我对 Linux 还很陌生,由于学校的大多数资源计算机都使用 Linux,所以我只是安装了 Ubuntu 来学习。
默认iptables设置ufw策略如下:
IPTABLES -P INPUT DROP
IPTABLES -P FORWARD DROP
IPTABLES -P OUTPUT ACCEPT
ufw默认拒绝(默认传入)。
在这两种情况下,Linux 所有发行版都信任所有应用程序,包括应用程序 ftp、smtp、SSH、邮件和所有其他允许传出流量而无需通知或同意的应用程序。这反过来又使所有 0 到 65535 端口对所有已安装应用程序的传出流量开放。
此外,到目前为止,我尝试过的任何防火墙都没有特定的应用程序控制,例如 Firefox、Opera 或其他应用程序被授予访问互联网的权限。所有已安装的应用程序都可以自由地享受访问互联网的所有自由。
所有主要发行版都netstat经过了调整以提供最少的信息。
我担心的是安全性....操作系统(Linux)提供了多少安全性,它允许所有传出流量并阻止传入访问?
答案1
此类讨论时有发生,在我看来最好的答案是 Linux 不是 Windows,并且目前 Ubuntu 开发人员/安全团队认为当前的防火墙策略已经足够,因为默认情况下没有开放端口。
看 :https://wiki.ubuntu.com/SecurityTeam/Policies
防火墙在您所担心的问题上的实用性(恶意软件或破解者使用系统进行未经授权的活动)一直存在争议,但一致的看法是默认情况下不需要防火墙(如您所见)。但这并不意味着每个人都同意这个决定 ;)
如果您愿意,您可以自由地不同意该决定,并更改您的政策或向安全团队发送邮件。
就某些 Windows 应用程序中存在的应用程序级防火墙而言,可以说它不是那么容易实现的,尽管这些年来我见过一些编写此类应用程序级防火墙的尝试,但在我看来,技术还没有达到那个水平。
你可能想看看豹纹花我没有用过它并且不能保证它的效果如何。
另一个更早的尝试是塔克斯卫报,但正如您所见,它不再维护,并且我不建议您使用它。
Ubuntu 中最接近的东西是 Apparmor。
https://wiki.ubuntu.com/AppArmor
不,这并不是您所要求的,但它只是尽可能接近而已。
否则,在我看来,这个讨论已经很久了,如果你搜索 Ubuntu 论坛,你会发现很多讨论,而且
http://brainstorm.ubuntu.com/idea/4137
祝你好运,我希望这篇文章至少能为你提供一些信息,尽管它可能不是你想要的答案。
答案2
传出连接要求它们来自防火墙内部。在大多数情况下,这将是用户发起的活动。配置具有关闭传出流量策略的防火墙是一项艰巨的任务,并且需要对安装的每个新服务或 Internet 客户端进行维护。根据安装的软件和系统的使用情况,最终的防火墙可能会在除特权端口之外的所有端口上几乎完全开放。
开放的传出策略提供了相当安全的防火墙,无需用户具备很高的技能水平。输入和转发策略提供了抵御外部攻击的强大屏障,并使系统对外部探测相对不可见。
有些程序需要打开大多数非特权端口。这样就只剩下可以保护的安全端口 (<1024)。由于在基于 Linux (UNIX) 的系统上,这些端口需要 root 权限才能打开,因此很少有程序可以使用它们。
配置具有封闭策略的防火墙以进行传出流量是一项艰巨的任务。每个访问的服务都需要防火墙规则,在某些情况下,客户端软件或网络堆栈可能需要特殊配置。许多客户端默认使用临时端口进行 TCP、UPD 或两者的传出访问,作为源和目标。临时端口范围实际上是转发路由器和远程地址的 1024 以上的所有端口。
答案3
为什么所有传出端口都打开了?如果您不信任正在运行的应用程序,那么您将面临更大的问题:已经有一个应用程序正在运行,它可能会做坏事。如果您启动此应用程序,它可能会删除 $HOME 中的所有文件.....
您应该信任正在运行的应用程序,否则,您将面临比开放端口更大的问题。
如果您想浏览互联网,则需要打开到 80 (http) 的传出端口。如果您有一个不信任的应用程序,该应用程序可能会使用端口 80 作为目的地并穿过您的防火墙....
如果您仍想控制传出连接,您可以这样做:
- 禁止传出包裹。
- 在您的局域网中运行具有密码访问的 http 代理。
- 在您的局域网中运行邮件服务器。
- 但许多应用程序将不再运行(IP 语音、Skype、聊天......)
但是邪恶的应用程序可以读取您的 Firefox 代理设置,使用密码并将信息发送到更邪恶的服务器......
控制传出流量很困难。我不会这么做。