Installation et configuration UFW dans Ubuntu Top 10.Top 10 LTS
Cet article vous montre comment installer et utiliser UFW sur votre Ubuntu 20.04 Système LTS.
Installation
UFW est préinstallé sur la plupart des systèmes Ubuntu. Si votre build n'a pas ce programme déjà installé, vous pouvez l'installer en utilisant le SNAP ou les gestionnaires de packages APT.$ sudo snap installer ufw
$ sudo apt install ufw
Je préfère personnellement utiliser le gestionnaire de packages APT pour le faire parce que Snap est moins populaire et je ne veux pas avoir cette complexité supplémentaire. Au moment de la rédaction de cet article, la version publiée pour UFW est 0.36 pour le 20.04 Libération.
Entrant vs. Trafic sortant
Si vous êtes un débutant dans le monde du réseautage, la première chose que vous devez clarifier est la différence entre le trafic entrant et sortant.
Lorsque vous installez des mises à jour à l'aide d'APT-Get, parcourez Internet ou vérifiez votre e-mail, ce que vous faites est d'envoyer des demandes «sortantes» aux serveurs, comme Ubuntu, Google, etc. Pour accéder à ces services, vous n'avez même pas besoin d'une propriété intellectuelle publique. Habituellement, une seule adresse IP publique est allouée, par exemple, une connexion à haut débit à domicile, et chaque appareil obtient sa propre propriété intellectuelle privée. Le routeur gère ensuite le trafic à l'aide de quelque chose connu sous le nom de NAT, ou traduction d'adresse réseau.
Les détails de NAT et des adresses IP privées dépassent le cadre de cet article, mais la vidéo liée ci-dessus est un excellent point de départ. Revenant à UFW, par défaut, UFW permettra à tous les trafics Web sortants réguliers. Vos navigateurs, gestionnaires de packages et autres programmes choisissent un numéro de port aléatoire - généralement un nombre supérieur à 3000 - et c'est ainsi que chaque application peut garder une trace de sa (s) connexion (s).
Lorsque vous exécutez des serveurs dans le cloud, ils sont généralement livrés avec une adresse IP publique et les règles ci-dessus d'autoriser le trafic sortant. Parce que vous utiliserez toujours des services publics, comme les gestionnaires de packages, qui parlent au reste du monde en tant que «client», UFW le permet par défaut.
Le plaisir commence par le trafic entrant. Les applications, comme le serveur OpenSSH que vous utilisez pour vous connecter à votre machine virtuelle, écoutez sur des ports spécifiques (comme 22) pour entrant Demandes, tout comme d'autres applications. Les serveurs Web ont besoin d'accéder aux ports 80 et 443.
Il fait partie du travail d'un pare-feu pour permettre aux applications spécifiques d'écouter certains trafics entrants tout en bloquant tous les inutiles. Vous pouvez avoir un serveur de base de données installé sur votre machine virtuelle, mais il n'a généralement pas besoin d'écouter des demandes entrantes sur l'interface avec une IP publique. Habituellement, il écoute simplement l'interface de bouclage pour les demandes.
Il y a beaucoup de robots sur le Web, qui bombardent constamment des serveurs avec de fausses demandes pour se frayer un chemin brutal, ou pour faire un simple déni de service attaque. Un pare-feu bien configuré devrait être en mesure de bloquer la plupart de ces manigances à l'aide de plugins tiers comme Fail2ban.
Mais, pour l'instant, nous nous concentrerons sur une configuration très basique.
Utilisation de base
Maintenant que UFW a installé sur votre système, nous examinerons quelques utilisations de base pour ce programme. Étant donné que les règles du pare-feu sont appliquées à l'échelle du système, les commandes ci-dessous sont exécutées en tant qu'utilisateur racine. Si vous préférez, vous pouvez utiliser Sudo avec des privilèges appropriés pour cette procédure.
# Statut UFW
Statut: inactif
Par défaut, UFW est dans un état inactif, ce qui est une bonne chose. Vous ne voulez pas bloquer tout le trafic entrant sur le port 22, qui est le port SSH par défaut. Si vous êtes connecté à un serveur distant via SSH et que vous bloquez le port 22, vous serez verrouillé hors du serveur.
UFW nous permet de percer facilement un trou juste pour OpenSSH. Exécutez la commande ci-dessous:
root @ testubuntu: ~ # Liste des applications UFW
Applications disponibles:
Opensh
Notez que je n'ai toujours pas activé le pare-feu. Nous allons maintenant ajouter OpenSSH à notre liste d'applications autorisées, puis activer le pare-feu. Pour ce faire, entrez les commandes suivantes:
# UFW Autoriser OpenSSH
Règles mises à jour
Règles mises à jour (V6)
# UFW Activer
La commande peut perturber les connexions SSH existantes. Procéder à l'opération (y | n)? y.
Le pare-feu est désormais actif et activé sur le démarrage du système.
Félicitations, UFW est maintenant actif et en cours d'exécution. UFW permet désormais que OpenSSH n'écoute pas sur les demandes entrantes au port 22. Pour vérifier l'état de votre pare-feu à tout moment, exécutez le code suivant:
# Statut UFW
Statut: actif
À l'action de
-- ------ ----
OpenSSH Permettez n'importe où
OpenSSH (V6) Autoriser n'importe où (V6)
Comme vous pouvez le voir, OpenSSH peut désormais recevoir des demandes de n'importe où sur Internet, à condition qu'il l'atteigne sur le port 22. La ligne V6 indique également que les règles sont appliquées pour IPv6.
Vous pouvez, bien sûr, interdire des gammes particulières de la propriété intellectuelle, ou ne permettre qu'une gamme particulière d'IPS, en fonction des contraintes de sécurité dans lesquelles vous travaillez dans.
Ajout d'applications
Pour les applications les plus populaires, la commande UFW App List de l'application met automatiquement à jour sa liste de politiques lors de l'installation. Par exemple, lors de l'installation du serveur Web Nginx, vous verrez les nouvelles options suivantes apparaître:
# apt installer nginx
# Liste des applications UFW
Applications disponibles:
Nginx plein
Nginx http
Nginx https
Opensh
Allez-y et essayez d'expérimenter ces règles. Notez que vous pouvez simplement autoriser les numéros de port, plutôt que d'attendre que le profil d'une application s'affiche. Par exemple, pour autoriser le port 443 pour le trafic HTTPS, utilisez simplement la commande suivante:
# UFW Autoriser 443
# Statut UFW
Statut: actif
À l'action de
-- ------ ----
OpenSSH Permettez n'importe où
443 Permettez n'importe où
OpenSSH (V6) Autoriser n'importe où (V6)
443 (V6) Permettez n'importe où (V6)
Conclusion
Maintenant que vous avez trié les bases de l'UFW, vous pouvez explorer d'autres capacités de pare-feu puissantes, à partir d'autoriser et de bloquer les gammes d'IP. Avoir des politiques de pare-feu clair et sécurisé assurera vos systèmes en sécurité et protégés.