为什么 ufw 防火墙包含在 Ubuntu 中,而它默认并未启用和预配置?大多数用户甚至不知道它在那里,因为没有提供 GUI 前端。
答案1
Ubuntu 出厂时没有开放 TCP 或 UDP 端口,因此人们认为没有必要运行简单防火墙 (ufw)默认情况下。不过,我同意禁用 ufw 是一个奇怪的决定。我的理由是,没有经验的用户可能会安装 Samba、Apache 等程序,因为他们会尝试摆在他们面前的系统。如果他们不理解这样做的含义,他们就会将自己暴露在互联网上的恶意行为中。
例如 - 我的笔记本电脑已配置了 Samba,在受 WPA2 保护的家庭网络中运行良好。但如果我将笔记本电脑带到星巴克,我可能不会觉得有什么问题,但那台笔记本电脑现在正在向所有人宣传我的共享。使用防火墙,我可以将 Samba 端口限制为仅用于我的家庭服务器或对等设备。现在无需担心谁可能试图连接到我的笔记本电脑。VNC、SSH 或我的笔记本电脑可能正在运行或尝试连接的大量其他有用服务也是如此。
Ubuntu 对某些安全元素采取了一种非常开放/关闭的方法,这种理念我无法认同。从技术上讲,安全性可能处于开启或关闭状态,但通过将安全元素逐层叠加,最终会得到一个更好的系统。当然,Ubuntu 的安全性足以满足大量用例,但并非全部。
底线是,运行 ufw。小心为上。
不复杂的防火墙有许多图形前端,但最简单的是古夫。
sudo apt-get install gufw
在这里,我允许来自公司环境中特定服务器 VLAN 的所有流量,并且添加了一条规则以允许反向 SSH 会话所需的端口从此机器反弹。
答案2
与 Microsoft Windows 不同,Ubuntu 桌面不需要防火墙来确保互联网安全,因为默认情况下 Ubuntu 不会打开可能引发安全问题的端口。
一般来说,适当强化的 Unix 或 Linux 系统不需要防火墙。防火墙(Windows 计算机的某些安全问题除外)更适合阻止内部网络访问互联网。在这种情况下,本地计算机可以通过开放端口相互通信,而防火墙会阻止这些端口向外通信。在这种情况下,计算机有意向内部通信开放,而这些通信不应该在内部网络之外进行。
标准 Ubuntu 桌面不需要这个,因此 ufw 默认不启用。
答案3
在 Ubuntu 或任何其他 Linux 中,防火墙是基本系统的一部分,称为 iptables/netfilter。它始终处于启用状态。
iptables 包含一组规则,规定当数据包传出或传入时应做什么以及如何操作。如果您想明确阻止来自特定 IP 的传入连接,则需要添加一条规则。实际上您不需要这样做。放轻松。
如果您希望获得良好的安全性,请记住不要从任何地方安装随机软件。它可能会破坏您的默认安全设置。永远不要以 root 身份运行。始终信任官方存储库。
我认为您想问的是 UI 是否已安装?
答案4
因为:密码或加密密钥。
在我看来这是正确答案,而且到目前为止,与其他答案截然不同。ufw
默认情况下禁用此功能,以方便大多数 Ubuntu 用户,他们知道密码是提供隐私和限制控制的重要保护形式。大多数 Ubuntu 用户将通过从 Ubuntu 批准的存储库安装来“审查”软件,并小心谨慎对待其他来源,以尽量减少一般风险,而不仅仅是与端口相关的风险。通过这样做,他们可以大大降低与端口相关的风险,因为他们使用“正常”密码,所以这种风险已经很小,如果他们使用难以破解的密码或加密密钥,风险会非常小。
一些被提及的风险,例如 Samba 文件服务器、Apache HTTP 服务器、SSH、星巴克 (公共) WiFi 上的 VNC,通常可以通过主机上难以破解的密码来消除。
ufw
防火墙会“破坏”软件,这也是为什么默认情况下禁用它的原因。要在全新安装的 Ubuntu 服务器 A 上测试这一点,请ssh
从同一本地网络上的另一台计算机客户端 B 安装并登录,您将看到它立即起作用。注销。然后返回服务器 A 并sudo ufw enable
。返回客户端 B,您将无法ssh
访问服务器 A。