Чому Debian працює без брандмауера, включеного за замовчуванням?

Я використовую Debian 9.1 з KDE, і мені цікаво, чому він поставляється без встановлення та включення брандмауера за замовчуванням? gufw навіть немає в пакетах DVD1.

Очікується, що люди підключаться до Інтернету, перш ніж отримати брандмауер? Чому? Навіть якщо всі порти за замовчуванням закриті, різні встановлені, оновлені або завантажені програми можуть відкрити їх (чи ні?), І я хочу, щоб жоден біт не залишав свою машину без мого дозволу.

Редагувати: Отже, я щойно дізнався про iptables, але, мабуть, питання все ще залишається таким же iptables, оскільки брандмауер здається більшістю невідомим, його правила за замовчуванням, його доступність та простота використання та факт, що за замовчуванням будь-які правила iptable скидаються при перезапуску .

По-перше, Debian схильний вважати, що ви знаєте, що ви робите, і намагається уникати вибору для вас.

Установка Debian за замовчуванням є досить невеликою і безпечною - вона не запускає жодних служб. І навіть стандартні додаткові додатки (наприклад, веб-сервер, ssh), які додаються до інсталяції, зазвичай досить консервативні та безпечні.

Отже, брандмауер в цьому випадку не потрібен. Debian (або його розробники) припускають, що якщо ви запускаєте додаткові сервіси, ви знатимете, як їх захистити, і при необхідності можете додати брандмауер.

Що ще важливіше, можливо, Debian уникає робити вибір щодо програмного забезпечення для брандмауера. Існує ряд варіантів - який з них слід використовувати? І навіть щодо базової настройки брандмауера, яку настройку слід вибрати? Сказавши це, iptablesважливим є пріоритет, тому він встановлений за замовчуванням. Але, звичайно, Debian не знає, як ви хочете його налаштувати, тому не налаштовує його для вас. І ви, можливо, вважаєте за краще використовувати iptablesспадкоємця nftables.

Зауважте також, що функціональність брандмауера вже певною мірою вбудована в ядро ​​Linux; наприклад nftablesі netfilter. Дебіни та інші дистрибутиви Linux надають інструменти iptablesдля користувальницького простору, як управління цим функціоналом. Але те, що ви робите з ними, залежить від вас.

Зауважте, що ці об'єкти не названі послідовно. Цитую Вікіпедії nftablesсторінки :

nftables конфігурується через утиліту простору користувача nft, тоді як netfilter налаштований через утиліти iptables, ip6tables, arptables та ebtables.

По-перше, я хочу повторити те, що вже було сказано: Debian обслуговує досить іншу групу користувачів, ніж багато інших основних версій, зокрема Ubuntu. Debian орієнтований на людей, які знають, як працює система, і які не бояться час від часу заїжджати у відповідь на високий ступінь контролю над системою. Наприклад, Ubuntu обслуговує дуже різну цільову аудиторію: людям, які просто хочуть, щоб справи працювали і не дуже цікаво, що відбувається під капотом, і, звичайно, не хочуть змінювати конфігурацію системи, щоб зробити це робота. Це впливає на ряд аспектів системи, що виникає в результаті. І певною мірою це одна краса Linux; та ж базова система може бути використана для створення середовищ, що задовольняють різні потреби. Пам'ятайте, що Ubuntu є похідною Debian,

gufw навіть немає в пакетах DVD1.

Перший диск містить найпопулярніше програмне забезпечення, що визначається вибором анонімної статистики з встановлених систем. Те, що gufw не на першому диску, просто вказує на те, що це не дуже популярний (з точки зору встановленої бази) пакет Debian. Його також легко встановити, коли у вас є базова система з налагодженням роботи в мережі, якщо ви віддаєте перевагу їй замість альтернативи.

Очікується, що люди підключаться до Інтернету, перш ніж отримати брандмауер? Чому?

Ну, з одного боку, я вважаю, що Debian дозволяє встановлювати через мережу. (Не тільки завантажувати пакети з мережі під час звичайної установки, але й буквально запускати установку з іншого хоста, ніж той, на якому встановлено .) Брандмауер, налаштований за замовчуванням із встановленим обмежувальним правилом, ризикує перешкодити цьому. Те саме з установками, які потребують вихідного доступу до мережі під час процесу інсталяції для інших цілей, ніж просто завантаження останніх версій встановлених пакетів.

Для іншого є те, про що я згадував вище; як правило, Debian очікує, що ви знаєте, що робите. Якщо ви хочете брандмауер, ви, мабуть, зможете налаштувати його самостійно, і очікується, що ви краще, ніж технічні працівники Debian, знаєте, які саме ваші потреби. У цьому відношенні Debian трохи схожий на OpenBSD, не настільки екстремальний. (Якщо надано вибір між тим, щоб зробити базову систему трохи більш захищеною і зробити її трохи більш зручною, користувачі, які підтримують OpenBSD, практично завжди намагаються забезпечити безпеку. Це показує статистику вразливості безпеки базової системи, але має величезний вплив на зручність використання.)

І звичайно, формальність: Підтримка брандмауера буде включена в базову систему. Просто він встановлений на вседозволене правило, встановлене за замовчуванням ядром, і базова установка Debian не робить нічого, щоб змінити це. Ви можете виконати пару команд, щоб обмежити потік трафіку.

Навіть якщо всі порти за замовчуванням закриті, різні встановлені, оновлені чи завантажені програми можуть відкрити їх (чи ні?), І я хочу, щоб жоден біт не залишав свою машину без мого дозволу.

По-перше, брандмауери зазвичай використовуються для обмеження вхідного трафіку. Якщо ви хочете обмежити вихіднітрафік, це досить інший чайник з рибою; Безумовно, можливо, але потрібно набагато більше адаптувати до вашої конкретної ситуації. Брандмауер вихідного трафіку за замовчуванням, який залишає відкритими часто використовувані порти (де часто використовувані порти можуть бути ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 і пакет інших), а також дозволити трафік, пов’язаний із встановленими сеансами, не буде набагато безпечнішим, ніж брандмауер, що дозволяє дозволити за замовчуванням. Краще переконатися, що набір пакунків, встановлених базовою системою, обмежений набором добре зрозумілих, налаштованих захищених як доставлених пакетів, і дозволити адміністратору встановити відповідні правила брандмауера, якщо їм потрібен більший захист, ніж цей.

По-друге, закритий порт (той, який відповідає на TCP SYN з TCP RST / ACK, як правило, повідомляється як "відмовлено в з’єднанні" - зазвичай це стан за замовчуванням порту TCP в реальній системі, що підтримує TCP / IP за відсутності конфігурації, навпаки, або програмного забезпечення, яке слухає на ній) не є значною вразливістю, навіть у системі, не підключеній через окремий брандмауер. Єдиною значною вразливістю у повністю закритій конфігурації було б, якщо є вразливість в рамках реалізації TCP / IP стека ядра. Але пакети вже проходять через код netfilter (iptables) в ядрі, і помилка також може там ховатися. Логіка реагування на те, що призводить до того, що "зв’язок відмовився" з іншого боку, досить простий, що мені важко вірити, що це буде головним джерелом помилок, не кажучи вже про помилки, пов'язані з безпекою;

По-третє, пакунки, як правило, встановлюються як root, звідки ви (пакет) можете змінити правила iptables без вашого відома. Тож це не так, як ви отримуєте щось подібне до того, щоб вимагати від адміністратора людини вручну дозволяти трафік через хост-брандмауер. Якщо ви хочете такого типу ізоляції, вам слід мати брандмауер окремо від хоста, який він захищає.

Тож я щойно дізнався про iptables, але, мабуть, питання все ще залишається таким же iptables, як брандмауер здається більшістю невідомим, його правила за замовчуванням та доступність та простота використання.

Я б фактично сказав, що все навпаки ; iptables як брандмауер добре відомий . Він також доступний практично в будь-якій системі Linux, до якої ви, швидше за все, натрапите. (Він замінив ipchains під час розробки, що призвело до ядра Linux версії 2.4, приблизно 2000 року або близько того. Якщо я пригадую речі правильно, найбільшою помітною для користувача зміною для обох випадків брандмауера є те, що вбудоване правило ланцюжки тепер були названі великими літерами, як INPUT, замість малі, як input.)

Якщо що-небудь, iptables можуть робити інші речі, крім брандмауера, які широко не використовуються та не розуміються. Наприклад, з його допомогою можна переписати IP-пакети до того, як вони будуть пропущені через брандмауер.

Якби я здогадувався, не будучи фактично керівником цілого покоління розробників та технічних розробників Debian, я б здогадався так:

Debian в першу чергу розроблений як серверна операційна система, і sid, і тестові гілки мають своїм основним призначенням створення наступної стабільної гілки, і під час заморожування вони заморожуються, а новий стабільний береться з тестування, як раз сталося зі Стретчем.

Враховуючи це, я б припустив, що я повинен був би підтвердити це своїм другом sysadmin, що брандмауери центрів обробки даних - це зовнішні пристрої, набагато вища безпека (принаймні, хтось сподівається, що це так)), для серверів і обробляти головне завдання брандмауера. Навіть у невеликій локальній мережі з маршрутизатором, це так, маршрутизатор - це брандмауер, я не використовую жодних правил локального брандмауера в жодній із моїх систем, чому б це зробити?

Я думаю, можливо, люди плутають свої локальні установки настільних Debian або одного файлового сервера в офісі чи будинку з фактичною роботою, пов’язаною з Debian, яка, на мою думку, зосереджена в основному на виробництві.

Я не впевнений у цьому, але після більш ніж десятиліття використання Debian це моє почуття як розробника, так і прихильника Debian в багатьох відношеннях.

Я можу перевірити це, оскільки це насправді гарне запитання, але я гадаю, що справжні мережі розгортаються в точках входу в мережу, а не на кожній машині, або, принаймні, це основна ідея, яка, можливо, спричинить Debian. Плюс, звичайно, що якби це не так, sysadmin налаштовував би правила брандмауера на кожній машині, використовуючи щось на зразок шеф-кухаря, не покладаючись на будь-яку установку за замовчуванням, що не було б те, що ви прагнули б довіряти, наприклад, конфігурації ssh Debian за замовчуванням - це не те, що я використовував би особисто як за замовчуванням, наприклад, вони дозволяють ввійти в систему за замовчуванням, і це слід виправити sysadmin, якщо вони вважають це поганою практикою .

Тобто, існує припущення про компетентність, на яку я думаю, що De Debian може бути відсутнім у деяких інших дистрибутивах. Як і раніше, ви можете змінити те, що хочете змінити, створити зображення, керувати ними за допомогою програмного забезпечення для управління сайтом тощо. Це лише кілька можливостей. Наприклад, ви б ніколи не використовували DVD для створення нового сервера, принаймні, ніколи у виробництві, ви, ймовірно, використовуєте щось на зразок мінімальної netinstall, це те, що я завжди використовую, наприклад (я використовував ще менші зображення , але вони його припинили). Якщо ви подивитесь, що включено в цю базову установку, ви отримаєте гідне розуміння того, що Debian вважає вирішальним, а що - ні. ssh є, наприклад. Xorg ні, Samba - ні.

Можна також запитати, чому вони повернулися до GNOME як робочий стіл за замовчуванням, але це лише рішення, які вони приймають, і які їх користувачі в основному ігнорують, оскільки ви можете зробити системи так, як вам хочеться (тобто отримати настільні ПК Xfce, я не хочу я не встановлюю Xdebian (як у Xubuntu), я просто встановлюю Debian core, Xorg та Xfce, і я виходжу). Аналогічним чином, якби я хотів брандмауер, я налаштував би його, дізнався про плюси та виходи тощо, але я особисто не очікував би, що Debian поставляється з увімкненим режимом, це насправді було б мені дратує, якби . Можливо, мої погляди на це відображають певний консенсус, який ви також можете знайти в Debian.

Плюс звичайно, насправді немає такого поняття, як Debian, є різні зображення для встановлення, netinstall, full install, всі вони варіюються від баребонів, кліпів, лише до достатньо повного робочого столу користувача. Користувачі виробництва, ймовірно, створюють зображення, наприклад, які будуть налаштовані так, як хоче користувач, я знаю, якби я налаштовував сервер Debian, я б почав із вихідних основ і будував його до тих пір, поки не зробить те, що хотів.

Тоді у вас є світ веб-серверів - це зовсім інша куля воску, у них дуже різні питання безпеки, і, як сказав мій старий друг, добре пов'язаний з хакерським підпіллям, хтось, хто запускає веб-сервер, не знаючи, як захистити його також можна назвати тим, чий сервер належить сухарям.

Загальна ідея полягає в тому, що брандмауер вам не потрібен у більшості систем, крім складних налаштувань.

SSH працює ,, коли ви встановили сервер. Нічого іншого не повинно слухати, і ви, мабуть, хочете мати можливість підключитися до ssh.

Встановлюючи веб-сервер, ви очікуєте, що веб-сервер буде доступний, чи не так? А для базової настройки ви можете прив’язати веб-сервер лише до приватного інтерфейсу LAN, наприклад, 192.168.172.42 (ваш локальний IP-адреси локальної мережі), а не 0,0.0,0 (всі ips). Вам все одно не потрібен брандмауер.

Звичайно, все може відкрити порт> 1024, але коли у вас є недовірене програмне забезпечення (або ненадійні користувачі), вам слід зробити більше, ніж просто встановити брандмауер. У момент, коли вам потрібно щось недовірити чи комусь, вам потрібна концепція безпеки не лише програмного забезпечення. Тож це добре, коли вам потрібно активно думати про рішення вашого брандмауера.

Зараз, звичайно, є складніші сценарії. Але коли у вас є одне з них, вам дійсно потрібно самотужки налаштувати брандмауер і не дозволяти напівавтоматичній системі, як ufw. Або ви навіть можете використовувати ufw, але тоді ви вирішили це, а не за замовчуванням операційної системи.

Очікується, що люди раніше підключатимуться до Інтернету

так

отримати брандмауер?

Навіть якщо всі порти за замовчуванням закриті

Вибачте, їх немає. rpcbindначебто встановлено, увімкнено та прослуховано в мережі за замовчуванням.

EDIT: Я вважаю, що це було виправлено в останньому інсталяторі, тобто для Debian 9 (Stretch) . Але з попередніми версіями Debian я не відчував би себе дуже безпечно встановлювати (а потім оновлювати) їх у загальнодоступній мережі Wi-Fi.

Чому?

Я підозрюю, що люди мають припущення, що це

1. локальна мережа не буде атакувати ваші мережеві послуги
2. між вашою локальною мережею та ширшим Інтернетом вже існує брандмауер.

Хоча остання є звичайною практикою, наприклад, споживачами маршрутизаторів, я не вважаю, що це гарантується. Не дивно, що колишнє припущення не задокументоване; і це не є розумним.

На мою думку, проблема з rpcbind є прикладом більш загального пункту. Люди можуть спробувати просувати Debian, і він має багато цікавих функцій. Але Debian відстає від Ubuntu в тому, наскільки він відполірований і доброзичливий, або, можливо, навіть наскільки він надійний для тих, хто хоче дізнатися такі деталі.

завантажені програми можуть відкрити їх (чи ні?), і я хотів би, щоб жоден біт не залишав свою машину без мого дозволу.

Ви, звичайно, вільні встановити брандмауер, перш ніж розпочати завантаження та запуск випадкового програмного забезпечення, яке не знаєте, що це робить :-p.

Я частково погоджуюся, що тривожно встановлювати Linux і не знаходити жодного інтерфейсу, налаштованого на дуже відомий рівень безпеки. Особисто мені було корисно зрозуміти, як налаштований брандмауер Windows за замовчуванням. Він хоче, щоб ви могли «довіряти» домашній мережі, а в останніх версіях експрес-інсталяція навіть пропустить запитання, чи довіряєте ви поточній мережі. Головною метою, здається, є розмежування між домашніми мережами, незахищеними з'єднаннями, як-от безпосередньо підключений модем, та загальнодоступними мережами Wi-Fi. Зверніть увагу, що UFW це все одно не підтримує.

Fedora Linux намагалася надати щось подібне в firewalld. (Пакети, здається, доступні і в Debian ...). Графічний інтерфейс для нього не такий «дружній», скажімо, як GUFW.

Традиційна філософія Unix завжди була KISS та працює / виставляє мінімум послуг.

Декілька сервісів також мають бути встановлені явно, і навіть деякі прив'язані до localhost, і ви повинні включити, щоб вони були видимими у вашій локальній мережі / в Інтернеті (MySQL, MongoDB, snmpd, ntpd, xorg ...). Це більш розумний підхід, ніж включення брандмауера за замовчуванням.

Вам потрібна лише складність, яку брандмауер приносить з певної точки, і ця потреба може бути зменшена, якщо знаходиться за корпоративним маршрутизатором або домашнім пристроєм, тому це звучить розумно, залишаючи користувачеві це рішення. Брандмауер, як і багато інших програм програмного забезпечення, також може забезпечити помилкове відчуття безпеки при неправильному керуванні.

Орієнтація Debian завжди була більш технічно орієнтованим народом, який знає, що таке iptables; також є кілька добре відомих обгортків, текстових або графічних інтерфейсів, які можна легко встановити.

Крім того, питання про те, чи встановлено це занадто багато або занадто мало встановленого програмного забезпечення, стає предметом думки. Довгий час ветеран постачається з занадто великою кількістю програмного забезпечення та служб, встановлених за замовчуванням, особливо в серверному режимі.