Вступ
UFW (Uncomplicated Firewall - нескладний фаєрвол) - зручний інтерфейс для управління політиками безпеки брандмауера. Наші сервери постійно піддаються різним атакам або скануються в пошуку вразливостей. Як тільки ці уразливості знаходяться, ми ризикуємо стати частиною ботнету, розкрити конфіденційні дані або втратити гроші через збої в роботі веб-додатків. Однією з перших заходів щодо зниження ризиків безпеки є грамотна настройка правил брандмауера. У нашому керівництві ми розглянемо основні команди і правила роботи з утилітою UFW.
попередні вимоги
Для початку роботи з UFW вам буде потрібно привілейований користувач (можливість виконання команд під sudo).
Утиліта UFW встановлена в системі. Якщо з якоїсь причини вона була відсутня, ви можете встановити її за допомогою команди:
Перевірка правил і поточного стану UFW
У будь-який час ви можете перевірити стан UFW за допомогою команди:
За замовчуванням UFW відключений, так що ви повинні побачити щось на зразок цього:
Якщо UFW включений, то в консолі будуть перераховуватися задані правила. Наприклад, якщо firewall налаштований таким чином - SSH (порт 22) з'єднання з будь-якої точки світу, консоль може виглядати наступним чином:
Так ви завжди можете дізнатися як налаштований фаєрвол.
Увага! Проведіть початкову настройку перед включенням UFW. Зокрема, повинен бути доступний SSH (22 порт). В іншому випадку ви ризикуєте втратити доступ до сервера.
Початкова настройка
За замовчуванням UFW настройки забороняють всі вхідні з'єднання і дозволяють всі вихідні. Це означає, що якщо хтось спробує досягти ваш сервер, він не зможе підключитися, в той час як будь-який додаток на сервері має доступ до зовнішніх з'єднань.
Відповідне правила фаєрвола прописуються так:
Додавання правила для SSH-з'єднань
Щоб дозволити вхідні SSH-з'єднання, виконайте команду:
SSH демон прослуховує 22 порт. UFW знає про імена поширених служб (ssh, sftp, http, https), тому ви можете використовувати їх замість номера порту.
Якщо ваш SSH-демон використовує інший порт, вам необхідно вказати його в явному вигляді, наприклад:
Тепер, коли ваш міжмережевий екран налаштований, можете включати його.
запуск UFW
Щоб включити UFW, використовуйте наступну команду:
Ви отримаєте схоже попередження:
Це означає, що запуск цього сервісу може розірвати даний ssh з'єднання.
Але, так як ми його вже додали ssh в правила, цього не станеться. Тому просто натисніть (y).
Додавання правил для інших підключень
Щоб ваші додатки працювали коректно, вам необхідно додати інші правила. Нижче будуть показані налаштувати для найбільш поширених служб.
HTTP (80 порт)
Для роботи не зашифрованих веб-серверів використовуйте наступну команду:
HTTPS (443 порт)
Те ж саме, що і в попередньому прикладі, але для зашифрованих з'єднань:
FTP (21 порт)
Даний порт використовується для незашифрованной передачі файлів:
Додавання діапазонів портів
Також ви можете вказувати конкретний протокол:
sudo ufw allow 3000: 3100 / tcp
sudo ufw allow 3000: 3100 / udp
Якщо ж ви хочете вказати доступ до конкретного порту, скористайтеся командою виду:
Заборонити з'єднання
Щоб заборонити HTTP-з'єднання, ви можете використовувати наступну команду:
Якщо ви хочете заборонити всі з'єднання з 123.45.67.89, скористайтеся командою
видалення правил
Існує два способи видалення правил. Перший - за номером правила. Виконайте команду:
Після цього виконайте команду ufw delete і вкажіть номер правила, яке слід видалити:
Другий спосіб полягає в тому, що після команди ufw delete використовується фактичне правило, наприклад
відключення UFW
Відключити UFW можна за допомогою команди:
В результаті її виконання все створені раніше правила втратять чинність.
Скидання правил
Якщо вам потрібно скинути поточні настройки, скористайтеся командою:
В результаті її виконання всіх правил будуть відключені і видалені.
У Ufw є опція збереження логів - журнал подій. Для запуску, використовуйте команду:
Ufw підтримує нескоько рівнів логгірованія:
- off - відключений.
- low - реєструє всі заблоковані пакети, які не відповідають заданій політиці (з обмеженням швидкості), а також пакети, відповідні зареєстрованим правилам.
- medium - все те, що при значенні low. Плюс всі дозволені пакети, які не відповідають заданій політиці, все неприпустимі пакети, і все нові сполуки. Всі записи ведуться з обмеженням швидкості.
- high - працює також як і medium. Плюс все пакети з обмеженням швидкості.
- full - також як і high, але без ограніенія швидкості.
Що б задати рівень, вкажіть його як параметр:
За замовчуванням використовується рівень low.
висновок
Тепер ваш фаєрвол має мінімально необхідні настройки для подальшої роботи. Далі упевніться, що всі підключення використовуються вашим веб-додатком також дозволені і заблокуйте ті, в яких немає необхідності. Це знизить ризики проникнення на ваш сервер і здійснення хакерами шкідливих дій.