmaz
2. yerel ağınız ve daha geniş internet arasında zaten bir güvenlik duvarı var.

İkincisi, örneğin tüketici yönlendiricileri tarafından yaygın olarak kullanılan bir uygulama olsa da, bunun garanti edildiğine inanmıyorum. Şaşırtıcı olmayan bir şekilde, önceki varsayım belgelenmemiştir; mantıklı da değil.

Bence, rpcbind ile ilgili sorun daha genel bir noktaya bir örnektir. İnsanlar Debian'ı tanıtmaya çalışabilir ve birçok harika özelliğe sahiptir. Ama Debian cilalı nasıl Ubuntu gerisinde ve dost tartışmalı bile olanlar için ne kadar güvenilirdir ya istediğiniz gibi ayrıntıları öğrenmek için.

indirilen programlar onları açabilir (ya da açamaz mı?)

Ne yaptığından emin olmadığınız rastgele yazılım indirmeye ve çalıştırmaya başlamadan önce bir güvenlik duvarı kurmak kesinlikle ücretsizdir :-p.

Kısmen katılıyorum, Linux'u kurmak endişe verici ve çok iyi bilinen bir güvenlik katmanı için ayarlanmış bir arayüz bulamıyorum. Şahsen, varsayılan Windows güvenlik duvarının nasıl kurulduğunu anlamayı yararlı buldum. Bir ev ağına "güvenebilmenizi" ister ve daha yeni sürümlerde hızlı yükleme, geçerli ağa güvenip güvenmediğinizi sorar. Ana amaç, ev ağları, doğrudan bağlı bir modem gibi korunmasız bağlantılar ve genel wifi ağları arasında ayrım yapmak gibi görünüyor. UFW'nin bunu zaten desteklemediğine dikkat edin.

Fedora Linux tek başına böyle bir şey sağlamaya çalıştı firewalld. (Paketler Debian'da da mevcut gibi görünüyor ...). Bunun için GUI "dost" değildir, diyelim ki GUFW.

Unix'in geleneksel felsefesi her zaman KISS olmuştur ve asgari hizmetleri yürütmekte / sergilemektedir.

Bazı servisler de açıkça kurulmalı ve hatta bazıları localhost'a bağlı olmalı ve bunların yerel ağınızda / İnternet'te (MySQL, MongoDB, snmpd, ntpd, xorg ...) görünür olmasını sağlamalısınız. Bu, varsayılan olarak bir güvenlik duvarını etkinleştirmekten daha mantıklı bir yaklaşımdır.

Sadece bir güvenlik duvarının belirli bir noktadan getirdiği karmaşıklığa ihtiyacınız vardır ve bu ihtiyaç şirket yönlendiricisinin veya evdeki bir aygıtın arkasında olmaktan azalabilir, bu nedenle kullanıcıya bu kararı bırakarak mantıklı gelebilir. Güvenlik duvarı, diğer birçok güvenlik yazılımı gibi, düzgün yönetilmezse yanlış bir güvenlik hissi sağlayabilir.

Debian'ın yönelimi her zaman iptables'ın ne olduğunu bilen daha teknik yönelimli halk olmuştur; ayrıca kolayca kurulabilen birkaç iyi bilen sarmalayıcı, metin veya grafik modu arabirimi vardır.

Bunun da ötesinde, yüklü çok fazla veya daha az yazılım ile gelip gelmediği bir görüş meselesidir. Uzun zamandır emektar olarak, özellikle sunucu modunda varsayılan olarak yüklenmiş çok fazla yazılım ve hizmetle birlikte gelir.