फ़ायरवॉल डिफ़ॉल्ट रूप से अक्षम क्यों है?


64

उफ्फ फ़ायरवॉल को उबंटू में क्यों शामिल किया गया है, जब यह सक्षम नहीं है और डिफ़ॉल्ट रूप से पूर्व-कॉन्फ़िगर किया गया है? अधिकांश उपयोगकर्ता यह भी नहीं जानते कि यह वहाँ है, क्योंकि कोई GUI दृश्यपटल प्रदान नहीं किया गया है।


6
जब मैं गलती से पता चला कि एक फ़ायरवॉल स्थापित है, लेकिन विकलांग था तो मैं चौंक गया था! यहां बताए गए तर्क काफी कमजोर हैं।
एचआरजे

1
मेरे पास एक ही सवाल है कि मैं यहां क्यों उतरा, बस एक बहुत ही जंगली अनुमान मिला कि लिनक्स उपयोगकर्ता (विंडोज उपयोगकर्ताओं के विपरीत जो सामान्य डेस्कटॉप उपयोगकर्ता होने की अधिक संभावना है) में लिनक्स के विभिन्न उपयोग हैं: कुछ पंचिंग के लिए, कुछ उपयोग ssh, कुछ नहीं, बहुत से इसे वेबसर्वर, डेटाबेस या smtp सर्वर के रूप में उपयोग करते हैं ... लिनक्स दर्शन हर उपयोगकर्ता को अपने फ़ायरवॉल को कॉन्फ़िगर करने देगा जैसे वह फिट देखता है।
user10089632

यह एक अविश्वसनीय रूप से खराब डिजाइन निर्णय है। बस आश्चर्यजनक रूप से बुरा है!
आयन जूल

जवाबों:


37

बॉक्स से बाहर, बिना टीसीपी या यूडीपी पोर्ट वाले उबंटू जहाज खुलते हैं, इसलिए यह विश्वास है कि डिफ़ॉल्ट रूप से Uncomplicated Firewall (ufw) को चलाने का कोई कारण नहीं है । मैं सहमत हूँ, हालांकि, कि ufw विकलांग होना एक अजीब निर्णय है। मेरा तर्क यह है कि अनुभवहीन उपयोगकर्ता संभवत: सांबा, अपाचे जैसी चीजों को स्थापित करने जा रहे हैं और जैसे वे उनके सामने रखे गए सिस्टम के साथ प्रयोग करते हैं। यदि वे इस के निहितार्थ को नहीं समझते हैं, तो वे खुद को इंटरनेट पर दुर्भावनापूर्ण व्यवहार के लिए उजागर करेंगे।

उदाहरण - मुझे अपना लैपटॉप सांबा से मिला हुआ है जो WPA2 के साथ संरक्षित मेरे होम नेटवर्क में ठीक है। लेकिन अगर मैं अपने लैपटॉप को एक स्टारबक्स में ले जाऊं, तो शायद मैं इसके बारे में कुछ न सोचूं, लेकिन यह लैपटॉप अब मेरे शेयरों को सभी और विविध के लिए विज्ञापन कर रहा है। एक फ़ायरवॉल के साथ, मैं अपने सांबा पोर्ट्स को केवल अपने होम सर्वर या पीयर डिवाइसेस तक ही सीमित रख सकता हूँ। मेरे लैपटॉप से ​​जुड़ने की कोशिश करने वाले के बारे में अब ज्यादा चिंता करने की ज़रूरत नहीं है। वही VNC, SSH, या अन्य उपयोगी सेवाओं की एक बड़ी संख्या के लिए चला जाता है, जो मेरा लैपटॉप चला रहा हो, या इससे जुड़ने की कोशिश कर रहा हो।

उबंटू सुरक्षा के कुछ तत्वों के लिए एक बहुत चालू / बंद दृष्टिकोण लेता है, एक दर्शन जिसके साथ मैं सहमत नहीं हो सकता हूं। सुरक्षा तकनीकी रूप से या बंद हो सकती है, लेकिन एक दूसरे पर सुरक्षा के तत्वों को स्तरित करके, आप एक बेहतर प्रणाली के साथ समाप्त होते हैं। बेशक, उबंटू की सुरक्षा बड़ी संख्या में उपयोग के मामलों के लिए पर्याप्त है, लेकिन सभी नहीं।

निचला रेखा, ufw चलाएं। माफी से अधिक सुरक्षित।

अस्पष्ट फ़ायरवॉल में कई ग्राफिकल फ्रंट एंड हैं, लेकिन सबसे सरल Gufw है

GUFW लोगो

sudo apt-get install gufw

यहाँ, मैं अपने कॉर्पोरेट वातावरण में विशिष्ट सर्वर VLAN से सभी ट्रैफ़िक की अनुमति दे रहा हूँ और मैंने इस मशीन को उछाल देने के लिए रिवर्स SSH सत्र के लिए आवश्यक पोर्ट की अनुमति देने के लिए एक नियम जोड़ा है।

GUFW स्क्रीनशॉट


ufw सिर्फ iptables को नियंत्रित करता है - यही कारण है कि यह डिफ़ॉल्ट रूप से सक्षम नहीं है। उन्नत उपयोगकर्ता iptables का उपयोग करने में सक्षम हैं।
पापुकायजा

3
@papukaija - iptables के उन्नत उपयोगकर्ता iptables का उपयोग करने में सक्षम हैं। Bsd सिस्टम पर एक उन्नत उपयोगकर्ता pf का उपयोग करेगा, लेकिन वह उस उपयोगकर्ता को नहीं बनाता है, जो ubuntu में आता है, अचानक अपरिष्कृत। इसी तरह किसी ऐसे व्यक्ति के साथ, जो मुख्य रूप से एक नेटवर्क इंजीनियर है - उस व्यक्ति को सिस्को या जुनिपर ACL तर्क पता होगा। यह सभी के लिए नहीं है, लेकिन ufw कॉन्फ़िगरेशन को अधिक सुलभ बना सकता है, और मेरी राय में यह एक अच्छी बात है।
बेलाक्वा

2
@jgbelacqua: सच है, लेकिन स्केन का जवाब एक छवि देता है कि ufw फ़ायरवॉल है जबकि यह iptables के लिए सिर्फ एक दृश्य है।
पापुकायजा २ pap

1
(एग्रेसिव पेडेंट चेतावनी) मैं उपयोगकर्ताओं को सलाह दे सकता हूं कि वे बेतरतीब स्रोत पते के आधार पर यादृच्छिक आने वाले यूडीपी / 53 पैकेट की अनुमति दें। वे वास्तविक दुनिया के हमलों (डीएनएस जहर, प्रवर्धित यातायात द्वारा DoS) में उपयोग किए गए हैं। आपको ऐसा करने की आवश्यकता होगी क्यों?
sourcejedi

हाँ, शायद सच है। यह वास्तव में एक पुराने पीसी का एक बुरा स्क्रीनशॉट है, जहां मैं सिर्फ अपने लॉग से ओपनडएनएस चाहता था। यह अच्छा अभ्यास नहीं है। अगर मुझे समय मिलता है, तो मैं स्क्रीनशॉट को अपडेट करने की कोशिश करूँगा, क्योंकि GUFW इन दिनों वैसे भी बहुत अलग दिखता है।
15

28

माइक्रोसॉफ्ट विंडोज के विपरीत, एक उबंटू डेस्कटॉप को इंटरनेट पर सुरक्षित होने के लिए फ़ायरवॉल की आवश्यकता नहीं होती है, क्योंकि डिफ़ॉल्ट रूप से उबंटू ऐसे पोर्ट नहीं खोलता है जो सुरक्षा समस्याओं को पेश कर सकते हैं।

सामान्य रूप से एक कठोर यूनिक्स या लिनक्स सिस्टम को फ़ायरवॉल की आवश्यकता नहीं होगी। फ़ायरवॉल (विंडोज कंप्यूटर के साथ कुछ सुरक्षा समस्याओं को छोड़कर) इंटरनेट पर आंतरिक नेटवर्क को अवरुद्ध करने के लिए अधिक समझ में आता है। इस मामले में स्थानीय कंप्यूटर एक दूसरे के साथ खुले बंदरगाहों पर संवाद कर सकते हैं जो फ़ायरवॉल द्वारा बाहर की ओर ब्लॉक हैं। इस मामले में, कंप्यूटर को जानबूझकर आंतरिक संचार के लिए खोला जाता है जो आंतरिक नेटवर्क के बाहर उपलब्ध नहीं होना चाहिए।

मानक Ubuntu डेस्कटॉप को इसकी आवश्यकता नहीं होगी, इसलिए डिफ़ॉल्ट रूप से ufw सक्षम नहीं है।


क्या (छ) केवल एक दृश्य नहीं है? मेरा मतलब है कि असली फ़ायरवॉल iptables है, है ना?
papukaija

9
यहां तक ​​कि ठीक से कठोर सिस्टम एक फ़ायरवॉल से लाभान्वित होंगे। उदाहरण के लिए, यदि आप सांबा चलाते हैं, तो आप सभी के लिए विभिन्न पोर्ट खोलते हैं। एक फ़ायरवॉल के साथ, आप इसे केवल अपने सर्वर या साथियों तक सीमित कर सकते हैं।
स्केन

netfilter + iptables या netfilter + ufw (जिसमें iptables शामिल हैं) फ़ायरवॉल प्रदान करता है। लेकिन अगर आपके पास ufw है, तो आपके पास फ़ायरवॉल कार्यक्षमता होगी।
बेलाक्वा

4
[उद्धरण वांछित]
Nov--

7
यह पूरी तरह से बेतुका है। एक फ़ायरवॉल का उपयोग संचार को अनधिकृत उपयोग से बचाने और बाहर करने के लिए किया जाता है ... इसका मतलब है कि यदि आप एक स्थापित करते हैं, तो संगीत प्लेयर जो गलत तरीके से एक पोर्ट खोलता है, आपके पास इंटरनेट के लिए एक खुला कनेक्शन होगा। इसे प्रीमेप्टिव सिक्योरिटी कहा जाता है, आप उन चीजों से रक्षा करते हैं जो हो सकती हैं। यह उत्तर लोगों को लिनक्स के वातावरण में सुरक्षा की झूठी भावना देता है।
डैनियल

8

उबंटू या किसी अन्य लिनक्स में फ़ायरवॉल बेस सिस्टम का एक हिस्सा है और इसे iptables / netfilter कहा जाता है। यह हमेशा सक्षम है।

iptables में नियमों का एक सेट होता है कि क्या करना है और एक पैकेट से बाहर आने पर क्या व्यवहार करना है। यदि आप किसी विशिष्ट आईपी से आने वाले कनेक्शन को स्पष्ट रूप से ब्लॉक करना चाहते हैं, तो आपको एक नियम जोड़ना होगा। वास्तव में आपको ऐसा करने की आवश्यकता नहीं है। आराम करें।

यदि आप किसी भी चीज़ से अच्छी सुरक्षा चाहते हैं, तो याद रखें कि कहीं से भी यादृच्छिक सॉफ्टवेअर स्थापित न करें। यह आपकी डिफ़ॉल्ट सुरक्षा सेटिंग्स को खराब कर सकता है। कभी भी रूट के रूप में न चलाएं। हमेशा आधिकारिक प्रतिनिधि पर भरोसा करें।

मुझे लगता है कि आप क्या पूछना चाहते थे कि यूआई स्थापित है या नहीं?


8
आप इसे ध्वनि करते हैं जैसे एक फ़ायरवॉल "हमेशा सक्षम" होता है, जो कि ऐसा नहीं है। यह एकीकृत हो सकता है, लेकिन जब तक आप इसे चालू नहीं करते हैं sudo ufw enable, आपके द्वारा इंस्टॉल किए गए सर्वर सॉफ़्टवेयर का पहला टुकड़ा एक पोर्ट खोलेगा, जिसमें अंतर्निहित iptables के बारे में कोई बात नहीं होगी।
स्केन

4
@ साइन: ufw काम नहीं करता है; यह iptables द्वारा किया जाता है जो डिफ़ॉल्ट रूप से सक्षम होता है।
पापुकायजा

7
हाय दोस्तों। UFW iptables पर एक फ्रंट एंड है - मुझे यह मिल गया। हालाँकि, डिफ़ॉल्ट रूप से, iptables सटीक कुछ भी नहीं करता है। यह काम नहीं कर रहा है। यह एक फ़ायरवॉल नहीं है। यह तैयार है, लेकिन बेकार है। आप sudo ufw enableकुछ भी करने के लिए कॉन्फ़िगर किया गया है एक iptables से पहले चलाने चाहिए । मनीष, आपका जवाब लगता है जैसे कोई फ़ायरवॉल चल रही हो। आप कह रहे हैं "तकनीकी रूप से यह" है और तकनीकी रूप से आप सही हैं। लेकिन यह कुछ भी नहीं कर रहा है, इसलिए आप सुरक्षा की व्यापक झूठी धारणा दे रहे हैं जहां कोई भी मौजूद नहीं है।
१४

3
@ मनीष, "सर्वर सॉफ्टवेयर स्थापित करने वाले सामान्य उपयोगकर्ता" के बारे में। मेरे उदाहरण के अनुसार, कई सांबा स्थापित करेंगे। कई अन्य वरीयताओं / रिमोट डेस्कटॉप में अंतर्निहित वीएनसी सर्वर का उपयोग करेंगे। यह घर के वातावरण (शायद) में ठीक है, लेकिन सक्षम सेवाओं के साथ उस लैपटॉप को बाहर ले जाएं, आप संभावित रूप से अपने आप को दुर्भावनापूर्ण व्यवहार के लिए उजागर कर रहे हैं।
14

2
ssh, प्रिंट-संबंधित और मेल पोर्ट भी अक्सर पूरी तरह से सामान्य प्रकार के डेस्कटॉप या सर्वर संचालन के लिए खोले जाते हैं। इन्हें बंद किया जा सकता है (उदाहरण के लिए स्रोत आईपी द्वारा) या ufw या फ़ायरवॉल / एसीएल के किसी अन्य स्वाद के साथ पूरी तरह से बंद कर दिया जा सकता है।
बेलाक्वा

4

इसके अलावा, gufwएक GUI फ्रंट-एंड प्रदान कर सकता है। (यह वास्तव में कमांड लाइन पर ufw की तुलना में अधिक सहज नहीं है, मेरे लिए, लेकिन यह आपको वहाँ क्या है, के बारे में अधिक दृश्य अनुस्मारक देता है।) मैं मानता हूं कि फ़ायरवॉल वर्तमान में अच्छी तरह से विज्ञापित नहीं है। अगर मुझे लगता था, तो मैं कहूंगा कि नए उपयोगकर्ताओं को पैर में खुद को गोली मारने से रोकना है।


-1

क्योंकि: पासवर्ड या क्रिप्टो-की।

यह IMO सही उत्तर है, और इस प्रकार अन्य की तुलना में काफी अलग उत्तर है। ufwउबंटू के अधिकांश उपयोगकर्ताओं की सुविधा के लिए डिफ़ॉल्ट रूप से अक्षम है जो जानते हैं कि पासवर्ड गोपनीयता और प्रतिबंधित नियंत्रण प्रदान करने के लिए सुरक्षा का एक महत्वपूर्ण रूप है। उबंटू के अधिकांश उपयोगकर्ता उबंटू-अनुमोदित रिपॉजिटरी से इंस्टॉल करके सॉफ़्टवेयर को "वेट" करेंगे और अन्य स्रोतों के बारे में सावधान रहेंगे, ताकि सामान्य रूप से बंदरगाहों से संबंधित जोखिम न हो। ऐसा करने से वे पोर्ट से संबंधित जोखिम को कम करने के लिए एक लंबा रास्ता तय करते हैं जो पहले से ही छोटा था क्योंकि वे "सामान्य" पासवर्ड का उपयोग करते हैं और यदि वे हार्ड-टू-ब्रूट पासवर्ड या क्रिप्टो-कीज़ का उपयोग करते हैं तो बहुत छोटा है।

कुछ जोखिम जैसे कि सांबा फ़ाइल सर्वर, अपाचे एचटीटीपी सर्वर, एसएसएच, वीएनसी जैसे स्टारबक्स (सार्वजनिक) वाईफाई पर आमतौर पर होस्ट द्वारा हार्ड-टू-ब्रूट पासवर्ड को समाप्त कर दिया जाता है।

ufw"ब्रेक" सॉफ़्टवेयर, फ़ायरवॉल के रूप में होना चाहिए, यही कारण है कि यह डिफ़ॉल्ट रूप से अक्षम है। उबंटू, सर्वर ए की एक ताजा स्थापना पर यह परीक्षण करने के लिए, sshउसी स्थानीय नेटवर्क पर एक अन्य मशीन, क्लाइंट बी से इंस्टॉल और लॉगिन करें और आप देखेंगे कि यह तुरंत काम करता है। लॉग आउट। फिर सर्वर ए और पर वापस जाएं sudo ufw enable। क्लाइंट B पर वापस जाएं और आप sshसर्वर A में विफल रहेंगे ।


1
पासवर्ड स्टैक के बहुत उच्च स्तर पर बैठते हैं। स्टैक के निचले स्तरों पर सरल बफर ओवररन के माध्यम से सिस्टम पर हमला किया जा सकता है।
एचआरजे

क्यों होता है पतन?
H2ONaCl

@HRJ, "सिस्टम पर हमला किया जा सकता है" उस सुविधा के मामलों का खंडन नहीं करता है। आपने जो लिखा है उसकी शुद्धता को आपने संबोधित नहीं किया है। मैं सही हूँ। तुम एक स्पर्शरेखा पर हो।
H2ONaCl
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.