Ubuntuでufwファイアウォールが有効になっておらず、デフォルトで事前設定されているのに、なぜufwファイアウォールが含まれているのですか?ほとんどのユーザーは、GUIフロントエンドが提供されていないため、そこにあることすら知りません。
ssh
、一部の用途では、多くの場合、Webサーバー、データベース、またはsmtpサーバーとして使用されます。
Ubuntuでufwファイアウォールが有効になっておらず、デフォルトで事前設定されているのに、なぜufwファイアウォールが含まれているのですか?ほとんどのユーザーは、GUIフロントエンドが提供されていないため、そこにあることすら知りません。
ssh
、一部の用途では、多くの場合、Webサーバー、データベース、またはsmtpサーバーとして使用されます。
回答:
デフォルトでは、UbuntuはTCPまたはUDPポートが開いていない状態で出荷されるため、デフォルトでUncomplicated Firewall(ufw)を実行する理由はないと考えられています。ただし、ufwを無効にすることは奇妙な決定であることに同意します。私の理由は、経験の浅いユーザーは、Samba、Apacheなど、前に置いたシステムで実験するようなものをインストールする可能性が高いということです。この影響を理解していない場合、インターネット上の悪意のある動作にさらされることになります。
例-私はラップトップをSambaで構成しましたが、これはWPA2で保護されたホームネットワークでは問題ありません。しかし、私がラップトップをスターバックスに持っていくと、何も考えないかもしれませんが、そのラップトップは私の株をすべての人に宣伝しています。ファイアウォールを使用すると、Sambaポートをホームサーバーまたはピアデバイスのみに制限できます。誰が私のラップトップに接続しようとしているかについて心配する必要はありません。VNC、SSH、またはラップトップが実行している、または接続しようとしている他の多数の有用なサービスについても同様です。
Ubuntuは、セキュリティの特定の要素に対して非常にオン/オフのアプローチを取っていますが、これは私が同意できない哲学です。セキュリティは技術的にオンまたはオフになっている場合がありますが、セキュリティの要素を相互に重ねることで、より優れたシステムになります。確かに、Ubuntuのセキュリティはすべてではありませんが、多数のユースケースに十分対応できます。
要するに、ufwを実行します。転ばぬ先の杖。
複雑でないファイアウォールには多くのグラフィカルなフロントエンドがありますが、最も単純なものはGufwです。
sudo apt-get install gufw
ここでは、企業環境内の特定のサーバーVLANからのすべてのトラフィックを許可し、リバースSSHセッションに必要なポートがこのマシンから跳ね返ることを許可するルールを追加しました。
Microsoft Windowsとは対照的に、Ubuntuデスクトップはセキュリティ上の問題を引き起こす可能性のあるポートをデフォルトで開かないため、インターネット上で安全にするためにファイアウォールを必要としません。
一般に、適切に強化されたUnixまたはLinuxシステムにはファイアウォールは必要ありません。ファイアウォール(Windowsコンピューターの特定のセキュリティ問題を除く)は、インターネットへの内部ネットワークをブロックするのにより適しています。この場合、ローカルコンピューターは、ファイアウォールによって外部に向かってブロックされている開いているポートを介して互いに通信できます。この場合、コンピューターは、内部ネットワークの外部で使用できないはずの内部通信のために意図的に開かれます。
標準のUbuntuデスクトップではこれは必要ないため、ufwはデフォルトでは有効になっていません。
Ubuntuまたはその他のLinuxでは、ファイアウォールはベースシステムの一部であり、iptables / netfilterと呼ばれます。常に有効になっています。
iptablesは、パケットが着信した場合の処理と動作方法に関する一連のルールで構成されています。特定のIPからの着信接続を明示的にブロックする場合は、ルールを追加する必要があります。実際にそうする必要はありません。リラックス。
何からでも優れたセキュリティが必要な場合は、どこからでもランダムなソフトウェアをインストールしないでください。デフォルトのセキュリティ設定が台無しになる可能性があります。rootとして実行しないでください。公式リポジトリを常に信頼してください。
UIがインストールされているかどうかを尋ねたいと思いましたか?
sudo ufw enable
、最初にインストールするサーバーソフトウェアは、組み込みのiptablesが処理しないポートを開きます。
sudo ufw enable
iptablesが何かを行うように設定される前に実行する必要があります。マニッシュ、あなたの答えはファイアウォールが実行されているように聞こえます。あなたは「技術的にはそうです」と言っていますが、技術的には正しいです。しかし、それは何もしていません。そのため、セキュリティが存在しない場合、非常に誤った印象を与えています。
理由:パスワードまたは暗号キー。
これがIMOの正解であり、これまでのところ、他の回答とはまったく異なる答えです。ufw
パスワードはプライバシーと制限された制御を提供するための重要な保護形態であることを知っているUbuntuユーザーの大半の便宜のためにデフォルトで無効になっています。Ubuntuユーザーの大半は、Ubuntuが承認したリポジトリからインストールすることでソフトウェアを「吟味」し、ポートに関連するリスクだけでなく、一般的なリスクを最小限に抑えるために他のソースに注意します。そうすることで、彼らは「通常の」パスワードを使用しているために既に小さくなっているポート関連のリスクを最小限に抑えることに大いに役立ちます。
Sambaファイルサーバー、Apache HTTPサーバー、SSH、スターバックス(パブリック)WiFi上のVNCなどのリスクの一部は、通常、ホスト上のパスワードを簡単に解読することで排除されます。
ufw
ファイアウォールのようにソフトウェアを「破壊」します。これがデフォルトで無効になっている理由です。Ubuntuの新規インストール、サーバーAでこれをテストするにはssh
、同じローカルネットワーク上の別のマシン、クライアントBからインストールしてログインすると、すぐに動作することがわかります。ログアウト。次に、サーバーAとに戻りますsudo ufw enable
。クライアントBに戻るとssh
、サーバーAに失敗します。