डिफ़ॉल्ट रूप से सक्षम फ़ायरवॉल के बिना डेबियन क्यों आता है?

मैं केडीई के साथ डेबियन 9.1 का उपयोग कर रहा हूं और मैं सोच रहा हूं कि यह डिफ़ॉल्ट रूप से स्थापित और सक्षम फ़ायरवॉल के बिना क्यों आता है? डीवीडी 1 के पैकेज में भी gufw नहीं है।

क्या लोगों को फ़ायरवॉल मिलने से पहले इंटरनेट से जुड़ने की उम्मीद है ? क्यों? यहां तक ​​कि अगर सभी पोर्ट डिफ़ॉल्ट रूप से विभिन्न स्थापित, बंद या अपडेट किए गए प्रोग्राम हैं, तो उन्हें (या नहीं?) खोल सकते हैं और मेरी इच्छा है कि मैं अपनी अनुमति के बिना अपनी मशीन को छोड़कर एक भी बिट न करूं।

संपादित करें: इसलिए मुझे अभी iptables के बारे में पता चला है लेकिन मुझे लगता है कि प्रश्न अभी भी iptables के रूप में बना हुआ है क्योंकि फ़ायरवॉल अधिकांश के लिए अज्ञात है, इसके डिफ़ॉल्ट नियम, इसकी पहुंच और उपयोग में आसानी और तथ्य यह है कि डिफ़ॉल्ट रूप से कोई भी iptable- नियम रीसेट है पुनः आरंभ करें ।

सबसे पहले, डेबियन आपको लगता है कि आप जानते हैं कि आप क्या कर रहे हैं, और आपके लिए विकल्प बनाने से बचने की कोशिश करता है।

डेबियन की डिफ़ॉल्ट स्थापना काफी छोटी है और सुरक्षित है - यह किसी भी सेवा को शुरू नहीं करता है। और यहां तक ​​कि मानक वैकल्पिक एक्स्ट्रा कलाकार (जैसे, वेब सर्वर, ssh) जो एक इंस्टॉल में जोड़े जाते हैं, आमतौर पर काफी रूढ़िवादी और सुरक्षित होते हैं।

तो, इस मामले में एक फ़ायरवॉल की आवश्यकता नहीं है। डेबियन (या इसके डेवलपर्स) यह मानते हैं कि यदि आप अतिरिक्त सेवाएं शुरू करते हैं, तो आप जानेंगे कि उन्हें कैसे संरक्षित किया जाए, और यदि आवश्यक हो तो फ़ायरवॉल जोड़ सकते हैं।

इससे भी महत्वपूर्ण बात, शायद, डेबियन आपके लिए फायरवॉल सॉफ्टवेयर का उपयोग करने के बारे में चुनाव करने से बचती है। उपलब्ध विकल्पों में से कई हैं - इसे किसका उपयोग करना चाहिए? और यहां तक ​​कि एक बुनियादी फ़ायरवॉल सेटिंग के बारे में, किस सेटिंग को चुना जाना चाहिए? यह कहते हुए कि, iptablesप्राथमिकता महत्वपूर्ण है, इसलिए यह डिफ़ॉल्ट रूप से स्थापित है। लेकिन निश्चित रूप से, डेबियन को पता नहीं है कि आप इसे कैसे कॉन्फ़िगर करना चाहते हैं, इसलिए यह आपके लिए इसे कॉन्फ़िगर नहीं करता है। और आप वैसे भी iptablesउत्तराधिकारी का उपयोग करना पसंद कर सकते हैं nftables।

यह भी ध्यान दें, कि फ़ायरवॉलिंग कार्यक्षमता पहले से ही एक निश्चित सीमा तक लिनक्स कर्नेल में निर्मित है; जैसे nftablesऔर netfilter। डेबियन और अन्य लिनक्स वितरण iptablesउस कार्यक्षमता को प्रबंधित करने के लिए उपयोगकर्ता अंतरिक्ष उपकरण प्रदान करते हैं । लेकिन आप उनके साथ क्या करते हैं यह आपके ऊपर है।

ध्यान दें कि इन संस्थाओं को लगातार नाम नहीं दिया गया है। विकिपीडिया nftablesपृष्ठ उद्धृत करने के लिए :

nftables को यूजर-स्पेस यूटिलिटी nft के माध्यम से कॉन्फ़िगर किया गया है जबकि netfilter को यूटिलिटीज iptables, ip6tables, arptables और ebtables फ्रेमवर्क के माध्यम से कॉन्फ़िगर किया गया है।

सबसे पहले, मैं दोहराना चाहता हूं जो पहले ही कहा जा चुका है: डेबियन कई अन्य मुख्यधारा के वितरणों की तुलना में उपयोगकर्ताओं के एक अलग समूह को पूरा करता है, विशेष रूप से उबंटू। डेबियन उन लोगों की ओर बढ़ रहा है जो जानते हैं कि सिस्टम कैसे काम करता है, और जो समय-समय पर सिस्टम के उच्च नियंत्रण के बदले में टिंकर से डरते नहीं हैं। उदाहरण के लिए, उबंटू, एक बहुत ही अलग लक्षित दर्शकों को पूरा करता है: वे लोग जो केवल काम करना चाहते हैं और वास्तव में परवाह नहीं करते हैं, जो हुड के नीचे चल रहा है, और निश्चित रूप से चीजों को बनाने के लिए सिस्टम कॉन्फ़िगरेशन को संशोधित करना नहीं चाहते हैं। काम। यह परिणामी प्रणाली के कई पहलुओं को प्रभावित करता है। और कुछ हद तक, यह लिनक्स की एक सुंदरता है; समान आधार प्रणाली का उपयोग वातावरण बनाने के लिए किया जा सकता है जो विभिन्न आवश्यकताओं को पूरा करता है। याद रखें कि उबंटू एक डेबियन व्युत्पन्न है,

डीवीडी 1 के पैकेज में भी gufw नहीं है।

पहली डिस्क में सबसे लोकप्रिय सॉफ्टवेयर होता है, जैसा कि इंस्टॉल किए गए सिस्टम से गुमनाम आँकड़ों को चुनने में निर्धारित किया जाता है। तथ्य यह है कि gufw पहली डिस्क पर नहीं है बस इंगित करता है कि यह डेबियन में एक अत्यधिक लोकप्रिय (स्थापित आधार के संदर्भ में) पैकेज नहीं है। यदि आप विकल्प के आधार पर नेटवर्किंग करना और चलाना पसंद करते हैं, तो एक बार आधार प्रणाली स्थापित करना भी आसान है।

क्या लोगों को फ़ायरवॉल मिलने से पहले इंटरनेट से जुड़ने की उम्मीद है? क्यों?

खैर, एक बात के लिए, मेरा मानना ​​है कि डेबियन एक नेटवर्क पर स्थापित करने की अनुमति देता है। (न केवल सामान्य इंस्टॉलेशन के दौरान नेटवर्क से पैकेज डाउनलोड करना, बल्कि शाब्दिक रूप से इंस्टॉल किए जाने की तुलना में एक अलग होस्ट से इंस्टॉलेशन शुरू करना ।) एक प्रतिबंधात्मक नियम सेट के साथ डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया फ़ायरवॉल उस के साथ हस्तक्षेप करने का जोखिम उठाएगा। उन इंस्टॉलेशन के साथ ही जिन्हें इंस्टॉलेशन प्रक्रिया के दौरान आउटगोइंग नेटवर्क एक्सेस की आवश्यकता होती है, केवल उन पैकेजों के सबसे हाल के संस्करणों को डाउनलोड करने के अलावा जो इंस्टॉल किए जा रहे हैं।

दूसरे के लिए, वह है जिसका मैंने ऊपर उल्लेख किया है; एक नियम के रूप में, डेबियन को उम्मीद है कि आप जानते हैं कि आप क्या कर रहे हैं। यदि आप एक फ़ायरवॉल चाहते हैं, तो आपसे अपेक्षा की जाती है कि आप इसे स्वयं कॉन्फ़िगर कर सकते हैं, और यह उम्मीद है कि आप डेबियन अनुरक्षकों से बेहतर जानते हैं कि आपकी विशेष ज़रूरतें क्या हैं। डेबियन उस संबंध में OpenBSD की तरह एक सा है, न कि चरम के रूप में। (जब आधार प्रणाली को थोड़ा अधिक सुरक्षित बनाने और इसे थोड़ा अधिक उपयोग करने योग्य बनाने के बीच विकल्प दिया गया, तो OpenBSD अनुचर लगभग हमेशा सुरक्षा के लिए जाते हैं। यह उनके आधार प्रणाली सुरक्षा भेद्यता आँकड़ों में दिखाता है, लेकिन प्रयोज्यता पर भारी प्रभाव डालता है।

और निश्चित रूप से, तकनीकीता: फ़ायरवॉल समर्थन कर रहा है आधार प्रणाली में शामिल। यह सिर्फ इतना है कि यह कर्नेल द्वारा डिफ़ॉल्ट रूप से सेट किए गए सभी-अनुमेय नियम के लिए सेट है, और एक बेस डेबियन इंस्टॉलेशन इसे बदलने के लिए कुछ भी नहीं करता है। आप ट्रैफ़िक प्रवाह को प्रतिबंधित करने के लिए कुछ कमांड चला सकते हैं।

यहां तक ​​कि अगर सभी पोर्ट डिफ़ॉल्ट रूप से विभिन्न स्थापित, बंद किए गए या अपडेट किए गए प्रोग्राम हैं, तो उन्हें (या नहीं?) खोल सकते हैं और मेरी इच्छा है कि मैं अपनी अनुमति के बिना अपनी मशीन को छोड़कर एक भी बिट न करूं।

सबसे पहले, फ़ायरवॉल का उपयोग आमतौर पर प्रतिबंधित करने के लिए किया जाता है आने वाले यातायात । यदि आप आउटगोइंग को प्रतिबंधित करना चाहते हैंयातायात, यह मछली का एक अलग केतली है; निश्चित रूप से संभव है, लेकिन आपकी विशिष्ट स्थिति के लिए बहुत अधिक सिलाई की आवश्यकता है। एक डिफ़ॉल्ट-ब्लॉक आउटगोइंग ट्रैफ़िक फ़ायरवॉल जो आमतौर पर उपयोग किए जाने वाले पोर्ट को छोड़ देता है (जहाँ आमतौर पर उपयोग किए जाने वाले पोर्ट ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 और हो सकते हैं) दूसरों का एक बंडल), और स्थापित सत्रों से संबंधित ट्रैफ़िक की अनुमति देना, डिफ़ॉल्ट-अनुमति वाले फ़ायरवॉल की तुलना में अधिक सुरक्षित नहीं होगा। यह सुनिश्चित करना बेहतर है कि बेस सिस्टम द्वारा स्थापित पैकेजों का सेट अच्छी तरह से समझे जाने वाले, कॉन्फ़िगर किए गए पैकेजों के रूप में सुरक्षित है, और व्यवस्थापक को उचित फ़ायरवॉल नियम सेट करने की अनुमति देता है यदि उन्हें इससे अधिक सुरक्षा की आवश्यकता है।

दूसरा, एक बंद बंदरगाह (एक वह टीसीपी आरएसटी / एसीके के साथ एक टीसीपी SYN का जवाब देता है), आमतौर पर "कनेक्शन मना कर दिया" के रूप में रिपोर्ट किया गया - यह आमतौर पर टीसीपी पोर्ट की डिफ़ॉल्ट स्थिति है जो लाइव सिस्टम पर टीसीपी / आईपी का समर्थन करता है या तो इसके विपरीत कॉन्फ़िगरेशन की अनुपस्थिति में, या इस पर सॉफ्टवेयर सुन रहा है) एक महत्वपूर्ण भेद्यता नहीं है, यहां तक ​​कि एक सिस्टम पर एक अलग फ़ायरवॉल के माध्यम से जुड़ा नहीं है। सभी बंद कॉन्फ़िगरेशन में एकमात्र महत्वपूर्ण भेद्यता होगी यदि कर्नेल के टीसीपी / आईपी स्टैक कार्यान्वयन के भीतर भेद्यता है। लेकिन पैकेट पहले से ही कर्नेल में नेटफिल्टर (iptables) कोड से गुजर रहे हैं, और एक बग वहाँ भी दुबक सकता है। दूसरे छोर पर एक "कनेक्शन से इनकार" में क्या परिणाम के साथ जवाब देने के लिए तर्क काफी सरल है कि मेरे पास एक कठिन समय है यह विश्वास करना कि यह बग का एक प्रमुख स्रोत होगा, अकेले सुरक्षा से संबंधित बगों को दें;

तीसरा, पैकेज आमतौर पर रूट के रूप में स्थापित किए जाते हैं, जिससे आप (पैकेज) वैसे भी अपने ज्ञान के बिना iptables नियमों को बदल सकते हैं। इसलिए यह ऐसा नहीं है कि आप मानव व्यवस्थापक को होस्ट फ़ायरवॉल के माध्यम से ट्रैफ़िक की अनुमति देने के लिए कुछ भी हासिल करने की आवश्यकता नहीं है। यदि आप उस तरह का अलगाव चाहते हैं, तो आपके पास पहले से सुरक्षा कर रहे मेजबान से अलग एक फ़ायरवॉल होना चाहिए।

इसलिए मुझे अभी iptables के बारे में पता चला है लेकिन मुझे लगता है कि प्रश्न अभी भी iptables के रूप में बना हुआ है क्योंकि फ़ायरवॉल अधिकांश के लिए अज्ञात है, इसके डिफ़ॉल्ट नियम और उपयोग की सुलभता और आसानी।

मैं वास्तव में कहूंगा कि विपरीत सच है; फ़ायरवॉल के रूप में iptables सर्वविदित है । यह वस्तुतः हर उस लिनक्स सिस्टम पर भी उपलब्ध है, जिसके पार आने की संभावना है। (इसने विकास के दौरान ipchains को बदल दिया जिसने वर्ष 2000 या उसके आसपास लिनक्स कर्नेल संस्करण 2.4 को जन्म दिया। यदि मैं चीजों को सही ढंग से याद करता हूं, तो फ़ायरवॉलिंग के सामान्य उपयोग के मामले में दोनों के बीच सबसे बड़ा उपयोगकर्ता-दृश्यमान परिवर्तन यह था कि अंतर्निहित नियम चेन को अब अपरकेस में नाम दिया गया, जैसे INPUT, लोअरकेस के बजाय, जैसे input।)

यदि कुछ भी, iptables फ़ायरवॉलिंग के अलावा अन्य चीजें कर सकते हैं जो व्यापक रूप से उपयोग या समझ में नहीं आती हैं। उदाहरण के लिए, इसका उपयोग आईपी पैकेट को फिर से लिखने के लिए किया जा सकता है फ़ायरवॉल के माध्यम से पारित होने से पहले ।

अगर मैं वास्तव में डेबियन डेवलपर्स और अनुरक्षकों की एक पीढ़ी के प्रमुख के बिना अनुमान लगा रहा था, तो मेरा अनुमान यह होगा:

डेबियन को मुख्य रूप से एक सर्वर ऑपरेटिंग सिस्टम के रूप में डिज़ाइन किया गया है, दोनों किनारों और परीक्षण शाखाओं का अपने प्राथमिक उद्देश्य के रूप में अगले स्थिर शाखा का निर्माण है, और, फ्रीज के समय, वे जमे हुए हैं, और नया स्थिर परीक्षण से लिया गया है, जैसे कि बस स्ट्रेच के साथ हुआ।

इसे देखते हुए, मैं आगे भी मानूंगा, मुझे इसकी पुष्टि एक sysadmin दोस्त के साथ करनी होगी, कि datacenter फ़ायरवॉल बाहरी डिवाइस हैं, बहुत अधिक सुरक्षा (कम से कम एक उम्मीद यही है)), सर्वरों के लिए, और मुख्य को संभालना फ़ायरवॉलिंग कार्य। राउटर के साथ एक छोटे से लैन पर भी, यह मामला है, राउटर फ़ायरवॉल है, मैं अपने किसी भी सिस्टम पर किसी भी स्थानीय फ़ायरवॉल नियमों का उपयोग नहीं करता, मैं क्यों करूंगा?

मुझे लगता है कि शायद लोग डेबियन से जुड़े अपने स्थानीय कार्यालय या डेबिन से जुड़े वास्तविक काम के साथ एक कार्यालय या घर में सिंगल फाइल सर्वर को स्थापित करते हैं, मेरा मानना ​​है कि यह मुख्य रूप से उत्पादन उपयोग पर केंद्रित है।

मुझे इस बारे में यकीन नहीं है, लेकिन डेबियन के एक दशक से अधिक के उपयोग के बाद, यह मेरी भावना है, एक डेवलपर के रूप में, और डेबियन के समर्थक कई मायनों में।

मैं इस पर जांच कर सकता हूं, क्योंकि यह वास्तव में एक अच्छा सवाल है, लेकिन मेरा अनुमान है कि वास्तविक नेटवर्क नेटवर्क के प्रवेश बिंदु पर फ़ायरवॉल किए जाते हैं, प्रति मशीन के आधार पर नहीं, या कम से कम, यह मूल विचार है जो शायद ड्राइव करेगा डेबियन। इसके अलावा, निश्चित रूप से, कि अगर ऐसा नहीं होता, तो sysadmin, प्रति मशीन के आधार पर फ़ायरवॉल नियम स्थापित कर रहा होगा, Chef जैसी किसी चीज़ का उपयोग करके, किसी भी डिफ़ॉल्ट इंस्टॉल पर निर्भर न रहकर, जो कुछ ऐसा नहीं होगा जो आप चाहते हैं विश्वास के लिए, उदाहरण के लिए, डिफ़ॉल्ट डेबियन ssh कॉन्फ़िगरेशन वे नहीं हैं जो मैं व्यक्तिगत रूप से डिफ़ॉल्ट के रूप में उपयोग करूंगा, उदाहरण के लिए, वे डिफ़ॉल्ट रूप से रूट लॉगिन की अनुमति देते हैं, और यह सही करने के लिए sysadmin पर निर्भर है कि यदि वे पाते हैं कि एक बुरा अभ्यास है ।

यही है, मुझे लगता है कि री डेबियन है कि कुछ अन्य distros में अनुपस्थित हो सकता है लगता है कि क्षमता की एक धारणा है। जैसा कि, आप वह बदलना चाहेंगे जो आप बदलना चाहते हैं, चित्र बनाएँ, उन्हें साइट प्रबंधन सॉफ़्टवेयर के साथ प्रबंधित करें, और इसी तरह। वे सिर्फ कुछ संभावनाएं हैं। उदाहरण के लिए, आप एक नया सर्वर बनाने के लिए डीवीडी का उपयोग कभी नहीं करेंगे, कम से कम उत्पादन में कभी नहीं, आप शायद न्यूनतम नेटइंस्टैप जैसी किसी चीज का उपयोग करेंगे, यही मैं हमेशा उपयोग करता हूं, उदाहरण के लिए (मैं एक भी छोटी छवि का उपयोग करता था , लेकिन उन्होंने इसे बंद कर दिया)। यदि आप उस बेस इंस्‍टॉल में शामिल हैं पर एक नजर डालते हैं, तो आपको एक समझदारी मिलती है कि डेबियन क्‍या महत्‍वपूर्ण समझता है और क्‍या नहीं करता है। उदाहरण के लिए ssh है। Xorg नहीं है, सांबा नहीं है।

कोई यह भी पूछ सकता है कि वे गनोम में एक डिफ़ॉल्ट डेस्कटॉप के रूप में क्यों गए थे, लेकिन ये सिर्फ वे निर्णय हैं, और जो उनके उपयोगकर्ता मूल रूप से अनदेखा करते हैं क्योंकि आप सिस्टम को जिस तरह से चाहते हैं (जैसे कि एक्सफ़स डेस्कटॉप मिल सकता है, मैं डॉन Xdebian को स्थापित न करें (जैसा कि, Xubuntu), मैं अभी डेबियन कोर, Xorg और Xfce स्थापित करता हूं, और मैं चला जाता हूं)। इसी तरह से, अगर मुझे फायरवॉलिंग चाहिए थी, तो मैं इसे कॉन्फ़िगर करूँगा, इन्स और आउट आदि सीखूंगा, लेकिन मैं व्यक्तिगत रूप से डेबियन से उस सक्षम के साथ जहाज की उम्मीद नहीं करूंगा, यह वास्तव में मेरे लिए कष्टप्रद होगा। । हो सकता है कि इस पर मेरे विचार एक प्रकार की सर्वसम्मति को दर्शाते हों जो आपको आंतरिक रूप से डेबियन में भी मिल सकते हैं।

इसके अलावा, वहाँ वास्तव में डेबियन के रूप में ऐसी कोई चीज नहीं है, वहाँ विभिन्न स्थापित चित्र, netinstall, पूर्ण स्थापित हैं, ये सभी नंगे पांवों से भिन्न होते हैं, केवल एक संपूर्ण उपयोगकर्ता डेस्कटॉप के लिए क्ली। उत्पादन उपयोगकर्ता शायद उदाहरण के लिए छवियां बनाएंगे, जो उपयोगकर्ता द्वारा इच्छित तरीके से कॉन्फ़िगर किया जाएगा, मुझे पता है कि क्या मैं डेबियन सर्वर स्थापित कर रहा हूं, मैं कच्चे मूल के साथ शुरू करूंगा, और इसे तब तक बनाऊंगा जब तक कि यह वही नहीं हो जाता जो मैं चाहता था।

फिर आपके पास वेब्सवर्कर्स की दुनिया है, जो मोम की एक पूरी तरह से अलग गेंद है, जिनके पास बहुत अलग सुरक्षा प्रश्न हैं, और, जैसा कि मेरा एक पुराना दोस्त हैकर भूमिगत से जुड़ा है, ने कहा, कोई है जो बिना सुरक्षित तरीके से जाने बिना वेबसर्वर चलाता है। इसे कोई ऐसा व्यक्ति भी कहा जा सकता है जिसका सर्वर पटाखे का मालिक है।

सामान्य विचार यह है, आपको जटिल सेटअपों को छोड़कर अधिकांश प्रणालियों पर फ़ायरवॉल की आवश्यकता नहीं होनी चाहिए।

SSH चल रहा है, जब आप एक सर्वर स्थापित करते हैं। और कुछ नहीं सुनना चाहिए और आप शायद ssh से कनेक्ट करने में सक्षम होना चाहते हैं।

जब आप एक वेबसर्वर स्थापित करते हैं, तो आप वेबसर्वर को उपलब्ध होने की उम्मीद करेंगे, क्या आप नहीं करेंगे? और बुनियादी ट्यूनिंग के लिए, आप वेबसर्वर को, केवल 0.02.0 (सभी ips) के बजाय, निजी लैन इंटरफेस में, उदाहरण के लिए, 192.168.172.42 (आपका स्थानीय LAN IP) को बाँध सकते हैं। आपको अभी भी फ़ायरवॉल की आवश्यकता नहीं है।

बेशक, सब कुछ एक पोर्ट> 1024 खोल सकता है, लेकिन जब आप अविश्वासी सॉफ़्टवेयर (या अविश्वसनीय उपयोगकर्ता) रख रहे हों, तो आपको फ़ायरवॉल स्थापित करने से अधिक काम करना चाहिए। क्षण में आपको किसी व्यक्ति या किसी व्यक्ति को अविश्वास करने की आवश्यकता होती है, न कि आपको एक सुरक्षा अवधारणा की आवश्यकता होती है। तो यह एक अच्छी बात है जब आपको अपने फ़ायरवॉल समाधान के बारे में सक्रिय रूप से सोचने की आवश्यकता होती है।

अब बेशक अधिक जटिल परिदृश्य हैं। लेकिन जब आपके पास वास्तव में इनमें से एक होता है, तो आपको वास्तव में अपने आप को फ़ायरवॉल को ठीक करने की आवश्यकता होती है और ufw की तरह एक आधा स्वचालित सिस्टम नहीं करने देता। या आप ufw का उपयोग भी कर सकते हैं, लेकिन तब आपने इसे तय किया था और ऑपरेशन सिस्टम के डिफ़ॉल्ट नहीं थे।

क्या लोगों को पहले इंटरनेट से जुड़ने की उम्मीद है

हाँ

एक फ़ायरवॉल हो रही है?

भले ही सभी पोर्ट डिफ़ॉल्ट रूप से बंद हों

क्षमा करें, वे नहीं हैं। rpcbindडिफ़ॉल्ट रूप से नेटवर्क पर स्थापित, सक्षम और सुनने वाला लगता है।

संपादित करें: मेरा मानना ​​है कि यह डेबियन 9 (स्ट्रेच) के लिए नवीनतम इंस्टॉलर में तय किया गया है । लेकिन डेबियन के पिछले संस्करणों के साथ, मैं एक सार्वजनिक वाईफाई नेटवर्क पर उन्हें स्थापित करने (और फिर अपडेट करने) को बहुत सुरक्षित महसूस नहीं करूंगा।

क्यों?

मुझे संदेह है कि लोगों की धारणा है

1. स्थानीय नेटवर्क आपकी नेटवर्क सेवाओं पर हमला नहीं करेगा
2. आपके स्थानीय नेटवर्क और व्यापक इंटरनेट के बीच पहले से ही एक फ़ायरवॉल है।

हालांकि उपभोक्ता राउटर्स द्वारा उत्तरार्द्ध सामान्य अभ्यास है, मुझे विश्वास नहीं है कि इसकी गारंटी है। अप्रत्याशित रूप से पूर्व धारणा का दस्तावेजीकरण नहीं किया गया है; न ही यह एक समझदार है।

मेरी राय में, rpcbind वाला मुद्दा अधिक सामान्य बिंदु का एक उदाहरण है। लोग डेबियन को बढ़ावा देने की कोशिश कर सकते हैं, और इसमें कई शांत विशेषताएं हैं। लेकिन डेबियन उबंटू से पीछे है कि यह कितना पॉलिश और अनुकूल है, या यकीनन यहां तक ​​कि उन लोगों के लिए भी कितना विश्वसनीय है जो इस तरह के विवरणों को सीखना चाहते हैं ।

डाउनलोड किए गए प्रोग्राम उन्हें खोल सकते हैं (या नहीं?) और मेरी इच्छा के बिना मैं अपनी मशीन को छोड़कर एक भी बिट नहीं चाहता।

रैंडम सॉफ्टवेयर डाउनलोड करने और चलाने से पहले आप निश्चित रूप से एक फ़ायरवॉल स्थापित करने के लिए स्वतंत्र हैं जो आपको यकीन नहीं है कि यह क्या करता है :-p।

मैं भाग में सहमत हूं, यह लिनक्स स्थापित करने के लिए खतरनाक है और किसी भी ज्ञात सुरक्षा परत के लिए स्थापित कोई इंटरफ़ेस नहीं मिला है। व्यक्तिगत रूप से मुझे यह समझना उपयोगी लगा कि विंडोज फ़ायरवॉल को कैसे डिफ़ॉल्ट किया जाता है। यह चाहता है कि आप एक होम नेटवर्क पर "विश्वास" करने में सक्षम हों, और अधिक हाल के संस्करणों में एक्सप्रेस इंस्टाल यह पूछने पर भी छोड़ देगा कि क्या आप वर्तमान नेटवर्क पर भरोसा करते हैं। मुख्य लक्ष्य घरेलू नेटवर्क, असुरक्षित कनेक्शन जैसे सीधे जुड़े मॉडेम और सार्वजनिक वाईफाई नेटवर्क के बीच अंतर करना प्रतीत होता है। ध्यान दें कि यूएफडब्ल्यू वैसे भी इसका समर्थन नहीं करता है।

Fedora लिनक्स अकेले ही ऐसा कुछ प्रदान करने की कोशिश करता है, जिसमें firewalld। (पैकेज डेबियन में भी उपलब्ध प्रतीत होते हैं ...)। इसके लिए GUI "मैत्रीपूर्ण" नहीं है, मान लीजिए कि GUFW है।

यूनिक्स के पारंपरिक दर्शन हमेशा KISS बनाने और चलाने के लिए किया गया / सेवाओं की न्यूनतम उजागर किया है।

कई सेवाओं को भी स्पष्ट रूप से स्थापित किया जाना है, और यहां तक ​​कि कुछ लोकलहोस्ट के लिए बाध्य हैं, और आपको उन्हें अपने स्थानीय नेटवर्क / इंटरनेट (MySQL, MongoDB, snmpd, ntpd, xorg ...) में दिखाई देने के लिए सक्षम करना होगा। यह एक अधिक समझदार दृष्टिकोण है फिर डिफ़ॉल्ट रूप से फ़ायरवॉल को सक्षम करना है।

आपको केवल एक निश्चित बिंदु से एक फ़ायरवॉल लाने की जटिलता की आवश्यकता है, और यह ज़रूरत एक कॉर्पोरेट राउटर या होम नैटिंग डिवाइस के पीछे कम हो सकती है, इसलिए यह उपयोगकर्ता को निर्णय लेने में समझदार लगता है। एक फ़ायरवॉल, जैसे कई अन्य सुरक्षा सॉफ़्टवेयर भी सुरक्षा की झूठी सनसनी प्रदान कर सकते हैं यदि ठीक से प्रबंधित नहीं किया जाता है।

डेबियन का अभिविन्यास हमेशा से अधिक तकनीकी रूप से उन्मुख लोक रहा है जो जानता है कि iptables क्या है; वहाँ भी कई अच्छी तरह से पता रैपर, पाठ या चित्रमय मोड इंटरफेस है कि आसानी से स्थापित किया जा सकता है।

उसके शीर्ष पर, चाहे वह बहुत अधिक या बहुत कम सॉफ़्टवेयर स्थापित हो, जो एक राय का विषय हो। एक लंबे समय के लिए, यह बहुत सॉफ्टवेयर और डिफ़ॉल्ट रूप से स्थापित सेवाओं के साथ आता है, विशेष रूप से सर्वर मोड में।