ফায়ারওয়াল কেন ডিফল্টরূপে অক্ষম?

64

যখন ইউবডব্লিউ ফায়ারওয়াল উবুন্টুতে অন্তর্ভুক্ত থাকে, যখন এটি ডিফল্টরূপে সক্ষম না থাকে এবং প্রাক-কনফিগার করা থাকে? বেশিরভাগ ব্যবহারকারী এমনকি এটি জানেন না যে কোনও জিইআইআই ফ্রন্ট্যান্ড সরবরাহ করা হয়নি।

security  firewall  ufw  gufw 
6205
সূত্র
6
আমি যখন হতবাক হয়ে জানতে পারি যে ফায়ারওয়াল ইনস্টল করা আছে তবে অক্ষম হয়ে গেছে! এখানে বর্ণিত যুক্তিগুলি বেশ দুর্বল।
এইচআরজে
1
আমি একই প্রশ্ন করছি যার কারণেই আমি এখানে পৌঁছেছি, কেবল একটি খুব বুনো অনুমান পেয়ে গেছে যে লিনাক্স ব্যবহারকারীরা (উইন্ডোজ ব্যবহারকারীদের সাথে যারা সাধারণ ডেস্কটপ ব্যবহারকারীদের তুলনায় বেশি সম্ভবত) লিনাক্সের বিভিন্ন ব্যবহার করেছেন: কিছু পেনস্টেটিংয়ের জন্য, কিছু ব্যবহার করে ssh, কিছু ব্যবহার করে না, প্রচুর পরিমাণে এটি একটি ওয়েব সার্ভার, ডাটাবেস বা এসএমটিপি সার্ভার হিসাবে ব্যবহার করে ... লিনাক্স দর্শনে প্রতিটি ব্যবহারকারীকে তার ফায়ারওয়ালটিকে উপযুক্ত হিসাবে দেখতে কনফিগার করতে দেয়।
ব্যবহারকারী 10089632
এটি একটি অবিশ্বাস্যভাবে খারাপ ডিজাইনের সিদ্ধান্ত। শুধু অবাক করে দেওয়া খারাপ!
আয়নো

উত্তর:

37

বাক্সের বাইরে উবুন্টু জাহাজগুলি কোনও টিসিপি বা ইউডিপি পোর্ট খোলে না, তাই বিশ্বাস করা হয় যে ডিফল্টরূপে অব্যক্ত ফায়ারওয়াল (ufw) চালানোর কোনও কারণ নেই । আমি একমত, যদিও, ufw অক্ষম করা একটি অদ্ভুত সিদ্ধান্ত। আমার যুক্তি হ'ল অনভিজ্ঞ ব্যবহারকারীরা সম্ভবত সাম্বা, অ্যাপাচি এবং তাদের সামনে রাখা সিস্টেমটির সাথে পরীক্ষার মতো জিনিস ইনস্টল করতে চলেছেন। যদি তারা এর এর অর্থ বুঝতে না পারে তবে তারা ইন্টারনেটে দূষিত বেভিভিওরের কাছে নিজেকে প্রকাশ করবে।

উদাহরণ - আমি আমার ল্যাপটপটি সাম্বার সাথে কনফিগার করেছি যা আমার হোম নেটওয়ার্কে ডাব্লুপিএ 2 দিয়ে সুরক্ষিত আছে fine তবে আমি যদি আমার ল্যাপটপটি একটি স্টারবাক্সে নিয়ে যাই তবে আমি এটি সম্পর্কে কিছুই ভাবতে পারি না, তবে সেই ল্যাপটপটি এখন আমার শেয়ারগুলি সকলের কাছে প্রচার করছে এবং আলাদা করে। ফায়ারওয়াল দিয়ে আমি আমার সাম্বা বন্দরগুলি কেবলমাত্র আমার হোম সার্ভার বা পিয়ার ডিভাইসে সীমাবদ্ধ রাখতে পারি। কে আমার ল্যাপটপের সাথে সংযোগ স্থাপনের চেষ্টা করতে পারে সে সম্পর্কে এখন আর উদ্বিগ্ন হওয়ার দরকার নেই। একই সাথে ভিএনসি, এসএসএইচ, বা আমার ল্যাপটপটি প্রচুর পরিমাণে অন্যান্য দরকারী পরিষেবাগুলির জন্য চলছে বা সংযোগের চেষ্টা করছে for

উবুন্টু সুরক্ষার নির্দিষ্ট উপাদানের কাছে খুব চালু বা বন্ধ পদ্ধতির গ্রহণ করে, যে দর্শনের সাথে আমি একমত হতে পারি না। সুরক্ষা প্রযুক্তিগতভাবে চালু বা বন্ধ হতে পারে তবে একে অপরের উপরে সুরক্ষার উপাদানগুলি স্থাপনের মাধ্যমে আপনি আরও ভাল সিস্টেমের সাহায্যে শেষ করতে পারেন। অবশ্যই, উবুন্টুর সুরক্ষা বিপুল সংখ্যক ব্যবহারের ক্ষেত্রে যথেষ্ট, তবে সমস্ত নয়।

নীচে লাইন, চালান ufw। দুঃখিত চেয়ে ভাল নিরাপদ.

অবিচ্ছিন্ন ফায়ারওয়ালের বেশ কয়েকটি গ্রাফিকাল ফ্রন্ট এন্ড থাকে তবে সর্বাধিক সর্বাধিক গুফডাব্লু

জিইউএফডাব্লু লোগো

sudo apt-get install gufw

এখানে, আমি আমার কর্পোরেট পরিবেশে নির্দিষ্ট সার্ভার ভিএলএএন থেকে সমস্ত ট্র্যাফিকের অনুমতি দিচ্ছি এবং আমি বিপরীত এসএসএইচ সেশনের জন্য প্রয়োজনীয় বন্দরগুলি এই মেশিনটি বন্ধ করে দেওয়ার অনুমতি দেওয়ার জন্য একটি বিধি যুক্ত করেছি।

জিইউএফডাব্লু স্ক্রিনশট

Scaine
সূত্র
ufw কেবল iptables নিয়ন্ত্রণ করে - এজন্য এটি ডিফল্টরূপে সক্ষম হয় না। উন্নত ব্যবহারকারীরা iptables ব্যবহার করতে সক্ষম হন।
পাপুকাইজা
3
@ পাপুকাইজা - iptables এর উন্নত ব্যবহারকারীরা iptables ব্যবহার করতে সক্ষম হন। একটি বিএসডি সিস্টেমের একজন উন্নত ব্যবহারকারী পিএফ ব্যবহার করবে, তবে উবুন্টুতে আসা ব্যবহারকারীটি হঠাৎই অকার্যকর হয়ে উঠবে না। একইভাবে যিনি মূলত একটি নেটওয়ার্ক ইঞ্জিনিয়ার - তার সাথে সিসকো বা জুনিপার এসিএল যুক্তিটি জানত। এটি সবার জন্য নয়, তবে ইউএফডাব্লিউ কনফিগারেশনকে আরও অ্যাক্সেসযোগ্য করে তুলতে পারে এবং আমার মতে এটি ভাল জিনিস।
belacqua
2
@ জেগবেলাকোয়া: সত্য তবে স্কেইনের জবাবটি এমন চিত্র দেয় যে ইউফডব্লিউ একটি ফায়ারওয়াল, যখন এটি আইপটিবলের সামনের অংশ মাত্র।
পাপুকাইজা
1
(আক্রমণাত্মক প্যাডেন্ট সতর্কতা) আমি ব্যবহারকারীদের স্পোফযোগ্য উত্স ঠিকানার ভিত্তিতে এলোমেলোভাবে আগত ইউডিপি / 53 প্যাকেটগুলিকে অনুমতি না দেওয়ার পরামর্শ দিই। এগুলি রিয়েল-ওয়ার্ল্ড আক্রমণে ব্যবহার করা হয়েছে (ডিএনএস বিষ, প্রশস্ত ট্রাফিকের দ্বারা ডস)। আপনার কেন এটি করা দরকার?
সোর্সজেডি
হ্যাঁ, সম্ভবত সত্য। এটি সত্যিই খুব খারাপ স্ক্রিনশট, একটি পুরানো পিসির যেখানে আমি আমার লগগুলি স্রেফ ওপেনডিএনএস চেয়েছিলাম। এটা ভাল অনুশীলন না। আমি যদি সময় পাই তবে আমি স্ক্রিনশটটি আপডেট করার চেষ্টা করব, যেহেতু এই দিনগুলিতে জিইউএফডাব্লু দেখতে বেশ আলাদা দেখাচ্ছে।
স্কেইন
28

মাইক্রোসফ্ট উইন্ডোজের বিপরীতে, উবুন্টু ডেস্কটপে ইন্টারনেটে নিরাপদে থাকার জন্য ফায়ারওয়ালের প্রয়োজন হয় না, যেহেতু ডিফল্টরূপে উবুন্টু সুরক্ষা সমস্যাগুলি প্রবর্তন করতে পারে এমন পোর্ট খোলে না।

সাধারণভাবে সঠিকভাবে শক্ত করা ইউনিক্স বা লিনাক্স সিস্টেমের ফায়ারওয়ালের প্রয়োজন হবে না। ফায়ারওয়ালস (উইন্ডোজ কম্পিউটারগুলির সাথে কিছু সুরক্ষা সমস্যা ব্যতীত) ইন্টারনেটে অভ্যন্তরীণ নেটওয়ার্কগুলি ব্লক করার জন্য আরও তাত্পর্যপূর্ণ। এক্ষেত্রে স্থানীয় কম্পিউটারগুলি একে অপরের সাথে খোলা বন্দরগুলির মধ্যে যোগাযোগ করতে পারে যা ফায়ারওয়াল দ্বারা বাইরের দিকে ব্লক। এই ক্ষেত্রে, কম্পিউটারগুলি ইচ্ছাকৃতভাবে অভ্যন্তরীণ যোগাযোগের জন্য খোলা হয় যা অভ্যন্তরীণ নেটওয়ার্কের বাইরে পাওয়া উচিত নয়।

স্ট্যান্ডার্ড উবুন্টু ডেস্কটপের জন্য এটির প্রয়োজন হবে না, তাই ইউফডব্লিউ ডিফল্টরূপে সক্ষম হয় না।

txwikinger
সূত্র
(ছ) কেবলমাত্র সামনের অংশ নয়? আমি বলতে চাইছি আসল ফায়ারওয়াল ইপিটেবলস, তাইনা?
পাপুকাইজা
9
এমনকি সঠিকভাবে শক্ত করা সিস্টেমগুলি ফায়ারওয়াল থেকে উপকৃত হবে। উদাহরণস্বরূপ, আপনি যদি সাম্বা চালনা করেন তবে আপনি প্রত্যেকের জন্য বিভিন্ন পোর্ট খুলুন। একটি ফার্মওয়াল দিয়ে আপনি এটিকে কেবল আপনার সার্ভার বা সমবয়সীদের মধ্যে সীমাবদ্ধ রাখতে পারেন।
স্কেইন
নেটফিল্টার + iptables বা নেটফিল্টার + ufw (যা iptables অন্তর্ভুক্ত) ফায়ারওয়াল সরবরাহ করে। তবে আপনার যদি ufw হয় তবে আপনার ফায়ারওয়াল কার্যকারিতা থাকবে।
belacqua
4
[উদ্ধৃতি আবশ্যক]
20--
7
এটি সম্পূর্ণ অযৌক্তিক। একটি ফায়ারওয়াল অবৈধ ব্যবহার থেকে যোগাযোগগুলি আউট এবং আউট রেকর্ড করার জন্য ব্যবহৃত হয় ... এর অর্থ হ'ল আপনি যদি একটি ইনস্টল করেন, এটি বলতে দিন, যে মিউজিক প্লেয়ারটি একটি পোর্ট ভুলভাবে খোলে আপনার ইন্টারনেটের সাথে একটি মুক্ত সংযোগ থাকবে। এটাকে প্রিপ্রিমটিভ সিকিউরিটি বলা হয়, আপনি যা হতে পারে তার থেকে রক্ষা করুন। এই উত্তরটি মানুষকে লিনাক্স পরিবেশে সুরক্ষার একটি মিথ্যা ধারণা দেয়।
ড্যানিয়েল
8

উবুন্টু বা অন্য যে কোনও লিনাক্সে ফায়ারওয়ালটি বেস সিস্টেমের একটি অংশ এবং iptables / নেটফিল্টার বলে। এটি সর্বদা সক্ষম থাকে।

আইপেটেবলস একটি প্যাকেট আসার বাইরে চলে গেলে কী করবেন এবং কী আচরণ করবেন সে সম্পর্কে একটি বিধি সেট করে। আসলে আপনার এমন করার দরকার নেই। আরাম করুন।

আপনি যদি কোনও কিছু থেকে ভাল সুরক্ষা চান তবে মনে রাখবেন যে কোথাও থেকে এলোমেলো সফ্টওয়্যার ইনস্টল করবেন না। এটি আপনার ডিফল্ট সুরক্ষা সেটিংসটিকে স্ক্রু করতে পারে root আর কখনও রুট হিসাবে চালাবেন না। সর্বদা অফিসিয়াল স্টোরগুলিতে বিশ্বাস করুন।

আমার মনে হয় আপনি যা জানতে চেয়েছিলেন তা হ'ল ইউআই ইনস্টল করা আছে কিনা?

মনীষ সিনহা
সূত্র
8
আপনি এটিকে ফায়ারওয়ালটির মতো করে তোলে "সর্বদা সক্ষম", যা এরকম নয়। এটি একীভূত হতে পারে তবে আপনি এটি sudo ufw enableইনস্টল না করা অবধি আপনার ইনস্টল করা সার্ভার সফ্টওয়্যারটির প্রথম টুকরা একটি পোর্ট খুলবে যা অন্তর্নির্মিত iptables সম্পর্কে কিছু করতে যাচ্ছে না।
স্কেইন
4
@ স্কাইন: ইউএফডাব্লু কাজটি করে না; এটি iptables দ্বারা সম্পন্ন হয়েছে যা ডিফল্টরূপে সক্ষম হয়।
পাপুকাইজা
7
হাই ছেলেরা। ইউএফডাব্লু iptables এর সম্মুখ সমাপ্তি - আমি এটি পেয়েছি। যাইহোক, ডিফল্টরূপে, iptables অবশ্যই কিছু করতে পারে না। এটা কাজ করছে না। এটি কোনও ফায়ারওয়াল নয়। এটি প্রস্তুত, কিন্তু অকেজো। আপনি sudo ufw enableiptables কিছু করার জন্য কনফিগার করা আগে চালনা করা উচিত। মনীশ, আপনার উত্তরের মত ফায়ারওয়াল চলছে। আপনি "প্রযুক্তিগতভাবে এটি" বলছেন এবং প্রযুক্তিগতভাবে আপনি ঠিক বলেছেন। তবে এটি কিছুই করছে না, তাই আপনি যেখানে সুরক্ষিত নেই সেখানে নিরাপত্তার একটি বিশাল মিথ্যা ছাপ দিচ্ছেন।
স্কেইনে
3
@ মানিশ, "সাধারণ ব্যবহারকারীরা সার্ভার সফ্টওয়্যার ইনস্টল করছেন" সম্পর্কিত regarding আমার উদাহরণ অনুসারে অনেকে সাম্বা ইনস্টল করবেন। অন্যান্য অনেকগুলি পছন্দ / দূরবর্তী ডেস্কটপে বিল্ট-ইন ভিএনসি সার্ভারটি ব্যবহার করবেন। বাড়ির পরিবেশে এটি সম্ভবত ঠিক আছে (সম্ভবত) তবে সেই পরিষেবাগুলি সক্ষম করে বাইরে ল্যাপটপটি নিয়ে যান, আপনি সম্ভবত নিজেকে দূষিত আচরণে প্রকাশ করছেন।
স্কেইনে
2
ssh, প্রিন্ট-সম্পর্কিত এবং মেল পোর্টগুলি প্রায়শই সাধারণ ধরণের ডেস্কটপ বা সার্ভার ক্রিয়াকলাপের জন্য খোলা থাকে। এগুলি লকডাউন করা যেতে পারে (উদাহরণস্বরূপ উত্স আইপি দ্বারা) বা ufw বা ফায়ারওয়াল / এসিএল এর অন্য স্বাদে সম্পূর্ণরূপে বন্ধ হয়ে যেতে পারে।
belacqua
4

এছাড়াও, gufwএকটি GUI ফ্রন্ট-এন্ড সরবরাহ করতে পারে। (এটি কমান্ড লাইনে ufw এর চেয়ে সত্যই স্বজ্ঞাত নয়, তবে এটি আপনাকে সেখানে কী রয়েছে তার আরও চাক্ষুষ অনুস্মারক দেয়)) আমি একমত যে ফায়ারওয়ালটি বর্তমানে ভাল বিজ্ঞাপন দেওয়া হয়নি। যদি আমার অনুমান হয় তবে আমি বলব এটি হ'ল নতুন ব্যবহারকারীদের পায়ে গুলি চালানো থেকে বিরত রাখতে।

belacqua
সূত্র
-1

কারণ: পাসওয়ার্ড বা ক্রিপ্টো-কীগুলি।

এটি আইএমও হ'ল সঠিক উত্তর এবং এ পর্যন্ত অন্যদের চেয়ে বেশ আলাদা উত্তর। ufwউবুন্টু সংখ্যাগরিষ্ঠ ব্যবহারকারীদের সুবিধার্থে ডিফল্টরূপে অক্ষম করা হয়েছে যারা জানেন যে গোপনীয়তা এবং সীমাবদ্ধ নিয়ন্ত্রণ প্রদানের জন্য পাসওয়ার্ডগুলি সুরক্ষার একটি গুরুত্বপূর্ণ ফর্ম। উবুন্টু-র বেশিরভাগ ব্যবহারকারী উবুন্টু-অনুমোদিত রিপোজিটরিগুলি থেকে ইনস্টল করে "বুদ্ধিমান" সফ্টওয়্যার করবেন এবং কেবল বন্দরগুলির সাথে সম্পর্কিত ঝুঁকি নয়, সাধারণভাবে ঝুঁকি হ্রাস করার জন্য অন্যান্য উত্স সম্পর্কে সতর্ক হন। এটি করার মাধ্যমে তারা বন্দর সম্পর্কিত ঝুঁকি হ্রাস করতে দীর্ঘ পথ পাড়ি দিয়েছে যা ইতিমধ্যে ছোট ছিল কারণ তারা "সাধারণ" পাসওয়ার্ড ব্যবহার করে এবং খুব কম যদি তারা কঠোর থেকে ব্রুট পাসওয়ার্ড বা ক্রিপ্টো-কী ব্যবহার করে।

স্টারবাকস (পাবলিক) ওয়াইফাই-তে সাম্বা ফাইল সার্ভার, অ্যাপাচি এইচটিটিপি সার্ভার, এসএসএইচ, ভিএনসি-র মতো কয়েকটি ঝুঁকি সাধারণত হোস্টের হার্ড-টু ব্রুট পাসওয়ার্ড দ্বারা নির্মূল করা হবে।

ufw"ব্রেক" সফ্টওয়্যারটি ফায়ারওয়াল হিসাবে হওয়া উচিত, কারণ এটি ডিফল্টরূপে অক্ষম করা হয়। এটি উবুন্টু, সার্ভার এ এর ​​একটি নতুন ইনস্টল, sshএকই স্থানীয় নেটওয়ার্কে অন্য ক্লায়েন্ট বি, থেকে অন্য একটি মেশিন ইনস্টল করুন এবং লগইন করতে এটি পরীক্ষা করতে এবং আপনি দেখতে পাবেন এটি অবিলম্বে কাজ করে। প্রস্থান. তারপরে সার্ভার এ এবং এ ফিরে যান sudo ufw enable। ক্লায়েন্ট বিতে ফিরে যান এবং আপনি sshসার্ভার এ এ ব্যর্থ হন A.

H2ONaCl
সূত্র
1
পাসওয়ার্ডগুলি স্ট্যাকের অনেক উচ্চ স্তরে বসে। স্ট্যাকের নিম্ন স্তরে সাধারণ বাফারকে অতিক্রম করে সিস্টেমগুলিতে আক্রমণ করা যেতে পারে।
এইচআরজে
ডাউনটা কেন?
H2ONaCl
@ এইচআরজে, "সিস্টেমে আক্রমণ করা যেতে পারে" যে সুবিধার বিষয়টি খণ্ডন করে না। আমি যা লিখেছি তার সঠিকতা আপনি সম্বোধন করেন নি। আমি ঠিক আছি. আপনি একটি স্পর্শক উপর।
H2ONaCl
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.