Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: radondca 02 Prosince 2008, 08:02:56
-
Zdravim vsetkych. Asi budem vyzerat trosku blbo, ale akosi o firewall nic neniem a tak sa chcem spytat ako to je s firewalle v 8.10, nastavuje sa nieco ci sa spusta firewall automaticky, ci vlastne ako to je ?
Moc dakujem za vysvetlenie
-
http://wiki.ubuntu.cz/Firewall
-
dakujem za link, ten som uz precital predtym, ale stale som z toho uplne mimo, stale neviem ci uz je nieco zapnute, ci si to treba este len zapat a asi treba to nejak nastavit, ide o to v ktorom tom prostredi a vlastne ako?????????????????????????/
Z tohoto som uplne blby:((((((
dik rado
-
Aha, asi ten návod trochu poupravím :)
Tedy ve výchozí instalaci je firewall zapnut a funguje silně restriktivně (zabezpečení je na dostatečné úrovni) a něco dělat musíte jen ve chvíli, kdy chcete něco měnit nebo nastavovat.
-
moc dakujem za vysvetlenie, uz snad mi to je teda jasne, cize nemusim nic menit v tejto chvili menit a nastavovat.
-
Tedy ve výchozí instalaci je firewall zapnut a funguje silně restriktivně (zabezpečení je na dostatečné úrovni) a něco dělat musíte jen ve chvíli, kdy chcete něco měnit nebo nastavovat.
Ja se domnival, ze iptables neni nastaveno, dokonce me o tom i presvedcil vypis iptables -L z ciste instalace II. Takze i kdyz tam nemam nastavena zadna pravidla tak se mi nejaky provoz filtruje?
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-
Aha, asi ten návod trochu poupravím :)
Tedy ve výchozí instalaci je firewall zapnut a funguje silně restriktivně (zabezpečení je na dostatečné úrovni) a něco dělat musíte jen ve chvíli, kdy chcete něco měnit nebo nastavovat.
V Ubuntu 8.04.1 po instalaci příkaz sudo ufw status vypisuje, že ufw není zapnutý a je nutné zadat příkaz sudo ufw enable Jedná se pouze o status ufw nebo není funkční firewall (iptables), prostě nedochází k žádnému filtrování směrem dovnitř?
-
Já používám guarddog
-
no a teraz uz tomu vobec nerozumiem, teda uz zas, lebo vlastne ako to teda je?
je nejaky firewall alebo nie?
-
no a teraz uz tomu vobec nerozumiem, teda uz zas, lebo vlastne ako to teda je?
je nejaky firewall alebo nie?
No, já po instalaci zadám příkaz sudo ufw enable a tím spustím ufw, což je jednoduchý konfigurační nástroj pro iptables.
Popis je na wiki http://wiki.ubuntu.cz/UFW (http://wiki.ubuntu.cz/UFW). Existuje i grafická nádstavba GUFW http://wiki.ubuntu.cz/GUFW (http://wiki.ubuntu.cz/GUFW). Zadávání a mazání pravidel je jednoduché a zatím funguje spolehlivě...
Jen mám trošku podezření, jestli uvedený demon ufw trošku při startu systému nebojuje s prográmkem knockd pro port knocking, protože ten se mi nedaří automaticky spustit po startu.
-
no a teraz uz tomu vobec nerozumiem, teda uz zas, lebo vlastne ako to teda je?
je nejaky firewall alebo nie?
Do teď žiju v tom, že iptables (to je vlastně ten základní firewall) je po instalaci neaktivní. Musí se tedy nějak aktivovat.
Pokud to tak je, tak stačí ho nějak aktivovat - tedy viz. příkazy výše:
sudo ufw enable
nebo
já používám jednoduchý firestarter - nainstaluje se, spustí se, projde se průvdoce a to je vše. To samé umožňuje grafická nadstavba ufw Gufw.
-
To by mě teda taky zajímalo, jak to s tím firewallem opravdu je. Již od dob EE žiju v přesvědčení, že je po instalaci aktivní s velmi konzervativní politikou. (Pamatuju se, jak jsem se trápil s povolením portů pro ET či Americas Army).
-
Snad to nevyzní špatně, ale to tápání v tomto threadu mě částečně potěšilo. Když jsem se totiž před nějakou dobou zajímal jak to s fw je a že mi nepřijde ideální, když je řečeno něco jako "fw je již v základu nastaven, tak se o to nestarejte" a že u Win aspoň vím, že jsou děravý, tak si tam dám třeba Kerio a nutí mě to si ho nastavit, tak jsem byl poslán do ....., ať si táhnu zpět k Windows.
No a teď koukám, že i lidé, u kterých bych minimálně podle počtu příspěvků očekával že budou vědět, vlastně taky tápou. Jenže na rozdíl od těch co mě tenkrát poslali do ..... to aspoň na rovinu řeknou, což je sympatické ;)
K věci: jak jsem to pochopil já, iptables (fw v linuxu) beží vždy, nic se zapínat nemusí a Ubuntu je v defaultu nastaveno tak, že odmítá veškerá příchozí spojení a povoluje veškerá odchozí. Jenže jsem si to nikdy neověřil :( Potom co napsal truhlik, že po instalaci nejsou žádná pravidla (teď jsem koukal, taky v tom výpisu nic nemám), tak jsem přišel o jednu z "jistot", kterou jsem v souvislosti s bezpečností měl. ufw, gufw, firestarter atd jsou jen utilitky, které umožňují iptables pohodlněji nastavovat, tzn. to že je pouštíte nemá žádný vliv, pokud jimi žádná pravidla nevytvoříte (myšleno obecně, firestarter podle popisu má nějakého průvodce, takže jeho proklikáním vlastně ty pravidla vytvořím).
Opravdu by to chtělo, aby někdo znalý problematiky napsal jednoznačně jak to je s tím defaultním silně restriktivním fw, když iptables -L jak psal truhlik neukáže nic.
-
no ako vidim, a trocha ma to potesilo:), tak vlastne niesom uplne sam co je z toho uplne mimo a fakt nechapem co mam vlastne teraz spravit a hlavne co teda funguje a co nie. Keby teda fakt niekto znaly povedal nejake mudre slova a popripade napisal nejaky fakt dobry navod co spravit, pretoze tu bolo spomenutych viac aplikacii, ale to mi nepomohlo, lebo ja som vedcine tych nastaveni vobec nerozumel, cize aj ked y som cosi skusal, aj tak neviem co nastavit, lebo mi to vobec nic nehovori. Takze keby mal niekto torsku casu a povedal aj co kde nastavit, lebo ja neviem :'(, moznosti je dost, ale kedze ja fakt neviem tak su mi moznosti na nic.
Takze moc dakujem vopred niekomu, kto to snad vysvetli aj pre mna blbeho
-
Játo samozřejmě také nevím, dám však na tvrzení p.Trefného, že iptables je nastaven defaultně při instalaci. Abych si byl 2x jist, nainstaloval jsem guarddog i přesto. V něm jsem povolil procedury, které používám. Mám ale občas problém, že mi guarddog přeruší přístup k netu. To se ale dá lehce napravit, že ho znovu nastavím a zase je vše OK. Tak se zařiď podle svého názoru sám. :)
-
Abych to doplnil, jedu chvíli pod KD4, chvíli pod Gnome, tam asi guarddog nefunguje. Věřím, že na mne nikdo neútočí, co by si také na důchodci vzal.
-
Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.
-
Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.
S tím, že v Ubuntu není nějaký udělátko pro nastavení hned po instalaci si myslím, že je chyba - naprostý souhlas.
Když si vememe např. mandrivu, opensuse, tam v ovládácím centru najdete možnost si nastavit firewall - nemusí se nic doinstalovávat.
-
Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.
No, dnes budu nově instalovat jeden notebook, tak pokud nezapomenu, zkusím z druhého pc proskenovat porty zda jsou open, closed nebo stealth a potom znovu po aktivaci ufw. Je pravda, že jsem se dočetl, že po instalací není aktivní právě ufw, ale o tom zda je v tu chvíli aktivní blokování přímo na základě iptables tam není nic.
No, o fw ve windows raději pomlčet. Neznám přímo fw ve vistách, ale v XP si dělal tak trošku co chtěl. Každá MS-kamoš aplikace si otevřela příslušný portík sama a člověk v tom měl chaos docela dost. Nastavení toku směrem ven nebylo možné vůbec.
Pravdou je, že věta "Potřebuji firewall? Otázka je to celkem složitá a také by měla být lépe položená, ale jednoduchá odpověď zní - pokud neprovozujete server, tak ne.", je nesmysl.
1. Popírá ji hned následující tvrzení, že ubuntu firewall ihned po instalaci obsahuje a tím je právě iptables
2. Myslím si, že pro notebook, a s ním související připojování na různé neznámé bezdrátové sítě, je firewall docela potřebný.
Dále věta "Ve výchozím nastavení je Iptables nastaveno velmi konzervativně a zakazuje veškerý příchozí přenos - váš počítač je tedy dostatečně chráněn a dodatečná nastavení nejspíš nebudete potřebovat." zase, pokud je pravdivá, řeší celou tuto diskuzi. Otázkou je, jak při případné editaci tuto provedeme. Zásah přímo do iptables (což asi ne každý dá) a nebo pomocí některého s uvedených prográmků...
-
Já s vámi souhlasím, myslím si jen, že mne snad guarddog resp. iptables chrání. Snad ano.
-
Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.
S tím, že v Ubuntu není nějaký udělátko pro nastavení hned po instalaci si myslím, že je chyba - naprostý souhlas.
Když si vememe např. mandrivu, opensuse, tam v ovládácím centru najdete možnost si nastavit firewall - nemusí se nic doinstalovávat.
ufw je tam hned :-) Stačí aktivovat... Většinou ten kdo instaluje OS (Lin, Win) je natolik technicky zdatný, že zvládne i nastavení firewalu.
-
Abych to doplnil, jedu chvíli pod KD4, chvíli pod Gnome, tam asi guarddog nefunguje. Věřím, že na mne nikdo neútočí, co by si také na důchodci vzal.
Ani tak vzal, jako spíš přidal. A pak už je jen krůček k tomu mít tu další zombie stroj na rozesílání spamu / k provádění útoků ap.
Neříkám že je to váš případ, ale přístup nemám co ztratit (ve formě dokumentů ap.) => útočník o mě nebude mít zájem tady vůbec neplatí.
-
Abych to doplnil, jedu chvíli pod KD4, chvíli pod Gnome, tam asi guarddog nefunguje. Věřím, že na mne nikdo neútočí, co by si také na důchodci vzal.
Ani tak vzal, jako spíš přidal. A pak už je jen krůček k tomu mít tu další zombie stroj na rozesílání spamu / k provádění útoků ap.
Neříkám že je to váš případ, ale přístup nemám co ztratit (ve formě dokumentů ap.) => útočník o mě nebude mít zájem tady vůbec neplatí.
Instalace potom sudo ufw enable, jednou za týden scan pc (rootkity) a pokud nejsem banka, každej se na lámání do mého počítače vykašle...
btw: žádný systém není nedobytný ...
-
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu.
S tím, že v Ubuntu není nějaký udělátko pro nastavení hned po instalaci si myslím, že je chyba - naprostý souhlas.
Když si vememe např. mandrivu, opensuse, tam v ovládácím centru najdete možnost si nastavit firewall - nemusí se nic doinstalovávat.
ufw je tam hned :-) Stačí aktivovat... Většinou ten kdo instaluje OS (Lin, Win) je natolik technicky zdatný, že zvládne i nastavení firewalu.
Samozřejmě. Tady šlo o GUI udělátko. To ve výchozí instalaci není.
-
Díky, hotovo.
-
Firewall po instalaci aktivovaný NENÍ!!!
Stačí se podívat do výpisu iptables. Tvrzení, že Ubuntu v základu blokuje veškerá spojení dovnitř a naopak povoluje všechna ven, tak trochu postrádá logiku. A jak byste asi komunikovali s okolím, když by fungovala komunikace jen jedním směrem?
Po instalaci iptables neblokují vůbec nic, zkuste si potom spustit příkaz "sudo ufw default deny" a uvidíte, kolik služeb přestane najednou fungovat.
Jinak jako gui je nyní doporučováno Gufw, což je víceméně obdoba Firestarteru.
-
Já teda nevím jak vy, ale to že někdo zvládne nainstalovat ubuntu ještě neznamená, že dokáže dobře nastavit firewall.
Osobně mám zkušenost, že vždy když jsem se snažil nastavit firewall nebo jej nějak upravit pro "lepší" bezpečnost,
tak jsem si to tak rozházel, že mi nešlo ani nic instalovat (teď mluvím o zkušenosti z Windows a firewall).
Nemyslím si, že každý zná a chápe pravidla v sítích, protokoly, porty atd...
:-\
-
Já teda nevím jak vy, ale to že někdo zvládne nainstalovat ubuntu ještě neznamená, že dokáže dobře nastavit firewall.
Osobně mám zkušenost, že vždy když jsem se snažil nastavit firewall nebo jej nějak upravit pro "lepší" bezpečnost,
tak jsem si to tak rozházel, že mi nešlo ani nic instalovat (teď mluvím o zkušenosti z Windows a firewall).
Nemyslím si, že každý zná a chápe pravidla v sítích, protokoly, porty atd...
:-\
Jestli reagujete na mě, tak já jsem jen uváděl věci na pravou míru.
To, že není firewall v Ubuntu defaultně zapnutý má svůj význam. Člověk to totiž na běžném linuxovém desktopu opravdu nutně nepotřebuje. Je třeba si uvědomit, že v drtivé většině případů už za nějakým firewallem jste (firewall vašeho ISP, firewall ve vašem domácím routeru atd.). Tím, že někdo firewall aktivuje a příliš problematice nerozumí, začne se utápět v problémech, kdy mu nefunguje to nebo to. Linux nemá nic jako dynamické nastavování pravidel, kdy člověku vyskočí okno, že daná aplikace chce jít na internet, jestli se jí to má povolit. Pokud nevíte, po kterých portech daná aplikace komunikuje, tak jste nahraný. Proto si stojím za tím, že běžný uživatel, který je alespoň za jedním firewallem a jeho počítač tak nemá vystrčený holý zadek do internetu, firewall v Ubuntu nepotřebuje.
-
Ono to take zlozite nieje. Napriklad firestarter ked nainstalujes prejdes wizardom ktori ta pekne prevedie nastavenim a potom doladujes.
Mas na vyber bud zakazanie vsetkeho(restrictive by default, whitelist traffic) alebo povolenie vsetkeho(restrictive by default, blacklist traffic).
http://gmage.gigacast.sk/images/unregistered/firestarter1_228499b553.png
ak ti nieco nejde, jednoducho zapnes firestarter. Prepnes sa na events a tam sa ti zobrazi aky port sa pokusa ist von.
http://gmage.gigacast.sk/images/unregistered/firestarter2_1bd69c7df3.png
a ty uz len dole v allow service pridas port.
http://gmage.gigacast.sk/images/unregistered/firestarter3_f2bff08078.png
Samozrejme je to trochu skratene a je tam aj viac moznosti nastavenia.
Este doplnim ze som skusal aj ten gufw a tam mi nefungovalo ani to celkove zakazanie a povolenie prevadzky. Nech som nastavol cokolvek vzdy vsetko preslo. Tak neviem ci to bolo nieco medzi stolickou ...
-
no ako vidim rozputal som tu zaujmavu debatu na zaujmavu temu, ale akosi som sa v tom vsetkom utopil, uz zas, a tak vlastne neviem aky je z toho vsetkeho result??????????
A na druhej strane som clovek, ktory zvladol nainstalovat UBUNTU uz dokonca 2x a to mi nepride ziadne umenie, je to len klikanie bez rozmyslania, ale veru nastavit FIREWALL veru neviem, lebo mi akosi nic nehovoria IP adresia veci so sietami spolocne, ja proste poznam tak WWW.nazovstranky.sk a to je tak asi vsetko a snad hovorim aj za inych uzivatelov amaterov, ze tato debata je super a isto mudra, ale co tteda vlastne mam spravit a ako to mam spravit?????? A prosim nejako lahko aj pre mna a ked to pochopim potom aj ja a zvladnem to tak to potom bude aj navod pre vsetkych ostatnych.
Dakujem za pomoc
-
Firewall po instalaci aktivovaný NENÍ!!!
Ok, ono to podle výpisu iptables -L tak vypadalo, ale potom je na wiki uvedený nesmysl, který spoustu lidí zmátl: "Ve výchozím nastavení je Iptables nastaveno velmi konzervativně a zakazuje veškerý příchozí přenos - váš počítač je tedy dostatečně chráněn a dodatečná nastavení nejspíš nebudete potřebovat."
Tvrzení, že Ubuntu v základu blokuje veškerá spojení dovnitř a naopak povoluje všechna ven, tak trochu postrádá logiku. A jak byste asi komunikovali s okolím, když by fungovala komunikace jen jedním směrem?
Pokud to bylo na mě (podobnou větu jsem použil) tak každý asi chápe, že byla myšlena navazovaná spojení, což je uplně něco jiného, než že by nemohly proudit dovnitř žádné pakety (tzn. odpovědi na spojení navázané směrem ven). Jediné co by nešlo, že by nikdo nemohl navázat spojení z jiného počítače na náš, na čemž by nebylo nic divného, protože pokud pominu domácí síť, tak z internetu to stejně většinou nejde díky našim PC schovaným za NATem adsl routeru, takže to není žádná překážka v normálním fungování. Ale naopak, když vezmu NB a připojím se wifinou na nádraží, je to výrazná ochrana (teda byla by, kdyby fw opravdu bylo v základu nastaveno).
Po instalaci iptables neblokují vůbec nic, zkuste si potom spustit příkaz "sudo ufw default deny" a uvidíte, kolik služeb přestane najednou fungovat.
Nezkoušel jsem, ale pokud bloknu jen eth0, nemělo by přestat fungovat prakticky nic. Jediné, co mi maximálně nepůjde, je přístup z vedlejšího počítače na sdílené složky, ale to je snad logické. Na desktopu doma málokdo provozuje veřejně přístupný web/ftp/mysql/.. takže pochybuji, že nějakou změnu po aktivaci fw zaznamená. A kdo provozuje, bude si umět příslušný port povolit, stejně bude muset nejspíše udělat port forward a svém routeru, takže o tom tak jako tak musí něco vědět.
Jinak jako gui je nyní doporučováno Gufw, což je víceméně obdoba Firestarteru.
Tuto aplikaci jsem zkoušel a je možná až moc jednoduchá, člověk v tom skoro nic nenastaví. Firestarter mi přijde podle screenů lepší volba (neměl jsem dnes čas se na to podívat "na živo").
Závěr: chtělo by to opravit wiki a výrazně upozornit, co udělat, aby fw běžel. Je to přesně přístup Microsoftu před X lety, který mu všichni linuxáci vyčítali: "povolíme radši všechno, aby uživatel neremcal, že mu něco nefunguje - bezpečnost až na posledním místě". Přitom drtivá většina uživatelů by politikou zákazu příchozích spojení nebyla nijak dotčena, u NB připojujících se na různé pofidérní wifi sítě spíše naopak a pro těch pár, co si potřebují rozjet nějakou službu nebo sdílení by byl návod (klidně ikonka na ploše), jak to povolit (aspoň by přesně věděli, co si povolili a že vše ostatní je zakázáno). Rozhodně lepší, když 1% lidí něco nepůjde, než aby 99% lidí mělo absolutně nezabezpečené počítače a navíc bez jejich vědomí. Jsem tímto zjištěním dost zklamán, MS přístup k bezpečnosti v bledě modrém :-[
-
Moje zkušenost je taková, že Firewall (iptables) po instalaci JE spuštěn, ale VEŠKERÁ komunikace je povolena. Tedy pro správnou funkci FW je tento potřeba nastavit. Například Firestarterem v mém případě.
-
Teda ale pozeram ze tu odzneli snad vsetky varianty nastavenia firewallu. Takto to dopadne ked sa nezapoji nettezzaumana aby nastolil poriadok v tomto chaose. :-)
-
no lidi, jako lamu, mě výsledek týhle debaty taky zajímá... proto ten příspěvek, líp se mně to bude sledovat :)
btw jsem si nechal oskenovat porty a všechny jsou prej zavřený. bez jakýhokoliv mýho zásahu..
tak honem pište ať vím jak to dopadne! :D
-
Zaregistrujte se, hlasujte a přečtěte si i články pod návrhy - některé jsou zajímavé a týkají se přímo naší debaty.
http://brainstorm.ubuntu.com/idea/3704/
http://brainstorm.ubuntu.com/idea/1282/
http://brainstorm.ubuntu.com/idea/861/
http://brainstorm.ubuntu.com/idea/10314/
http://brainstorm.ubuntu.com/idea/8987/
-
Zaregistrujte se, hlasujte a přečtěte si i články pod návrhy - některé jsou zajímavé a týkají se přímo naší debaty.
...
Zajímavé návrhy a ještě zajímavější diskuze pod nimi. Docela mne překvapil počet "kreténů" razících hesla "tohle je blbost, protože já to nepotřebuju" a "něco podobného je ve windows, proto je to kravina".
-
Zaregistrujte se, hlasujte a přečtěte si i články pod návrhy - některé jsou zajímavé a týkají se přímo naší debaty.
...
Zajímavé návrhy a ještě zajímavější diskuze pod nimi. Docela mne překvapil počet "kreténů" razících hesla "tohle je blbost, protože já to nepotřebuju" a "něco podobného je ve windows, proto je to kravina".
Tak zrovna tyhle věci jsem se snažil nečíst. Jsou to přesně ty kre..ni co o nich psal na začátku theardu xfce - prostě no comment
-
no lidi, jako lamu, mě výsledek týhle debaty taky zajímá... proto ten příspěvek, líp se mně to bude sledovat :)
btw jsem si nechal oskenovat porty a všechny jsou prej zavřený. bez jakýhokoliv mýho zásahu..
tak honem pište ať vím jak to dopadne! :D
Vypis si iptables -L a budes vedet jestli mas nastavenej firewall nebo ne. Zavreny porty mas proto, ze nemas program co by je otevrel respektive nemas server, kterej na nakym portu posloucha. Pripadne si za NATem. (zalezi odkud si to skenoval, jestli z lokalu nebo z venku) To je kategorie sama pro sebe. Nainstaluj openssh-server zapni a uvidis jestli ti bude poslouchat, respektive ti poslouchat bude, zalezi jen jestli to neco nebude blokovat.
-
iptables -L nevypsalo nic, tak jsem doinstaloval GUFW a klikl na povolit, čímž se zákazaly příchozí přenosy. Que simple.. ale otázka zůstává pořád ta stejná z úvodu, je to nutný? když neprovozuju žádný ftp ani nic podobnýho? protože jestli je nutný tohle udělat, je s podivem, že to není by default, nebo že teda alespoň není korektní zmínka na wiki..
-
Firewall po instalaci aktivovaný NENÍ!!!
Stačí se podívat do výpisu iptables. Tvrzení, že Ubuntu v základu blokuje veškerá spojení dovnitř a naopak povoluje všechna ven, tak trochu postrádá logiku. A jak byste asi komunikovali s okolím, když by fungovala komunikace jen jedním směrem?
Po instalaci iptables neblokují vůbec nic, zkuste si potom spustit příkaz "sudo ufw default deny" a uvidíte, kolik služeb přestane najednou fungovat.
Jinak jako gui je nyní doporučováno Gufw, což je víceméně obdoba Firestarteru.
Ono totiž záleží, z které strany komunikaci začneš ... Pokud máš firewall tzv. zavřený z venku a otevřený zevnitř ven a pokud pošleš požadavek na zobrazení třeba googlu, samozřejmě Ti server odpoví a data se dostanou až do tvého prohlížeše a zobrazí se stránka googlu. Pokud sedíš v kavárně a chceš se připojit ke svému počítači přes port 22 (SSL), port zůstane uzavřen... :-)
-
Já teda nevím jak vy, ale to že někdo zvládne nainstalovat ubuntu ještě neznamená, že dokáže dobře nastavit firewall.
Osobně mám zkušenost, že vždy když jsem se snažil nastavit firewall nebo jej nějak upravit pro "lepší" bezpečnost,
tak jsem si to tak rozházel, že mi nešlo ani nic instalovat (teď mluvím o zkušenosti z Windows a firewall).
Nemyslím si, že každý zná a chápe pravidla v sítích, protokoly, porty atd...
:-\
V tomto případě jsem myslel uživatele, který ví co je to firewall (obecně), dokáže si najít wiki a tam použít některé z doporučených "uděláte" pro základní nastavení iptables.
Kdo si chce zlepšit skills, nastuduje si jak to vlastně do podrobna funguje ... a nebo si počká na Diablo III 8)
-
Takže pokusím se to laicky shrnout, prosím, abyste mě případně opravili.
Po čisté instalaci není v Ubuntu aktivní žádný firewall.
Na druhou stranu systém nemá ve výchozím stavu žádné otevřené porty, narozdíl od např. Windows. Je to možné zkontrolovat např. pomocí online port scanneru (http://www.t1shopper.com/tools/port-scanner/# (http://www.t1shopper.com/tools/port-scanner/#) - kliknout na "Check all" a pak "Scan ports" nebo http://nmap-online.com/ (http://nmap-online.com/) - zaškrtnout "I agree" a kliknout na "Scan now!"). Problém je, že pokud jste za NAT serverem, bude scanner testovat ten server, a ne váš počítač. Další možnost je zkontrolovat po zadání příkazu sudo netstat -l -p --protocol=inet jestli obsahuje porty ve stavu LISTEN. U mě to například vypadá takto: Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 localhost:ipp *:* LISTEN 4709/cupsd
tcp 0 0 localhost:smtp *:* LISTEN 5309/exim4
udp 0 0 *:bootpc *:* 5493/dhclient
udp 0 0 *:mdns *:* 4671/avahi-daemon:
udp 0 0 *:44011 *:* 4671/avahi-daemon: což by mělo být v pořádku, protože mám zapnuty 2 služby na svém počítači (localhost), a to cupsd (tiskárna) a exim4 (posílání zpráv přes smtp protokol). Nejlepší asi bude z jiného počítače oscanovat svůj pomocí nmap (http://nmap.org/ (http://nmap.org/)), to ale nechám povolanějším.
V Ubuntu je nainstalovaný filtr paketů (iptables), který je možný použít jako firewall, pro začátečníka nejlépe pomocí ufw nebo gufw. Firestarter se nedoporučuje, protože poslední stabilní verze je z r. 2005.
Pro aktivaci základního firewallu stačí zadat příkaz sudo ufw enable To je vše. Tím se filtry v iptables změní tak, že (zjednodušeně) počítač nepřijímá nevyžádané pakety. Tj. základní programy (i pro práci s Internetem) fungují, nevyžádané pokusy o spojení s počítačem jsou zahozeny. Toto nastavení je vhodné pro běžný počítač a práci na něm, ale ne pro servery, sdílení apod., kde musíte daná spojení explicitně povolit. Pokud chcete zjistit, jak firewall pracuje, je možno povolit logování sudo ufw logging on a sledovat záznamy v syslogu, např. pomocí sudo grep UFW /var/log/* Stav svého firewallu zjistíte pomocí sudo ufw status Pokud je ve stavu "loaded", znamená to, že je aktivní, dále jsou uvedena případná další pravidla, která jste zadali. Další možnosti konfigurace firewallu pomocí (g)ufw najdete na wiki http://wiki.ubuntu.cz/UFW (http://wiki.ubuntu.cz/UFW) a http://wiki.ubuntu.cz/GUFW (http://wiki.ubuntu.cz/GUFW).
-
Takže pokusím se to laicky shrnout, prosím, abyste mě případně opravili.
Tady jde jenom o vyjasnění pojmů. iptables jsou vlastně firewall, po instalaci jsou nastaveny na celkem rozumnou politiku. Cokoli dalšího (ufw, firestarter, již zastaralý firehol) je pouze udělátko na nastavování iptables.
-
Takže pokusím se to laicky shrnout, prosím, abyste mě případně opravili.
Tady jde jenom o vyjasnění pojmů. iptables jsou vlastně firewall, po instalaci jsou nastaveny na celkem rozumnou politiku. Cokoli dalšího (ufw, firestarter, již zastaralý firehol) je pouze udělátko na nastavování iptables.
NO !!
http://en.wikipedia.org/wiki/Iptables
http://en.wikipedia.org/wiki/Firewall
-
Tady jde jenom o vyjasnění pojmů. iptables jsou vlastně firewall, po instalaci jsou nastaveny na celkem rozumnou politiku. Cokoli dalšího (ufw, firestarter, již zastaralý firehol) je pouze udělátko na nastavování iptables.
Jaký je přesně rozdíl mezi "packet filter" a "firewall" asi není celkem důležité, ale nerozumím tomu, co to znamená ta konzervativní politika iptables. Když si dám výpis sudo iptables -L po instalaci
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination tak zde laicky nevidím nastavená žádná pravidla. Pokud dám sudo ufw enable, pak po výpisu iptables vidím Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK FORWARD]: '
RETURN all -- anywhere anywhere
Chain ufw-after-input (1 references)
target prot opt source destination
RETURN udp -- anywhere anywhere udp dpt:netbios-ns
RETURN udp -- anywhere anywhere udp dpt:netbios-dgm
RETURN tcp -- anywhere anywhere tcp dpt:netbios-ssn
RETURN tcp -- anywhere anywhere tcp dpt:microsoft-ds
RETURN udp -- anywhere anywhere udp dpt:bootps
RETURN udp -- anywhere anywhere udp dpt:bootpc
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK INPUT]: '
RETURN all -- anywhere anywhere
Chain ufw-after-output (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain ufw-before-forward (1 references)
target prot opt source destination
ufw-user-forward all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT all -- BASE-ADDRESS.MCAST.NET/4 anywhere
ACCEPT all -- anywhere BASE-ADDRESS.MCAST.NET/4
ufw-user-input all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK NOT-TO-ME]: '
DROP all -- anywhere anywhere
Chain ufw-user-forward (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain ufw-user-input (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix `[UFW LIMIT]: '
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-user-output (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere takže teprve tady jsem schopen vysledovat nějaké filtrování, tzn. "politiku". Jaká je tedy konkrétně ta politika iptables po naistalování?
-
...
.. asi tak nejak ;)
-
iptables ... po instalaci jsou nastaveny na celkem rozumnou politiku.
Tohle jsme se právě shodli, že neplatí. Po instalaci iptables sice běží, ale nejsou definovaná žádná pravidla, takže nedělá nic (respektive všechny 3 chainy (INPUT/FORWARD/OUTPUT) mají default policy ACCEPT, takže vše povoleno). Teprve po vytvoření nějakých pravidel, např. pomocí těch udělátek (ufw, gufw, firestarter, ...) začnou iptables vlastně něco "dělat". Co jsem koukal na výpis od arrange, vypadá to, že pravidla vytvořená pomocí sudo ufw enable umožňují sdílení souborů a odpovědi na icmp pakety, jinak spojení z venčí zahazují. Ale nezkoumal jsem to moc a do iptables nevidím.
Závěry vidím 2:
1) na wiki je chyba, mělo by se to přepsat a přidat doporučení na vytvoření pravidel pro fw
2) Ubuntu přistupuje k bezpečnosti stejně přezíravě jako WinXP a hřeší jen na to, že uživatelům stejně neběží žádná služba, na kterou by se dalo připojit. Jenže pak stačí, aby si někdo nainstaloval webserver, na něm ladil neveřejný obsah a už ho vystavuje světu, aniž by o tom věděl. Totéž s jakoukoliv jinou službou, co si pro svojí potřebu rozjede. To se mi vůbec nelíbí a doufám, že to velmi rychle přehodnotí. V mém okolí je hlavním důvodem přechodu na Linux důvěra v jeho bezpečnost a pokud tato bude narušena, může to znamenat celkem problém.
-
Jen pro zajímavost: zkoušel jsem si přes nmap z jiného počítače namapovat porty na mém počítači při vypnutém firewallu (ufw disabled). TCP správně našlo jen jeden otevřený port, ale nerozpoznalo službu (Transmission), takže plná spokojenost. UDP test našel toto:
988 closed ports
PORT STATE SERVICE VERSION
68/udp open|filtered dhcpc
631/udp open|filtered ipp
772/udp open|filtered cycleserv
21813/udp open|filtered radacct
5353/udp open|filtered zeroconf
5500/udp open|filtered securid
20279/udp open|filtered unknown
21784/udp open|filtered unknown
23608/udp open|filtered unknown
26872/udp open|filtered unknown
27015/udp open|filtered halflife
37444/udp open|filtered unknown Není mi úplně jasné, co to znamená, ale mělo by to být OK, protože dle man nmap open|filtered
Nmap places ports in this state when it is unable to determine
whether a port is open or filtered. This occurs for scan types in
which open ports give no response. The lack of response could also
mean that a packet filter dropped the probe or any response it
elicited. So Nmap does not know for sure whether the port is open
or being filtered. The UDP, IP protocol, FIN, null, and Xmas scans
classify ports this way. čili že port je jaksi otevřený, ale k nepotřebě :)
Jo, a Ubuntu 8.10 identifikoval jako Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.25
-
Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.
Zdravím, no já zas ještě nejsem tak znalý, ale mě spíš než o princip jde o to, že jakmile mi můj systém někdo ovládne(jakože třeba nějaký hacker) může ho použít pro presměrování, a pak (beru to hodně zlehčeně)když bude chtít nahackovat banku a udělá to přes vaši mašinu, tak komando vpadne k vám, což by bylo pak nemilé vysvětlovat že já svoje linux-ky opravdu k hackování nepoužívám. (PS: nevym, jestli se to tak opravdu používá, ale tak sem to kdysi pochopil jak jsem kdysi studoval, různé hackerské techniky)
to že mi někdo kouká co mám v kompu, no to at si klidně dělá, nic zajímavého by stejně nenašel...teda když neberu ty hesla k mému inet-bankovnictví... ;)
-
btw: žádný systém není nedobytný ...
to je sice pravda, ale tak co nejvíce to hackerům stížit by mela být "morální povinnost" každého at už má v PC důležité dokumenty nebo je nemá.
-
Jestli jsem z wiki a téhle diskuze správně pochopil, tak firewall je po instalaci defaultně vypnutý, a jestliže "neprovozuju server", tak ho nemusím zapínat.
Rád bych věděl, co vše je zahrnuto v "provozovat server". Třeba co se týče serveru, sám aktivně nějaký nespravuju, ale přistupuju na něj (přes FTP nebo SSH). Chtěl jsem se zeptat, jestli v takovém případě potřebuju mít firewall zapnutý, nebo jestli ho mít zapnutý nemusím. (A samozřejmě jestli jsem chráněn, tj. v bezpečí.)
Děkuju moc za odpovědi a případné opravy.
-
Diskuse o tom, kdy je firewall potřeba a kdy ne by vyšlo na hodně dlouhou filosofickou debatu a stejně bysme se nakonec na ničem neshodli, protože kolik lidí, tolik různých názorů... Měl byste se rozhodnou sám, jestli firewall potřebujete nebo ne, ale vždycky platí, že zapnutí je na jedno kliknutí (a příkaz) a stejně tak vypnutí, takže není problém si firewall zapnout "jen tak" -- nedávno jsem zjistil, že v pravidlech pro firewall mám po psaní návodů (a zkoušení různých nástrojů) takový bordel až je to děsné a stejně nepociťuju žádnou změnu...
Jinak "provozovat server" znamená prostě "provozovat server", pod čímž si asi většina lidí představí nějakého toho apače a podobně.
-
Děkuju moc za odpověď. S tím jednoduchým zapnutím (po nainstalování GUFW kliknutím) máte pravdu, skoro nic to nestojí. Spíš jsem to chtěl vědět proto, když budu někomu instalovat Linux, jestli se mám tím zdržovat a ten FW mu zapínat. :)
-
no abych pravdu řekl, sem z toho tedka trošku zmatený. Jak je to teda s tou aktivací. Řekněme že sem se rozhodl, že si ho chci aktivovat. Stačí tedy napsat:
sudo ufw enable a nechat to tak jak to je, když žádné další služby nehodlám přidávat?nebo to musím udělat i přes nějaký ten GUI??
-
http://wiki.ubuntu.cz/Firewall
Tak ještě jednou -- v jádře jsou zabudované služby, které se starají o síťový přenos -- netfilter a hlavně iptables -- iptabes je v podstatě jediný firewal v systému -- veškeré další "věci" jako (g)ufw, firehol, firestarter atd. slouží jen ke konfiguraci (nastavení) pravidel pro iptables (který sice jde nastavovat i přímo, ale je to velmi složité). Takže ano stačí vzít libovolný nástroj a tím iptables "povolit" -- ať už pomocí "ufw enable" nebo kliknutím na "povolit" v gufw nebo cokoli jiného jinde...
-
Myslím, že kolegovi nebylo spíš jasné, jestli ten firewall povolovat, když tam stejně nebude nastavovat žádná další pravidla - jestli je to teda nutné.
-
http://wiki.ubuntu.cz/Firewall
Tak ještě jednou -- v jádře jsou zabudované služby, které se starají o síťový přenos -- netfilter a hlavně iptables -- iptabes je v podstatě jediný firewal v systému -- veškeré další "věci" jako (g)ufw, firehol, firestarter atd. slouží jen ke konfiguraci (nastavení) pravidel pro iptables (který sice jde nastavovat i přímo, ale je to velmi složité). Takže ano stačí vzít libovolný nástroj a tím iptables "povolit" -- ať už pomocí "ufw enable" nebo kliknutím na "povolit" v gufw nebo cokoli jiného jinde...
JJ,díky moc
-
Myslím, že kolegovi nebylo spíš jasné, jestli ten firewall povolovat, když tam stejně nebude nastavovat žádná další pravidla - jestli je to teda nutné.
nene já si ho právě povolit chci, (a už sem to vlastně udělal :) ) špíš mě jen zajímalo jestli mi to neomezí služby jako je třeba Transmission nebo Pidgina..
No toto téma mě natolik zaujalo (a je i dost důležité obecně-si myslím) že se asi tedka (co by linuxař-lamka :) ) do toho trochu hlouběji ponořím. Zdá se mi totiž,že po úspěšném zvádnutí instalace je znalost (alespon nějaká základní) toho jak se nastavují iptabels celkem na místě. ikdyž je v návodech řečeno že pro začátečníka je to prakticky nemožné (správně) nastavit, ale co - stejně se do toho asi pustím :)
-
Tak to se omlouvám, že jsem Vás nesprávně pochopil. :)
Takže snad již konečně závěrem, pokud jsem to dobře pochopil: Pokud neprovozujete server, není nutné firewall zapínat/aktivovat/povolovat (přes ufw nebo gufw), ale pokud ho zapnete, nic tím nezkazíte. Zapnutím si ale zpřístupníte možnost zásahu (přidávání, úprava, mazání) do pravidel pro filtrování příchozích a odchozích dat.