Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Sazoro - 08.07.08 - klo:20.01
-
Tiedän että olen tyhmä mutta mulla olisi helpompi olla jos tietäisin että se palomuuri on aina päällä kun koneen aukaisen aamulla.
Eli riittääkö siihen pelkästään käsky:sudo ufw enable - käynnistää palomuurin
Mitään palvelinta tai muuta en aio laittaa(mitä ne sitten lienevätkin?) eli muuten ihan ubuntun perusasennuksella.
Olisin kiitollinen vastauksesta.
-
Jos et aio pitää mitään palvelinta, et tarvitse palomuuria.
-
Jos et aio pitää mitään palvelinta, et tarvitse palomuuria.
Näin se on. Tekniset perusteet on selitetty tällä foorumilla varmaan tuhanteen kertaan.
T:Jallu59
-
Se ufw enable riittää. Käynnistyy sen jälkeen automaatisesti.
-
Se ufw enable riittää. Käynnistyy sen jälkeen automaatisesti.
Niin riittää joo, mutta kun sitä ei ole mitenkään konfiguroitu. (asetuksia tehty)
Sama kuin ottaisin tulitikkuaskin, missä ei ole tulitikkuja, ja tulen yritä saada aikaiseksi ;)
Elias jo sanoi miten asian laita on.
Mutta se ei tainnut riittää kysymyksen esittäjälle?
Omakohtainen käyttöhistoria, ei mitään palomuureja päällä, ja ei mitään ongelmia.
Silloin tällöin ssh-serveri päällä, mutta senkin oletusportti muutettu. Ei kukaan ole kolkutellut...
-
Jankkausta!
PERUS KÄYTÖSSÄ EI TARVITSE PALOMUURIA!
-
No uskonhan minä ja olen lukenut aiemmat viestit mutta silti
mua vaivaa että miksi sitten suse,fedora ja mandriva -asennuksissa
se on automaattisesti heti päällä jos ei sillä ole merkitystä.
Ja tosiaan; en varmasti mitään palvelimia laita kun en niistä mitään ymmärräkkään.
Käyttöni on vain normaalia(?) nettiselailua mutta käyn hyvin paljon ulkolaisilla
sivustoilla hakiessani tietoa käsitöistä eikä ne aina välttämättä ole
turvallisia sivustoja ainkaan windowssin puolella.
Näistä syistä mietin tuota palomuuria ja en, en todellakaan osaa konfiguroida sitä ellei mulla ole
mallina jokin kopioi/liitä juttu mitä pitää tehdä.
-
Kyllä sitä itsekkin tulee noilla "käsityö"-sivuilla käytyä ::) mutta ikinä ei ole tullut mitään pöpöä koneelle tässä muutaman vuoden ubuntun käytön aikana. Minkäänlaisia palomuureja tai virustorjuntoja en ole koneelleni laittanut turhaan resursseja syömään.
-
No uskonhan minä ja olen lukenut aiemmat viestit mutta silti
mua vaivaa että miksi sitten suse,fedora ja mandriva -asennuksissa
se on automaattisesti heti päällä jos ei sillä ole merkitystä.
Ei niissä minusta ole päällä, sama kai se.
Käyttöni on vain normaalia(?) nettiselailua mutta käyn hyvin paljon ulkolaisilla
sivustoilla hakiessani tietoa käsitöistä eikä ne aina välttämättä ole
turvallisia sivustoja ainkaan windowssin puolella.
Jos mikään ohjelma ei kuuntele/seuraa mitään portteja, ei mikään ulkoinen taho voi ottaa mihinkään sinun koneesi porttiin yhteyttä (suurinpiirtein näni). Eli turvassa ole.
Näistä syistä mietin tuota palomuuria ja en, en todellakaan osaa konfiguroida sitä ellei mulla ole
mallina jokin kopioi/liitä juttu mitä pitää tehdä.
Hyvä näitä asioita on miettiä.
-
eikö ubuntussa ole valmiina mitään palomuuria päällä, olen käyttänyt ubuntua kaksi vuotta ja tämä tuli uutena, tietoturvapäivityksiä tulee kymmeniä päivässä, mutta palomuuria näistä ei koske mikään? Ei sillä että palomuuri olisi välttämättä tarpeellinen, mutta silti tuli vähän yllättäen. Mitä tuo ufw käytännössä tekee, onko se perjaatteessa pelkkä routteri palvelimille, vai voiko sillä ihan "suojata (joopajoo)" konetta
-
ufw:n käyttöönotto tekee palomuurille peruskäyttöön soveltuvat palomuurisäännöt. Kokeilkaa vaikka komentaa sudo iptables -L sekä ufw päällä, että pois päältä, tuloste näyttää varsin erilaiselta.
No uskonhan minä ja olen lukenut aiemmat viestit mutta silti
mua vaivaa että miksi sitten suse,fedora ja mandriva -asennuksissa
se on automaattisesti heti päällä jos ei sillä ole merkitystä.
Ei niissä minusta ole päällä, sama kai se.
Fedorassa ja openSusessa ainakin palomuuri kytketään oletuksena päälle, ellei asentaessa erikseen kiellä.
-
Itse olen kokeillut ufw enablea ja ufw disablea vertaillessa sitä voinko ladata tiedostoja esim. bittorrentilla. En ole havainnut koneen toiminnassa mitään ongelmia on portit sitten kiinni tai ei. Käytän "varmuuden vuoksi" enablea, jottei tarvitsisi itseään sitten syyttää jos jotain tietoturvaan liittyviä ongelmia joskus ilmenee.
Järjestelmän toiminnan kannalta tämänhetkinen pullonkaula, joskaan ei vakava on tämän firefox3-selaimen takkuilu flash sivustojen railakkaan käytön seurauksena. Maltillinen flash-sivustojen selailu ei taas näytä aiheuttavan ongelmia.
-
http://probe.hackerwatch.org/probe/probe.asp Tuolta löytyy palomuuritesti (käsittääkseni ???)! Mulla ainakin Ubuntun perusasetukset, eli en oo palomuuria muokkaillu ja silti kaikki jollottaa vihreetä ;D, joten en oo tosta asiasta suuremmin ressiä ottanu ;)... Saa korjata, jos olen väärässä ton testin suhteen....
-
Kokeilin tuota Hackerwatchin testiä ufw:n kanssa ja ilman. Asetuksiin en ollut koskenut millään tavalla.
Tulokset :
Ilman palomuuria : Yksi portti 'secure' , useampi 'closed, but unsecure'
Palomuuri päällä : Kaikki portit 'secure'
Nmapilla testaamalla tulokseksi tuli molemmissa tapauksissa sama:
183_[11:53] ~$>nmap localhost
Starting Nmap 4.53 ( http://insecure.org ) at 2008-07-10 11:53 EEST
Interesting ports on localhost (127.0.0.1):
Not shown: 1713 closed ports
PORT STATE SERVICE
25/tcp open smtp
Eli jotain hyötyä tuosta palomuuristakin on, vaikka ilmankin varmaan tulee toimeen. Kysymysmerkiksi jäi tuo portti 25, koska hackerwatch väitti molemmissa tapauksissa portin olevan turvattu, nmap taas sen olevan auki. Tuossa vielä pieni ufw-opas: http://www.ubuntugeek.com/ufw-uncomplicated-firewall-for-ubuntu-hardy.html
-
http://probe.hackerwatch.org/probe/probe.asp Tuolta löytyy palomuuritesti (käsittääkseni ???)! Mulla ainakin Ubuntun perusasetukset, eli en oo palomuuria muokkaillu ja silti kaikki jollottaa vihreetä ;D, joten en oo tosta asiasta suuremmin ressiä ottanu ;)... Saa korjata, jos olen väärässä ton testin suhteen....
juu pelkkää vihreetä näyttää, mulla on kyllä ilmeisesti palomuuri päällä, kun kerran koneen sammuttaessa postaa että disabloi sitä
-
Enpä ole palomuuria käyttänyt, kun ei ole palvelintakaan. Mutta kohtapuoliin pitänee asiaan perehtyä, kun Apachen laittaa kuuntelemaan 80:aa. Menee ehkä aiheen vierestä, mutta jos ssh- tai www-serverin siirtää kuuntelemaan jotain muuta porttia, niin onko yhteyttä ottavien tiedettävä osoitteen lisäksi oikea portti? Eli pystyisikö reititin tai joku muu osa erottamaan "kaverit, joilla on tunnukset" niistä, jotka koettavat arvailla itseään sisään ja ohjaamaan heidät oletusportista oikealle ovelle?
-
Ilman muuria pitäisi tulla noita varoituksia testisivuilta. Sillä portit eivät ole kiinni, mutta mikään ohjelma ei kuitenkaan vastaanota niihin tulevaa liikennetta. (Ja vaikka kuka niihin mitä koodia pommittaisi, ei se tule koneen sisään.)
Muurin kanssa pitäisi tulla pelkkää "vihreätä".
Molemmat tilanteet ovat (Ubuntun tapauksessa) normaaleja ja tietoturva kunnossa.
Vain asentamalla jotain palvelinohjelmistoja koneelleen voi saada saada jonkin ohjelman kuuntelemaan portteja. Silloin on olemassa teoreettinen mahdollisuus murtautumiseen (ko. ohjelmassa pitäisi olla aukko, jota joku osaisi käyttää; ohjelman päivittäminen hoitaa ongelman yleensä ennenkuin mitään voi tapahtua). Jokaisen internetpalveluita ajavan pitäisi päivittää koneensa säännöllisesti ja seurata tietoturvauutisia. Useimmat Linuxia/Ubuntua koskevat tietoturva-aukot tulevat hyvinkin nopeasti esiin esim. tällä foorumilla.
Testisivuja kokeiltaessa tulee ottaa huomioon oma modeemi. Useat nykymodeemit ovat ns. nattaavia eli pitävät sisällään myös oletuksena päällä olevan (rauta-) palomuurin, jonka takana Ubuntu kone "näyttää vihreää" joka tapauksessa. Testatakseen oman koneen palomuuria pitäisi kone olla kytkettynä suoraan nettiin "tyhmällä" modeemilla tai asettaa nattaavaan modeemiin siltaava tila.
-
http://probe.hackerwatch.org/probe/probe.asp Tuolta löytyy palomuuritesti (käsittääkseni ???)! Mulla ainakin Ubuntun perusasetukset, eli en oo palomuuria muokkaillu ja silti kaikki jollottaa vihreetä ;D, joten en oo tosta asiasta suuremmin ressiä ottanu ;)... Saa korjata, jos olen väärässä ton testin suhteen....
Jos tietokone on reitittävän modeemin tms. takana, eikä portteja ole uudelleenohjattu koneelle, nuo testit näyttävät vihreää, vaikka itse koneella portit olisivatkin näkyvillä.
-
Palomuurin säädöt on helppo tehdä käsin
http://ratkaisu.net/smf/index.php?topic=1035.0 (http://ratkaisu.net/smf/index.php?topic=1035.0)
ja lisää iptables-asiaa jos on kiinostunut enemmän
http://ratkaisu.net/smf/index.php?topic=192.0 (http://ratkaisu.net/smf/index.php?topic=192.0)
Minkäänlaisia palomuureja tai virustorjuntoja en ole koneelleni laittanut turhaan resursseja syömään.
Palomuurihan löytyy kernelistä, tai toisinpäin, kernelissä tuo palomuuri on, joten eipä tuo resusseja syö
-
Palomuurin säädöt on helppo tehdä käsin
http://ratkaisu.net/smf/index.php?topic=1035.0 (http://ratkaisu.net/smf/index.php?topic=1035.0)
ja lisää iptables-asiaa jos on kiinostunut enemmän
http://ratkaisu.net/smf/index.php?topic=192.0 (http://ratkaisu.net/smf/index.php?topic=192.0)
Ihan helppoa on ufw:lläkin. ;)
Tässä siis ote man-sivusta, siitä löytyy lisää ja netistä kans. :)
NAME
ufw - program for managing a netfilter firewall
DESCRIPTION
This program is for managing a Linux firewall and aims to provide an easy to use interface for the user.
USAGE
ufw [--dry-run] enable|disable
ufw [--dry-run] default allow|deny
ufw [--dry-run] logging on|off
ufw [--dry-run] status
ufw [--dry-run] [delete] allow|deny PORT[/protocol]
ufw [--dry-run] [delete] allow|deny [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]]