Nếu bạn đang sử dụng, hoặc lập kế hoạch để sử dụng Linux, một ưu đãi tốt là an ninh tương đối được thực hiện theo mặc định. Các hệ thống Linux không nhạy cảm với phần lớn các virus Windows và Mac OS, và dự án GNU tự bảo đảm tính xác thực của phần mềm. Tuy nhiên, mọi người đam mê (hoang tưởng) đều biết rằng không có thứ gì như một hệ thống được bảo vệ hoàn toàn. Hôm nay, chúng tôi sẽ hướng dẫn bạn cách tăng cường bảo mật Linux bằng cách thực hiện một vài thay đổi đối với cài đặt Tường lửa của bạn.

Thay vì chỉ xem xét phần mềm Tường lửa, tôi sẽ tập trung nhiều hơn vào các thiết lập tường lửa, chẳng hạn như các quy tắc và cổng, vì chúng phù hợp với cơ sở của tường lửa hiệu quả.

Chương trình truyền thống cho tường lửa trong Linux là các IPTables dựa trên lệnh. Trực tiếp xuất phát từ lý tưởng của Unix, nó rất mạnh mẽ, nhưng cực kỳ phức tạp đối với người mới bắt đầu. IPTables không tự khởi động khi khởi động, vì vậy nhiệm vụ của người dùng là cấu hình tường lửa trong một kịch bản và chạy nó ngay sau khi đăng nhập. Một tùy chọn dễ dàng hơn là sử dụng UFW (FireWall không biến chứng). UFW là một tường lửa dựa trên lệnh, nhưng với một cú pháp đơn giản hơn nhiều. Nó tự khởi chạy khi khởi động và có cùng mức bảo mật như IPTables. Một cách dễ dàng hơn để bỏ qua toàn bộ dòng lệnh là sử dụng gUFW - một giao diện đồ họa cho UFW.

Cài đặt

Trong Ubuntu, tất cả những gì bạn phải làm là sử dụng lệnh (bạn cũng có thể cài đặt thông qua Trung tâm phần mềm Ubuntu):

 sudo apt-get cài đặt gufw

Cấu hình

Chạy ứng dụng gUFW. Bạn sẽ được nhắc nhở với một cửa sổ màu xám đẹp.

Để hoạt động đúng, gUFW cần quyền của người dùng siêu, có nghĩa là trong một thiết bị đầu cuối, bạn sẽ sử dụng lệnh:

 sudo gufw

Nếu bạn khởi chạy nó từ Menu ứng dụng, bạn có thể nhấp vào khóa vàng ở dưới cùng bên phải của cửa sổ gUFW và nhập mật khẩu của bạn để nâng cao quyền của người dùng.

Cửa sổ sẽ hiện ra và bạn có thể bắt đầu cấu hình.

Trước tiên, bạn muốn kích hoạt tường lửa bằng cách nhấp vào thanh bên cạnh “Trạng thái” để “Bật” được hiển thị. Sau đó, bạn có thể chọn những gì bạn muốn làm với lưu lượng đến và lưu lượng gửi đi. Theo mặc định, việc gửi đến bị từ chối và gửi đi được ủy quyền. Đây là một cơ sở tốt, nhưng nói chung với Linux, bạn muốn sử dụng toàn quyền kiểm soát của mình để đi xa hơn giá trị mặc định. Cấu hình như bây giờ sẽ ngăn chặn điều gì đó xâm nhập vào máy tính của bạn nhưng sẽ không ngăn máy tính của bạn giao tiếp. Hãy tưởng tượng rằng máy tính của bạn đã bị nhiễm hoặc phần mềm độc hại thành công trong việc vượt qua tường lửa. Trong trường hợp này, UFW sẽ không ngăn cản anh ta giao tiếp với Internet và có thể từ việc truyền dữ liệu của bạn đến một cracker ác.

Do đó tôi khuyên bạn nên áp dụng các biện pháp quyết liệt: từ chối mọi thứ - đến và đi!

Tại thời điểm này, bạn sẽ thấy rằng bạn đã cắt đứt bản thân khỏi Internet. Bằng cách từ chối mọi thứ, bạn cũng từ chối bất kỳ lưu lượng truy cập web nào vào / ra khỏi hệ thống của mình. Lo lắng không, chúng tôi sẽ thiết lập các quy tắc để chỉ cho phép các ứng dụng bạn cần và tin tưởng để truy cập web. Thêm quy tắc rất đơn giản. Bạn chỉ cần nhấp vào nút “+” ở phía dưới bên trái của cửa sổ. Tương tự, nút “-” là xóa quy tắc.

Bây giờ, nhấp vào nút “+”. Bây giờ bạn sẽ ở phía trước của một hộp thoại mới với ba tab.

Tab “Được định cấu hình sẵn” để tạo một số quy tắc cho các tác vụ được xác định và cụ thể, như cho Skype hoặc Truyền. Đây là cách dễ dàng để thiết lập quy tắc một cách nhanh chóng: quyết định chương trình hoặc dịch vụ nào bạn muốn sử dụng từ danh sách, nếu bạn cho phép gửi đến hoặc gửi đi và các quy tắc sẽ tự thêm.

Ví dụ: nếu bạn quyết định cho phép trong kết nối Skype, gUFW sẽ cho phép các kết nối đến cổng 443 bằng giao thức TCP.

Dễ sử dụng như tab này, tuy nhiên nó chưa hoàn thành. Vẫn còn một loạt các công cụ mà bạn không thể làm mà không đi vào tab "Đơn giản". Tôi hứa, chúng tôi sẽ không tiến xa hơn nữa, không có tab “Nâng cao” cho ngày hôm nay.

Tab này không phải là rất phức tạp để sử dụng. Tất cả những gì bạn phải làm để thêm quy tắc là chọn giữa các kết nối đến hoặc đi, giao thức được sử dụng và số cổng. Tôi sẽ không dạy cho bạn sự khác biệt giữa giao thức UDP hoặc TCP, nhưng thay vào đó, tôi sẽ cung cấp cho bạn một danh sách không đầy đủ các cổng mà bạn có thể muốn tiếp tục mở và các lý do tại sao.

Danh sách không đầy đủ của cổng

Kết nối gửi đi:

  • 80 / tcp cho HTTP
  • 53 / udp cho DNS
  • 443 / tcp cho HTTPS (HTTP được bảo mật)
  • 21 / tcp cho FTP (Giao thức Truyền tệp)
  • 465 / tcp cho SMTP (gửi email)
  • 25 / tcp cho SMTP không an toàn
  • 22 / tcp cho SSH (kết nối an toàn từ máy tính đến máy tính)
  • 993 / tcp & udp cho IMAP (nhận email)
  • 143 / tcp & udp cho IMAP không an toàn
  • 9418 / tcp cho GIT (hệ thống điều khiển phiên bản)

Kết nối đến:

  • 993 / tcp & udp cho IMAP (nhận email)
  • 143 / tcp & udp cho IMAP không an toàn
  • 110 / tcp cho POP3 (cách cũ để nhận email)
  • 22 / tcp cho SSH (kết nối an toàn từ máy tính đến máy tính)
  • 9418 / tcp cho GIT (hệ thống điều khiển phiên bản)

Một lần nữa, danh sách này không đầy đủ, nhưng đó là một khởi đầu tốt. Đừng ngần ngại tìm kiếm nếu bạn có nhu cầu khác và kiểm tra tab “Được cấu hình trước” trước tiên.

Một số dịch vụ, như IMAP, yêu cầu kết nối đến và đi để hoạt động chính xác. Và trong một số trường hợp, các kết nối được mã hóa yêu cầu một cổng khác.

Phần kết luận

Bây giờ bạn đã sẵn sàng để hoàn toàn kiểm soát tường lửa của riêng bạn và đảm bảo an toàn cho bản thân bạn. Cuối cùng, UFW cần được thêm vào daemon của bạn khi khởi động. Sử dụng lệnh:

 sudo update-rc.d ufw mặc định

Và trong các bản phân phối khác như Archlinux, hãy chỉnh sửa tệp /etc/rc.conf của bạn. Dĩ nhiên tốt hơn là thêm daemon UFW trước khi daemon thiết lập kết nối Internet (ví dụ như wicd hoặc network-manager).

Bạn có sử dụng tường lửa khác không? Hay bạn có một số quy tắc khác mà bạn đề nghị? Xin vui lòng cho chúng tôi biết trong phần bình luận.