Palomuurin määrittäminen Ubuntu-palvelimelle

Julkaistu: 15. helmikuuta 2025 klo 21.33.39 UTC

Tässä artikkelissa selitetään ja annetaan esimerkkejä palomuurin asettamisesta GNU/Linuxiin käyttämällä ufw:tä, joka on lyhenne sanoista Uncomplicated FireWall - ja nimi on osuva, se on todella helppo tapa varmistaa, ettei sinulla ole enempää portteja auki kuin tarvitset.

Tämä sivu on käännetty koneellisesti englannista, jotta se olisi mahdollisimman monen ihmisen saatavilla. Valitettavasti konekääntäminen ei ole vielä täydellistä tekniikkaa, joten virheitä voi esiintyä. Voit halutessasi tarkastella alkuperäistä englanninkielistä versiota täällä:

How to Set Up a Firewall on Ubuntu Server

Tämän viestin tiedot perustuvat Ubuntu Server 14.04 x64:ään. Se voi olla tai ei ole voimassa muille versioille. (Päivitys: Voin vahvistaa, että tämän viestin tiedot ovat periaatteessa edelleen voimassa ja toimivia Ubuntu Server 24.04:stä lähtien, mutta ufw:sta on tullut 10 välissä jonkin verran "älykkäämpää", koska sillä on profiileja yleisille palvelinsovelluksille (esim. voit ottaa käyttöön "Nginx full" porttien 80 ja 443 kokonaan käytöstä poistamisen sijaan. pidempään tarpeen)

Kun aloitin ensimmäisen kerran GNU/Linux (Ubuntu) -palvelimien kanssa, palomuurin asettaminen sisälsi mahdollisesti monimutkaisen iptablesin määritystiedoston luomisen ja ylläpidon manuaalisesti. Olen kuitenkin hiljattain löytänyt ufw :n, joka on lyhenne sanoista Uncomplicated Firewall – ja se todella on :-)

Ubuntu Server 14.04:n asennuksessani oli jo ufw asennettuna, mutta jos sinulla ei ole, asenna se vain arkistoista:

sudo apt-get install ufw

UFW on itse asiassa vain työkalu, joka yksinkertaistaa iptablesin määrittämistä – kulissien takana iptables ja Linux-ytimen palomuuri tekevät suodatuksen, joten ufw ei ole vähemmän tai turvallisempi kuin nämä. Koska ufw kuitenkin helpottaa palomuurien määrittämistä oikein, se voi vähentää inhimillisten virheiden riskiä ja on siksi mahdollisesti turvallisempi kokemattomille järjestelmänvalvojille.

Jos palvelimesi on määritetty käyttämään IPv6:ta ja IPv4:ää, varmista, että tämä on otettu käyttöön myös UFW:lle. Muokkaa tiedostoa /etc/default/ufw ja etsi rivi, jossa lukee IPV6=yes . Asennuksessani se oli jo olemassa, mutta jos se ei ole tai jos se sanoo ei, sinun tulee muokata sitä

Ota sitten avattavat portit käyttöön komentokehotteen avulla. Jos olet yhteydessä palvelimeesi ssh:n kautta, muista sallia sekin, muuten se voi häiritä yhteyttäsi ja mahdollisesti sulkea sinut pois palvelimelta, kun aktivoit sen – riippuen siitä onko sinulla fyysinen pääsy palvelimeen vai ei, tämä voi olla hankalaa ;-)

Jos esimerkiksi käytät ssh:ta vakioportissa 22 ja määrität verkkopalvelinta, joka tukee sekä salaamattomia (HTTP portissa 80) että salattuja (HTTPS portissa 443) yhteyksiä, sinun on annettava seuraavat komennot ufw:n määrittämiseksi:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Jos tarvitset lisää sääntöjä, lisää ne kuten yllä.

Jos sinulla on staattinen IP-osoite ja sinun täytyy pystyä muodostamaan yhteys ssh:n kautta vain yhdestä sijainnista, voit myös rajoittaa ssh-yhteydet yhteen alkuperäosoitteeseen seuraavasti:

sudo ufw allow from 192.168.0.1 to any port 22

Syötä tietysti oma IP-osoitteesi sen sijaan.

Kun olet valmis, ota ufw käyttöön kirjoittamalla:

sudo ufw enable

Ja olet valmis! Palomuuri on käynnissä ja käynnistyy automaattisesti, kun käynnistät palvelimen uudelleen :-)

Jos teet muutoksia ufw-määrityksiin, saatat joutua poistamaan sen käytöstä ja ottamaan sen uudelleen käyttöön, jotta ne tulevat voimaan seuraavasti:

sudo ufw disable
sudo ufw enable

Voit tarkastella nykyistä kokoonpanoa kirjoittamalla:

sudo ufw status

Jos ufw ei ole käytössä, tämä näyttää yksinkertaisesti "inaktiivisen" viestin, muuten se listaa tällä hetkellä määritellyt säännöt.