Debianはなぜデフォルトでファイアウォールが有効になっていないのですか?


15

私はDebian 9.1をKDEで使用していますが、なぜデフォルトでファイアウォールがインストールされて有効になっていないのでしょうか?gufwはDVD1のパッケージにも含まれていません。

ファイアウォールを取得するにインターネット接続することを期待されていますか?どうして?すべてのポートがデフォルトで閉じられていても、さまざまなインストール、更新、またはダウンロードされたプログラムがそれらを開くことができますか(開かないか?)

編集:だから私はiptablesについて知りましたが、ファイアウォールはほとんど知られていないように見えるため、質問はまだiptablesのままであると思います、デフォルトのルール、アクセス性と使いやすさ、デフォルトですべてのiptable-rulesがリセットされるという事実再起動時


とてもいい質問です。Ubuntuサーバーにはiptablesプリインストールされていません!エンドツーエンドの原則をレイヤー7の極端なものにしようとしているだけだと思います
...-rlf

8
iptablesが「最もウンクンウォン」であると述べる理由は何ですか?
-SaAtomic


1
「すべてのポートはデフォルトで閉じられている場合であっても、様々なインストール、更新またはダウンロードしたプログラムは...それらを開くことができ、」あなたは悪意を仮定した場合、その後、インストール、更新、またはダウンロードしたプログラムは、ファイアウォールのルールをクリアすることができ- 。
-marcelm

1
例えば@mYnDstrEAmあなたはそれらのプログラムを与えるので、あなたが与えたときにスクリプトのrootアクセスをインストールsudoのようにパスワードをsudo apt-get install package ...

回答:


28

最初に、Debianはあなたが何をしているのか知っていると仮定しがちであり、あなたのために選択をすることを避けようとします。

Debianのデフォルトのインストールはかなり小さく、安全です—サービスを開始しません。また、インストールに追加される標準のオプションの追加機能(Webサーバー、sshなど)でさえ、通常はかなり保守的で安全です。

したがって、この場合はファイアウォールは必要ありません。Debian(またはその開発者)は、追加のサービスを開始した場合、それらを保護する方法を知っていると想定し、必要に応じてファイアウォールを追加できると想定しています。

さらに重要なことは、おそらく、Debianはどのファイアウォールソフトウェアを使用するかに関してあなたに選択をさせることを避けるでしょう。多数の選択肢がありますが、どれを使用すべきですか?また、基本的なファイアウォール設定に関しても、どの設定を選択する必要がありますか?iptablesそうは言っても、優先度が重要なので、デフォルトでインストールされます。しかし、もちろん、Debianはあなたがどのように設定したいかわからないので、あなたのために設定しません。とにかくiptables、の後継を使用することを好むかもしれませnftablesん。

また、ファイアウォール機能はすでにLinuxカーネルにある程度組み込まれていることに注意してください。例えばnftablesnetfilter。Debianおよびその他のLinuxディストリビューションは、iptablesその機能を管理するようなユーザースペースツールを提供します。しかし、あなたがそれらをどうするかはあなた次第です。

これらのエンティティには一貫した名前が付けられていないことに注意してください。ウィキペディアのnftablesページを引用するには:

nftablesはユーザー空間ユーティリティnftを介して設定され、netfilterはユーティリティiptables、ip6tables、arptablesおよびebtablesフレームワークを介して設定されます。


4
@sourcejedi覚えている限りでは、Debianのデフォルトのインストールは、少なくともpotato(私が使い始めたとき)以来非常によく似ています。だから、私はあなたが何を意味するのか分かりません。
ファヒムミサ

1
@FaheemMitha以前のデフォルトでは、外部からの接続を受け入れることができませんでした:)
hobbs

1
あなたのための選択を避けるための試みのための +1 。ファイアウォールを管理するためのさまざまなツールがあり、それぞれに長所と短所があり、それぞれにユースケースがあります。ファイアウォールを構成できる方法はさらに多くあります。多層防御(例:スタンドアロンのファイアウォール/ルーターとホストごとのiptablesルール)は良いですが、Debianインストーラーが私のネットワークの設定方法とファイアウォールルールを知っていると推測すると非常に迷惑になります。それは私が知ることであり、私が決めることです。
cas

4
いい答えですが、「Debianは多くの選択肢があるので、あなたのために選択をすることを避けています」と私にはあまり意味がありません。Debianはすでに選択肢を用意しています(たとえば、「Webサーバー」を選択したときにlighttpdを介してApacheを選択し、rpmを介してdebを使用します... ディストリビューションのまさにポイントは選択をすることではありませんか?
gd1

1
@ gd1それは本当です。Debianはデフォルトを提供し、インストールします-例えばExim、歴史的に。しかし、それらは簡単に変更できます。そして、私iptablesもDebianのデフォルトだと思います。しかし、Debianが単独で行っていないことの1つは、ユーザーのシステム構成が非自明であることです。
ファヒームミサ

12

まず最初に、すでに言われたことを繰り返します。Debianは、他の多くのメインストリームディストリビューション、特にUbuntuとはかなり異なるユーザーグループに対応しています。Debianは、システムがどのように機能するかを知っており、システムを高度に制御することの見返りとして、時々いじくり回すことを恐れない人々を対象としています。たとえば、Ubuntuは非常に異なるターゲットオーディエンスに対応します。物事を機能させたいだけで、内部で何が起こっているかを(本当に)気にせず、確かに物事を作るためにシステム構成を変更する必要はありません作業。これは、結果のシステムの多くの側面に影響を与えます。そして、ある程度、これはLinuxの美しさの1つです。同じ基本システムを使用して、さまざまなニーズに応える環境を構築できます。UbuntuはDebianの派生物であり、

gufwはDVD1のパッケージにも含まれていません。

最初のディスクには、インストールされたシステムからの匿名統計のオプトイン収集によって決定される、最も一般的なソフトウェアが含まれています。gufwが最初のディスクにないという事実は、これがDebianで(インストールベースに関して)非常に人気のあるパッケージではないことを示しています。また、ネットワークシステムが稼働しているベースシステムがあれば、他のシステムよりも簡単にインストールできます。

ファイアウォールを取得する前にインターネットに接続することを期待されていますか?どうして?

まあ、一つには、Debianはネットワーク経由でのインストールを許可していると思います。(通常のインストール中にネットワークからパッケージをダウンロードするだけでなく、インストールされているホストとは異なるホストから文字通りインストールを開始します。)制限されたルールセットでデフォルトで設定されたファイアウォールは、それを妨げるリスクがあります。インストール中のパッケージの最新バージョンを単にダウンロードする以外の目的で、インストールプロセス中に発信ネットワークアクセスを必要とするインストールでも同じです。

もう1つは、上記で説明したものです。原則として、Debianはあなたが何をしているかを知っていることを期待しています。ファイアウォールが必要な場合は、自分でファイアウォールを設定できることが期待されており、Debianのメンテナーよりもあなたの特定のニーズをよく知っていることが期待されます。Debianはその点でOpenBSDに少し似ていますが、極端ではありません。(ベースシステムをもう少し安全にするか、少し使いやすくするかを選択すると、OpenBSDのメンテナーは事実上常にセキュリティを重視します。これはベースシステムのセキュリティ脆弱性統計に示されていますが、ユーザビリティに大きな影響を与えます。)

そしてもちろん、技術的:ファイアウォールのサポート基本システムに含まれています。カーネルによってデフォルトで設定されたすべてを許容するルールに設定されているだけで、ベースのDebianインストールはそれを変更するために何もしません。いくつかのコマンドを実行して、トラフィックフローを制限できます。

すべてのポートがデフォルトで閉じられていても、さまざまなインストール、更新、またはダウンロードされたプログラムがそれらを開くことができますか(開かないか?)、許可なくマシンを1ビットでも残さないことを望みます。

まず、ファイアウォールは通常、着信トラフィックを制限するために使用されます。発信を制限する場合交通、それは魚のやや異なるやかんです。確かに実行可能ですが、あなたの特定の状況により多くの調整が必要です。一般的に使用されるポートを開いたままにするデフォルトブロックの発信トラフィックファイアウォール(一般的に使用されるポートはftp / 20 + 21、ssh / 22、smtp / 25、http / 80、https / 443、pop3 / 110、imap / 143および他のバンドル)に加えて、確立されたセッションに関連するトラフィックを許可することは、デフォルト許可ファイアウォールよりもはるかに安全ではありません。基本システムによってインストールされるパッケージのセットは、十分に理解され、配信されたパッケージとして安全に構成されたセットに制限され、それ以上の保護が必要な場合、管理者が適切なファイアウォールルールを設定できるようにすることをお勧めします。

第二に、閉じたポート(TCP RST / ACKでTCP SYNに応答するポート)、通常「接続拒否」として報告されます-これは、通常、TCP / IPをサポートするライブシステム上のTCPポートのデフォルトの状態であり、反対の設定がないか、ソフトウェアがリッスンしている場合)、重大な脆弱性ではありません。別のファイアウォールを介して接続されていないシステム上でも。カーネルのTCP / IPスタックの実装に脆弱性がある場合、全閉構成で唯一の重大な脆弱性があります。しかし、パケットはすでにカーネルのnetfilter(iptables)コードを通過しているため、バグも潜んでいる可能性があります。反対側で「接続が拒否された」という結果で応答するためのロジックは、セキュリティ関連のバグはもちろんのこと、バグの主要な原因になると信じるのに苦労するほど単純です。

第三に、パッケージは通常rootとしてインストールされ、そこから(パッケージは)知らないうちにiptablesルールを変更できます。そのため、人間の管理者が手動でホストファイアウォールを通過するトラフィックを許可することを要求するようなものを得ることとは異なります。そのような分離が必要な場合は、最初に保護するホストとは別のファイアウォールを用意する必要があります。

だから私はiptablesについて知りましたが、ファイアウォールはほとんどの場合、デフォルトのルールとアクセシビリティと使いやすさについてかなり知られていないようであるため、質問はまだiptablesのままです。

私は実際に反対が真実だと言うでしょう。ファイアウォールとしてのiptablesはよく知られています。また、出くわす可能性のあるほぼすべてのLinuxシステムでも使用できます。(2000年頃のLinuxカーネルバージョン2.4につながった開発中にipchainsを置き換えました。物事を正しく思い出せば、ファイアウォールの一般的なユースケースの2つの間のユーザーに見える最大の変更は、組み込みルールチェーンはINPUT、小文字の代わりに、のように大文字で命名されましたinput

どちらかといえば、iptablesのは、物事を行うことができ、他の広く使われているか理解されていないファイアウォール以上を。たとえば、ファイアウォールを通過するにIPパケットを書き換えるために使用できます。


問題の優れた詳細な要約。ただし、「2番目に、閉じたポートは、別のファイアウォールを介して接続されていないシステムであっても、重大な脆弱性ではありません」と書きました。「オープン」と書くつもりでしたか?そうでない場合、閉じられたポートが脆弱性である方法を拡張できますか?ありがとう。
ファヒムミサ

「正しく覚えていれば、カーネル2.5の開発でipchainsに取って代わりました。15年前のようなものです。」-2.3、実際。これにより、20に近くなります
ジュール

素晴らしい答え、同意しました。また、最小限の可能なインストールiso(現在はnetinstall)からインストールする場合、インストールプロセスの一部は実際にはネットワーク経由でaptからパッケージをインストールすることであるため、インストールはすぐに使用できます。これはまさにあなたが望むものですが、ディスクからインストールすることも選択できるので、インストールには実際にすぐに動作するネットワーク接続が必要です。しかし、この答えはとても良かったです。
リザード

1
遅ればせながらのコメント:「UbuntuはDebianの分岐点として始まったことを思い出してください。今日でも、Debianとの大きな類似性は維持されています。」私の知る限り、UbuntuはまだDebianから派生しています。フォークではありません。
ファヒムミサ

6

実際、Debian開発者やメンテナーの世代の頭にいなくても推測できたら、これは次のようになります。

Debianは主にサーバーオペレーティングシステムとして設計されており、sidブランチとテストブランチの両方が主な目的として次の安定ブランチの作成を行い、フリーズ時にフリーズし、新しい安定がテストから取得されます。ストレッチで起こりました。

これを考えると、システム管理者の友人にこれを確認する必要があります。データセンターのファイアウォールは外部デバイスであり、セキュリティが非常に高い(少なくとも1つはそうであると期待されます)。ファイアウォールタスク。ルーターを備えた小さなLANでも、これは事実です。ルーターはファイアウォールです。どのシステムでもローカルファイアウォールルールを使用しません。なぜですか。

おそらく、人々はデスクトップDebianのローカルインストールまたはオフィスや自宅の単一ファイルサーバーを、実際の使用に焦点を当てたDebianに関連する実際の作業と混同していると思います。

これについては確信がありませんが、Debianを10年以上使用してきた後、それは多くの点でDebianの開発者であり支持者であると感じています。

これは実際には良い質問なので確認できますが、実際のネットワークは、マシンごとではなく、ネットワークへの入り口でファイアウォールで保護されている、または少なくとも、それはおそらく駆動する基本的な考え方ですDebian。さらに、もちろん、そうでない場合、システム管理者は、デフォルトのインストールに依存せず、Chefのようなものを使用して、マシンごとにファイアウォールルールを設定することになります。たとえば、デフォルトのDebian ssh設定は、デフォルトで個人的に使用するものではありません。たとえば、デフォルトでrootログインを許可します。それが悪い習慣であると判断した場合、それを修正するのはsysadminの責任です。

つまり、Debianに関しては他のいくつかのディストリビューションにはないかもしれないと思う能力があるという仮定があります。同様に、変更したいものを変更したり、イメージを作成したり、サイト管理ソフトウェアでそれらを管理したりします。これらはほんの数例です。たとえば、DVDを使用して新しいサーバーを作成することはありません。少なくとも運用環境では、最小限のnetinstallのようなものを使用するでしょう。これは、私がいつも使用しているものです(たとえば、 、しかし、彼らはそれを中止しました)。その基本インストールに含まれているものを見ると、Debianが重要であると考えているものとそうでないものの適切な感覚が得られます。たとえば、sshがあります。Xorgはそうではなく、Sambaはそうではない。

また、なぜデフォルトのデスクトップとしてGNOMEに戻ったのかを尋ねることもできますが、これらはユーザーが下した決定に過ぎず、ユーザーがシステムを思い通りに(つまり、Xfceデスクトップを取得するために、 (Xubuntuのように)Xdebianをインストールせず、Debianコア、Xorg、およびXfceをインストールするだけです。同様に、ファイアウォールが必要な場合は設定し、入出力を学習しますが、Debianがそれを有効にして出荷することを個人的に期待することはありません。 。これについての私の見解は、Debianの内部でも見られるようなコンセンサスを反映しているのかもしれません。

加えて、Debianのようなものは実際にはありません。さまざまなインストールイメージ、ネットインストール、フルインストールがあり、これらはすべてベアボーン、CLIのみ、合理的な完全なユーザーデスクトップまでさまざまです。実稼働ユーザーは、おそらくユーザーが望むように構成されたイメージを作成するでしょう。Debianサーバーをセットアップしている場合、生の基本から始めて、望みどおりになるまでビルドします。

次に、まったく異なる種類のワックスであるWebサーバーの世界があり、それらは非常に異なるセキュリティの質問を持っています。サーバーがクラッカーに所有されている人とも呼ばれます。


私は通常、このような長い答えは好きではありません:)が、あなたは非常に重要な点に触れます。Webサーバーを実行する場合、Webサーバーへの接続を受け入れる必要があります。2番目のソフトウェアを構成することで、どのような価値が得られるのか疑問です。はい、私のWebサーバーに送信されたWeb要求を受け入れたいです。そして、このユースケースは、デスクトップよりもDebianの内部により配慮されているようです。
sourcejedi

sourcejedi、笑、それが長くなかったら、ウェブサーバーの質問に出会うことはなかったでしょう。それが最後に追加したものです。ただし、この場合、明らかに新しいユーザーで経験の浅いユーザーがいます。ユーザーは、異なるディストリビューションが根本的に異なるユースケースとユーザーをカバーしていることに気付かない場合があります。だから彼らは基本的に情報を持っていない、そして、その時点で、彼らが知っていることと知らないことを知るのは難しい。またはちょうど十分。わかりにくい。
リザード

「もちろん、Debianのようなものは本当にありません」。これがどういう意味なのかわかりません-Debianのようなものは間違いなくあります。Debianプロジェクトによって作成されたオペレーティングシステムです。技術的にはオペレーティングシステムのファミリですが、もちろん、Linuxバリアントが非常に支配的です。インストールにはさまざまな方法がありますが、それらはすべて同じシステムをインストールします。もちろん、どの部分をインストールするかについては自由があります。
ファヒームミタ

ある意味での意味ではありません。それが技術的に何であるかとしてあなたが注意することは、私が意味することです。つまり、Debianはこの人が言及したdvdインストーラーイメージですか?netinstallで取得するコアインストールですか?特定のアーキテクチャのaptパッケージプールですか?それはそのためのSIDプールですか?テストプール?等々。ユーザーがどのように物事を定義するかという点で、私はそのようなものはないと思います。実際にあるのは、aptと.debを定義するパッケージング規則とパッケージを管理するプロジェクトDebianです。これが私が好きな理由です。ところで、プロジェクトを定義するのはルールです。
リザード

説明するのは難しいですが、試してみます: 'Debian'をインストールせず、netinstall isoからDebian Testing / Buster、64ビット版をインストールします。したがって、Debianは傘であり、インストールしたものを実行して作成します。これは私が長年にわたってDebianが好きな理由に気付くようになったのです。彼らには厳格なルールがあり、それらのルールはUbuntuでなくDebianとして本当に定義されているものです。たとえば、Debianから一連のパッケージを取得してUbuntuを作成した場合、いつDebianでなくなるのでしょうか?少なくともしばらくは同じパッケージであり、dfsgルールに従うのをやめると停止することをお勧めします。
リザード

5

一般的な考え方は、複雑なセットアップを除き、ほとんどのシステムでファイアウォールを必要としないことです。

サーバーをインストールしたときに、SSHが実行されています。他には何も聞いてはならないので、おそらくsshに接続できるようにしたいでしょう。

Webサーバーをインストールすると、Webサーバーが使用可能になることが期待されますか?また、基本的な調整のために、0.0.0.0(すべてのIP)ではなく、192.168.172.42(ローカルLAN IP)などのプライベートLANインターフェイスのみにWebサーバーをバインドできます。まだファイアウォールは必要ありません。

もちろん、すべてが1024を超えるポートを開くことができますが、信頼できないソフトウェア(または信頼できないユーザー)がいる場合は、ファイアウォールをインストールするだけでは不十分です。何かを信じる必要がある瞬間には、ソフトウェアだけでなくセキュリティの概念が必要です。そのため、ファイアウォールソリューションについて積極的に考える必要がある場合に便利です。

もちろん、もっと複雑なシナリオもあります。ただし、実際にこれらのいずれかを使用している場合は、ファイアウォールを自分で微調整する必要があり、ufwのような半自動システムにそれを行わせないでください。または、ufwを使用することもできますが、オペレーティングシステムのデフォルトではなく、決定しました。


1
IIRC、パーソナルコンピュータのファイアウォールは、Windows 95のセキュリティ上の脆弱性の1つであり、デフォルトではすべてのポートが開いていました。ほとんどのオペレーティングシステムでは、その前後に、実際にそのポートでリッスンしているサービスがある場合にのみポートが開かれます。第二に、ファイアウォールはパケットを明示的に拒否するのではなく、静かにドロップするように設定されることが多いため、IPアドレスにシステムがあることを伝えるのは困難です。
-bgvaughan

リスニングサービスを使用せずにポートを開いた場合の意味がわかりません。パケットはどこに行くべきで、なぜこれがセキュリティホールになるのでしょうか?また、ファイアウォールにパケットをドロップしてもあなたを隠すことはありませんが、ファイアウォールを備えたマシンがあることをさらに明確にします。システムがオンラインでない場合、システムののルーターは「到達不能」応答を送信します。マシンがそこにあるときは(パケットを受け入れる、拒否する、またはドロップするときは)ありません。tracerouteシステムに対してaを実行することで、自分で効果を確認できます。
アロ

1
トレースルートを開始すると、7ホップが表示される場合があります。最初は私のPC、最後はネットワークへのエントリポイントです。PCがオフラインの場合、6番目のホップは「到達不能」応答を送信します。PCが接続されているがファイアウォールで保護されている場合、6番目のホップは通常の応答を送信し、7番目のホップはパケットをドロップ(または拒否)します。また、6番目のホップを制御していないため、パケットを偽造したりドロップしたりすることはできません。
アロ

1
「実行中のサービスがなくても、95やXPなどの古いWindowsシステムは、すべてのポートを開いたままにします」私は、ポートをリッスンせずに開いたままにすることの意味をまったく知りません。パケットが入って来たとき、あなたはどちらか、リスニングプログラムに送信することができreject、それまたはdropそれを。「聞くことなく開くポート」という概念はありません。たぶん、ドロップすることを意味します(プログラムに送信せずに受け入れます)。
アロ

1
個人的には、デフォルトのファイアウォールと安全なフォールバックにより拒否されています。しかし、debianがユーザーにファイアウォールをインストールさせようとするとき、私は理解しています。私は多くのことを実験しており、他の人はtaskselでWebサーバーを選択して完了しています。win95についてはわかりませんが、とにかく今日は問題ではないと思います;)。
アロ

4

人々は以前にインターネットに接続することを期待されていますか

はい

ファイアウォールを取得しますか?

すべてのポートがデフォルトで閉じられている場合でも

申し訳ありませんが、そうではありません。rpcbindデフォルトでインストールされ、有効にされ、ネットワークでリッスンしているようです。

編集:これは最新のインストーラー、つまりDebian 9(Stretch)で修正されたと思います。しかし、Debianの以前のバージョンでは、公共のwifiネットワークにそれらをインストール(そして更新)することはあまり安全ではないと感じました。

どうして?

人々には次のような仮定があると思う

  1. ローカルネットワークはネットワークサービスを攻撃しません
  2. ローカルネットワークとより広いインターネットの間に既にファイアウォールがあります。

後者は一般的な慣例ですが、たとえば消費者向けルーターなどでは、保証されているとは思いません。当然、前者の仮定は文書化されていません。賢明なものでもありません。

私の意見では、rpcbindの問題はより一般的なポイントの例です。人々はDebianの宣伝を試みることができ、多くの素晴らしい機能があります。しかし、Debianは、洗練されていて友好的であるという点でUbuntuに遅れをとっており、そのような詳細を学びたい人にとっては間違いなく信頼性も劣っています。

ダウンロードされたプログラムはそれらを開くことができますか(開かないのでしょうか?)、許可なく私のマシンを離れることが1ビットもないことを望みます。

ファイアウォールが何をするのかわからないランダムなソフトウェアのダウンロードと実行を開始する前に、ファイアウォールをインストールすることは確かに自由です:-p。

Linuxをインストールし、非常によく知られているセキュリティレイヤー用に設定されたインターフェイスを見つけられないのは不安です。個人的には、デフォルトのWindowsファイアウォールがどのように設定されているかを理解することが有用だと感じました。ホームネットワークを「信頼」できるようにしたいと考えています。最近のバージョンでは、エクスプレスインストールは、現在のネットワークを信頼するかどうかの確認をスキップします。主な目標は、ホームネットワーク、直接接続されたモデムなどの保護されていない接続、およびパブリックWiFiネットワークを区別することです。とにかくUFWはこれをサポートしていないことに注意してください。

Fedora Linux単独で、このようなものを提供しようとしましたfirewalld。(パッケージはDebianでも利用できるようです...)。それのGUIは、GUFWほど「フレンドリー」ではありません。


ubuntuのコメントを「学習しようとしている人のために」修飾したことをうれしく思います。実際の答えはある意味で、debianはそのグループのために作成されたシステムではなく、ubuntuの存在は実際にその事実に帰着するかもしれません。誰かが学習しようとしていないので、それが、例えばubuntuよりもdebianを常に好む正確な理由です。以前はローカルファイアウォールで遊んでいましたが、最終的には、実際のユーティリティというよりもおもちゃとして見るようになりました。つまり、iptablesなどではなく、guiのものです。あなたの1.と2。ところで、私はその決定に同意します。
リザード

@Lizardx私は、rpcbind +パブリックwifiネットワークで状況を見つけるのをどれほど落胆させるかを強調するために編集しました:) そのコメントであなたがどこから来たのか知っていると思いますが、私は完全に同意しません。リポジトリ内のフットガンの兵器庫にアクセスできることを嬉しく思いますが、信頼できるベースとして、定義済みのデフォルト(または、XFCEを人気のある「GNOME3ではない」オプションとしてカウントする場合はいくつか)を作成したいです。
sourcejedi

公衆無線LANは明らかに、システム上のファイアウォールが一般ユーザーにとって重要なユースケースです。しかし、他の回答に示されているように、Debianはインストールしてその方法で使用した場合、これを知っていると想定しています。たぶん、FreeBSDまたはOpenBSDがこの質問をどのように見ているかにより近いでしょうか?私だけのために言えば、私はDebianのデフォルトパッケージグループ選択の巨大な非ファンです。XUbuntuや素敵なデフォルトインストールを作成したさまざまなDebianスピンとは異なり、実際に実行したいものを作成するのを見たことはありません。これで、GNOME 3ではなくXFCEのオプションは非常にいいと思います。
リザード

4
gufwは恐ろしいです。ufwはほとんど意味がありませんし、ルールをXMLに保存しませんか?うん。手動のiptablesルールセットでも対処が簡単です。
user2497

3

Unixの伝統的な哲学は、常にKISSであり、最小限のサービスを実行/公開することです。

いくつかのサービスも明示的にインストールする必要があり、一部はlocalhostにバインドされており、ローカルネットワーク/インターネット(MySQL、MongoDB、snmpd、ntpd、xorg ...)で表示できるようにする必要があります。これは、デフォルトでファイアウォールを有効にするよりも賢明なアプローチです。

ファイアウォールが特定のポイントからもたらす複雑さだけが必要であり、その必要性は企業のルーターや家庭用デバイスの背後にあることで減少する可能性があるため、ユーザーにその決定を任せるのが賢明に思えます。ファイアウォールは、他の多くのセキュリティソフトウェアと同様に、適切に管理されていない場合、誤ったセキュリティを提供する可能性があります。

Debianのオリエンテーションは、常にiptablesが何であるかを知っている、より技術志向の人々です。また、簡単にインストールできるいくつかのよく知られたラッパー、テキストまたはグラフィカルモードインターフェイスもあります。

それに加えて、インストールされているソフトウェアが多すぎても少なすぎても、意見の問題になります。長年のベテランにとって、特にサーバーモードでは、デフォルトでインストールされるソフトウェアとサービスが多すぎます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.