Почему брандмауэр отключен по умолчанию?

Из коробки Ubuntu поставляется без открытых портов TCP или UDP, поэтому существует мнение, что по умолчанию не нужно запускать Uncomplicated Firewall (ufw). Я согласен, однако, что отключение UFW - странное решение. Я полагаю, что неопытные пользователи, вероятно, собираются установить такие вещи, как Samba, Apache и тому подобное, когда они экспериментируют с системой, поставленной перед ними. Если они не понимают последствий этого, они подвергают себя злонамеренному вреду в Интернете.

Пример - у меня ноутбук настроен на Samba, что нормально в моей домашней сети, защищенной WPA2. Но если я возьму свой ноутбук в Starbucks, я ничего не подумаю об этом, но этот ноутбук теперь рекламирует мои акции всем и каждому. С помощью брандмауэра я могу ограничить свои порты Samba только своим домашним сервером или одноранговыми устройствами. Больше не нужно беспокоиться о том, кто пытается подключиться к моему ноутбуку. То же самое касается VNC, SSH или огромного количества других полезных сервисов, которые могут работать на моем ноутбуке или пытаться подключиться.

Ubuntu применяет очень активный подход к определенным элементам безопасности, с философией, с которой я не согласен. С технической точки зрения безопасность может быть включена или выключена, но, накладывая друг на друга элементы безопасности, вы получаете лучшую систему. Конечно, безопасность Ubuntu достаточно хороша для большого количества случаев использования, но не для всех.

Итог, беги UFW. Береженого Бог бережет.

Несложный брандмауэр имеет несколько графических интерфейсов, но самым простым является Gufw.

sudo apt-get install gufw

Здесь я разрешаю весь трафик из определенных VLAN-серверов в своей корпоративной среде и добавил правило, позволяющее портам, необходимым для обратного сеанса SSH, отскакивать от этой машины.

В отличие от Microsoft Windows, рабочий стол Ubuntu не нуждается в брандмауэре для безопасности в Интернете, поскольку по умолчанию Ubuntu не открывает порты, которые могут создавать проблемы безопасности.

Как правило, для надлежащей защиты системы Unix или Linux не требуется брандмауэр. Брандмауэры (за исключением некоторых проблем безопасности с компьютерами Windows) имеют больше смысла блокировать внутренние сети в Интернет. В этом случае локальные компьютеры могут связываться друг с другом через открытые порты, которые являются брандмауэрами наружу. В этом случае компьютеры преднамеренно открыты для внутренних коммуникаций, которые не должны быть доступны за пределами внутренней сети.

Стандартный рабочий стол Ubuntu не требует этого, поэтому ufw не включен по умолчанию.

В Ubuntu или любом другом Linux брандмауэр является частью базовой системы и называется iptables/netfilter. Это всегда включено.

iptables состоит из набора правил о том, что делать и как вести себя, когда пакет выходит из очереди. Если вы хотите явно блокировать входящие соединения с определенного IP-адреса, вам необходимо добавить правило. На самом деле вам не нужно этого делать. Расслабьтесь.

Если вам нужна надежная защита от чего-либо, помните, что не устанавливайте случайные программы из любого места. Это может испортить ваши настройки безопасности по умолчанию. Никогда не запускайте как root. Всегда доверяйте официальным репо.

Я думаю, что вы хотели спросить, был ли интерфейс установлен или нет?

Также, gufw может предоставить интерфейс GUI. (Для меня это на самом деле не более интуитивно понятно, чем UFW в командной строке, но это дает вам более наглядное напоминание о том, что там есть.) Я согласен, что брандмауэр в настоящее время не очень хорошо рекламируется. Если бы я догадался, я бы сказал, что это предотвращает новых пользователей от стрельбы в ногу.

Потому что: пароли или крипто-ключи.

Это ИМО правильный ответ, и пока что ответ совсем другой, чем у других. ufw по умолчанию отключено для удобства большинства пользователей Ubuntu, которые знают, что пароли являются важной формой защиты для обеспечения конфиденциальности и ограниченного контроля. Большинство пользователей Ubuntu будут "проверять" программное обеспечение, устанавливая его из утвержденных Ubuntu репозиториев, и будут осторожны с другими источниками, чтобы минимизировать риски в целом, а не только риски, связанные с портами. Тем самым они в значительной степени сводят к минимуму риск, связанный с портами, который уже был небольшим, потому что они используют "нормальные" пароли, и очень малы, если они используют трудно взломанные пароли или крипто-ключи.

Некоторые из перечисленных рисков, таких как файловый сервер Samba, HTTP-сервер Apache, SSH, VNC в Wi-Fi Starbucks (общедоступный), обычно устраняются с помощью сложных паролей на хосте.

ufw "ломает" программное обеспечение, как и брандмауэр, поэтому по умолчанию оно отключено. Чтобы проверить это на новой установке Ubuntu, сервер A, установите ssh и войдите с другой машины, клиента B, в ту же локальную сеть, и вы увидите, что она работает немедленно. Выйти. Затем вернитесь на сервер A и sudo ufw enable, Вернитесь к клиенту B, и вы не сможете ssh на сервер А.