Pourquoi le pare-feu ufw est-il inclus dans Ubuntu, alors qu’il n’est pas activé et préconfiguré par défaut? La plupart des utilisateurs ne savent même pas qu'il est là, car aucune interface graphique n'est fournie.
J'ai été choqué d'apprendre par hasard qu'un pare-feu est installé mais désactivé! Les arguments mentionnés ici sont assez faibles.
HRJ
1
Je me pose la même question. C’est pourquoi j’ai atterri ici. Je suppose que les utilisateurs de Linux (par opposition à ceux de Windows qui sont plus susceptibles d’être des utilisateurs de bureau normaux) ont différentes utilisations de Linux: certaines pour le pentesting, certains l'utilisent ssh, d'autres pas, beaucoup l'utilisent comme serveur web, base de données ou serveur smtp ... la philosophie de Linux permettra à chaque utilisateur de configurer son pare-feu à sa guise.
user10089632
C'est une décision de conception incroyablement mauvaise. Juste étonnamment mauvais!
iono le
Réponses:
37
Dès la livraison , Ubuntu est livré sans ports TCP ou UDP ouverts, d’où la conviction qu’il n’ya aucune raison d’exécuter Par défaut un pare-feu (ufw) . Je conviens cependant que le fait d'ufw handicapé est une décision étrange. Mon raisonnement étant que les utilisateurs inexpérimentés vont installer des choses comme Samba, Apache et autres, comme ils expérimentent avec le système qui leur est présenté. S'ils ne comprennent pas les implications de cela, ils s'exposent au trafic malveillant sur Internet.
Exemple - Mon ordinateur portable est configuré avec Samba, ce qui convient parfaitement à mon réseau domestique protégé avec WPA2. Mais si je transporte mon ordinateur portable vers un Starbucks, je ne penserai peut-être pas à cela, mais cet ordinateur portable annonce maintenant mes actions à tout le monde. Avec un pare-feu, je peux limiter mes ports samba à mon serveur domestique ou à des périphériques homologues. Inutile de vous soucier autant de savoir qui pourrait essayer de se connecter à mon ordinateur portable. Il en va de même pour VNC, SSH ou un très grand nombre d'autres services utiles sur lesquels mon ordinateur portable est peut-être en cours d'exécution ou dans lequel il essaie de se connecter.
Ubuntu adopte une approche très on-off de certains éléments de sécurité, une philosophie avec laquelle je ne peux pas être d'accord. La sécurité peut être techniquement activée ou désactivée, mais en superposant des éléments de sécurité les uns sur les autres, vous obtenez un meilleur système. Bien sûr, la sécurité d'Ubuntu est suffisante pour un grand nombre de cas d'utilisation, mais pas pour tous.
En bout de ligne, exécutez ufw. Mieux vaut prévenir que guérir.
Un pare-feu simple comporte un certain nombre de frontaux graphiques, mais le plus simple est Gufw .
sudo apt-get install gufw
Ici, j'autorise tout le trafic provenant de VLAN de serveur spécifiques dans mon environnement d'entreprise et j'ai ajouté une règle permettant aux ports nécessaires à une session SSH inversée de rebondir sur cette machine.
ufw ne fait que contrôler iptables - c’est pourquoi il n’est pas activé par défaut. Les utilisateurs avancés peuvent utiliser iptables.
Papukaija
3
@papukaija - les utilisateurs avancés d'iptables peuvent utiliser iptables. Un utilisateur avancé sur un système bsd utiliserait pf, mais cela ne veut pas dire que cet utilisateur, venant à Ubuntu, devient soudainement non sophistiqué. De la même manière, une personne qui est principalement un ingénieur réseau - cette personne connaît la logique des listes de contrôle d'accès Cisco ou Juniper. Ce n'est pas pour tout le monde, mais ufw peut rendre la configuration plus accessible, et à mon avis c'est une bonne chose.
Belacqua
2
@jgbelacqua: C'est vrai, mais la réponse de la scaine donne une image qui uww est un pare-feu alors que ce n'est qu'une interface pour iptables.
Papukaija
1
(Avertissement de pédant agressif) Je recommanderais aux utilisateurs de ne pas autoriser les paquets UDP / 53 entrants aléatoires sur la base d'une adresse source spoofable. Ils ont été utilisés dans des attaques du monde réel (poison DNS, DoS par trafic amplifié). Vous auriez besoin de faire ça pourquoi?
sourcejedi
Oui, probablement vrai. C'est vraiment une mauvaise capture d'écran d'un vieux PC sur lequel je voulais simplement extraire OpenDNS de mes journaux. Ce n'est pas une bonne pratique. Si le temps me le permet, j'essaierai de mettre à jour la capture d'écran, car GUFW est assez différent de nos jours.
Scaine
28
Contrairement à Microsoft Windows, un bureau Ubuntu n'a pas besoin de pare-feu pour être sûr sur Internet, car Ubuntu n'ouvre pas par défaut les ports susceptibles de poser des problèmes de sécurité.
En général, un système Unix ou Linux correctement renforcé ne nécessitera pas de pare-feu. Les pare-feu (à l'exception de certains problèmes de sécurité sur les ordinateurs Windows) ont plus de sens pour bloquer les réseaux internes vers Internet. Dans ce cas, les ordinateurs locaux peuvent communiquer entre eux via des ports ouverts bloqués vers l'extérieur par le pare-feu. Dans ce cas, les ordinateurs sont intentionnellement ouverts pour les communications internes qui ne devraient pas être disponibles en dehors du réseau interne.
Le bureau Ubuntu standard n’aurait pas besoin de cela, donc ufw n’est pas activé par défaut.
(G) uwf n'est-il pas juste une interface? Je veux dire que le vrai pare-feu est iptables, n'est-ce pas?
papukaija
9
Même les systèmes correctement renforcés bénéficieront d'un pare-feu. Par exemple, si vous exécutez Samba, vous ouvrez divers ports à tout le monde. Avec un pare-feu, vous pouvez limiter cela à votre serveur ou à vos pairs.
Scaine
netfilter + iptables ou netfilter + ufw (qui inclut iptables) fournit le pare-feu. Mais si vous avez ufw, vous aurez une fonctionnalité de pare-feu.
Belacqua
4
[citation nécessaire]
ζ--
7
C'est complètement absurde. Un pare-feu est utilisé pour protéger les communications entrantes et sortantes contre les utilisations non légitimes ... Cela signifie que si vous installez un lecteur de musique ouvrant un port à tort, vous disposerez d'une connexion ouverte à Internet. C'est ce qu'on appelle la sécurité préventive, vous protégez contre les choses qui peuvent arriver. Cette réponse donne aux gens un faux sentiment de sécurité dans les environnements Linux.
Daniel
8
Dans Ubuntu ou tout autre système Linux, le pare-feu fait partie du système de base et s'appelle iptables / netfilter. Il est toujours activé.
iptables consiste en un ensemble de règles sur ce qu’il faut faire et comment se comporter lorsqu’un paquet s’arrête. Si vous souhaitez bloquer explicitement les connexions entrantes d’une adresse IP spécifique, vous devrez ajouter une règle. En fait, vous n’avez pas besoin de le faire. Se détendre.
Si vous voulez une bonne sécurité, n'oubliez pas de ne pas installer de logiciels aléatoires, où que vous soyez. Cela risquerait de bousiller vos paramètres de sécurité par défaut. Ne vous lancez jamais en tant que root. Toujours faire confiance aux repos officiels.
Je pense que ce que vous vouliez demander était que si l'interface utilisateur est installée ou non?
Vous donnez l'impression qu'un pare-feu est "toujours activé", ce qui n'est pas le cas. Il est peut-être intégré, mais à moins que vous ne l'activiez sudo ufw enable, le premier logiciel serveur que vous installez ouvrira un port sur lequel iptables intégré ne fera rien.
Scaine
4
@Scaine: ufw ne fait pas le travail; c'est fait par iptables qui est activé par défaut.
Papukaija
7
Salut les gars. UFW est un frontal sur iptables - je comprends. Cependant, par défaut, iptables ne fait précisément rien. Ça ne marche pas. Ce n'est pas un pare-feu. C'est prêt, mais inutile. Vous DEVEZ exécuter sudo ufw enableavant qu'iptables soit configuré pour faire quoi que ce soit. Manish, ta réponse ressemble à celle d'un pare-feu. Vous dites "techniquement c'est" et techniquement vous avez raison. Mais cela ne fait rien, alors vous donnez une fausse impression massive de sécurité là où il n'y en a pas.
Scaine
3
@manish, concernant "les utilisateurs normaux installant un logiciel serveur". Beaucoup installeront Samba, selon mon exemple. Beaucoup d'autres utiliseront le serveur VNC intégré dans Preferences / Remote Desktop. C'est très bien dans l'environnement domestique (probablement), mais si vous utilisez cet ordinateur portable à l'extérieur avec ces services activés, vous vous exposez potentiellement à un comportement malveillant.
Scaine
2
Les ports ssh, liés à l’impression et de messagerie sont également fréquemment ouverts pour des opérations tout à fait normales d’opérations sur des postes de travail ou sur des serveurs. Ceux-ci peuvent être verrouillés (par source IP par exemple) ou fermés complètement avec ufw ou un autre type de pare-feu / ACL.
Belacqua
4
En outre, gufwpeut fournir une interface graphique. (Pour moi, ce n'est pas vraiment plus intuitif que ufw sur la ligne de commande, mais cela vous donne un rappel plus visuel de ce qu'il contient.) Je conviens que le pare-feu n'est pas bien annoncé à l'heure actuelle. Si je devais deviner, je dirais que c'est pour empêcher les nouveaux utilisateurs de se tirer une balle dans le pied.
Parce que: mots de passe ou clés cryptographiques.
C’est la bonne réponse, et jusqu’à présent, une réponse tout à fait différente des autres. ufwest désactivé par défaut pour la commodité de la majorité des utilisateurs d’Ubuntu qui savent que les mots de passe constituent une forme de protection importante pour la confidentialité et un contrôle restreint. La majorité des utilisateurs d’Ubuntu «contrôlent» le logiciel en installant à partir de référentiels approuvés par Ubuntu et en faisant attention aux autres sources, afin de minimiser les risques en général, pas seulement les risques liés aux ports. Ce faisant, ils contribuent grandement à réduire le risque lié au port, qui était déjà minime, car ils utilisent des mots de passe "normaux", et très peu s'ils utilisent des mots de passe difficiles à manipuler ou des clés cryptées.
Certains des risques cités, tels que le serveur de fichiers Samba, le serveur HTTP Apache, SSH et VNC sur un WiFi Starbucks (public) seraient généralement éliminés par des mots de passe difficiles à modifier sur l'hôte.
ufw"casse" le logiciel, comme un pare-feu devrait, ce qui explique pourquoi il est désactivé par défaut. Pour tester cela lors d'une nouvelle installation d'Ubuntu, du serveur A, installez-vous sshet connectez-vous à partir d'une autre machine, le client B, sur le même réseau local et vous verrez que cela fonctionne immédiatement. Se déconnecter. Revenez ensuite au serveur A et sudo ufw enable. Retournez sur le client B et vous échouerez sur sshle serveur A.
Les mots de passe se situent à un niveau beaucoup plus élevé de la pile. Les systèmes peuvent être attaqués via de simples dépassements de mémoire tampon aux niveaux inférieurs de la pile.
HRJ
Pourquoi le vote négatif?
H2ONaCl
@HRJ, "les systèmes peuvent être attaqués" ne réfute pas le fait que la commodité compte. Vous n'avez pas abordé l'exactitude de ce que j'ai écrit. J'ai raison. Tu es sur une tangente.
ssh
, d'autres pas, beaucoup l'utilisent comme serveur web, base de données ou serveur smtp ... la philosophie de Linux permettra à chaque utilisateur de configurer son pare-feu à sa guise.Réponses:
Dès la livraison , Ubuntu est livré sans ports TCP ou UDP ouverts, d’où la conviction qu’il n’ya aucune raison d’exécuter Par défaut un pare-feu (ufw) . Je conviens cependant que le fait d'ufw handicapé est une décision étrange. Mon raisonnement étant que les utilisateurs inexpérimentés vont installer des choses comme Samba, Apache et autres, comme ils expérimentent avec le système qui leur est présenté. S'ils ne comprennent pas les implications de cela, ils s'exposent au trafic malveillant sur Internet.
Exemple - Mon ordinateur portable est configuré avec Samba, ce qui convient parfaitement à mon réseau domestique protégé avec WPA2. Mais si je transporte mon ordinateur portable vers un Starbucks, je ne penserai peut-être pas à cela, mais cet ordinateur portable annonce maintenant mes actions à tout le monde. Avec un pare-feu, je peux limiter mes ports samba à mon serveur domestique ou à des périphériques homologues. Inutile de vous soucier autant de savoir qui pourrait essayer de se connecter à mon ordinateur portable. Il en va de même pour VNC, SSH ou un très grand nombre d'autres services utiles sur lesquels mon ordinateur portable est peut-être en cours d'exécution ou dans lequel il essaie de se connecter.
Ubuntu adopte une approche très on-off de certains éléments de sécurité, une philosophie avec laquelle je ne peux pas être d'accord. La sécurité peut être techniquement activée ou désactivée, mais en superposant des éléments de sécurité les uns sur les autres, vous obtenez un meilleur système. Bien sûr, la sécurité d'Ubuntu est suffisante pour un grand nombre de cas d'utilisation, mais pas pour tous.
En bout de ligne, exécutez ufw. Mieux vaut prévenir que guérir.
Un pare-feu simple comporte un certain nombre de frontaux graphiques, mais le plus simple est Gufw .
Ici, j'autorise tout le trafic provenant de VLAN de serveur spécifiques dans mon environnement d'entreprise et j'ai ajouté une règle permettant aux ports nécessaires à une session SSH inversée de rebondir sur cette machine.
la source
Contrairement à Microsoft Windows, un bureau Ubuntu n'a pas besoin de pare-feu pour être sûr sur Internet, car Ubuntu n'ouvre pas par défaut les ports susceptibles de poser des problèmes de sécurité.
En général, un système Unix ou Linux correctement renforcé ne nécessitera pas de pare-feu. Les pare-feu (à l'exception de certains problèmes de sécurité sur les ordinateurs Windows) ont plus de sens pour bloquer les réseaux internes vers Internet. Dans ce cas, les ordinateurs locaux peuvent communiquer entre eux via des ports ouverts bloqués vers l'extérieur par le pare-feu. Dans ce cas, les ordinateurs sont intentionnellement ouverts pour les communications internes qui ne devraient pas être disponibles en dehors du réseau interne.
Le bureau Ubuntu standard n’aurait pas besoin de cela, donc ufw n’est pas activé par défaut.
la source
Dans Ubuntu ou tout autre système Linux, le pare-feu fait partie du système de base et s'appelle iptables / netfilter. Il est toujours activé.
iptables consiste en un ensemble de règles sur ce qu’il faut faire et comment se comporter lorsqu’un paquet s’arrête. Si vous souhaitez bloquer explicitement les connexions entrantes d’une adresse IP spécifique, vous devrez ajouter une règle. En fait, vous n’avez pas besoin de le faire. Se détendre.
Si vous voulez une bonne sécurité, n'oubliez pas de ne pas installer de logiciels aléatoires, où que vous soyez. Cela risquerait de bousiller vos paramètres de sécurité par défaut. Ne vous lancez jamais en tant que root. Toujours faire confiance aux repos officiels.
Je pense que ce que vous vouliez demander était que si l'interface utilisateur est installée ou non?
la source
sudo ufw enable
, le premier logiciel serveur que vous installez ouvrira un port sur lequel iptables intégré ne fera rien.sudo ufw enable
avant qu'iptables soit configuré pour faire quoi que ce soit. Manish, ta réponse ressemble à celle d'un pare-feu. Vous dites "techniquement c'est" et techniquement vous avez raison. Mais cela ne fait rien, alors vous donnez une fausse impression massive de sécurité là où il n'y en a pas.En outre,
gufw
peut fournir une interface graphique. (Pour moi, ce n'est pas vraiment plus intuitif que ufw sur la ligne de commande, mais cela vous donne un rappel plus visuel de ce qu'il contient.) Je conviens que le pare-feu n'est pas bien annoncé à l'heure actuelle. Si je devais deviner, je dirais que c'est pour empêcher les nouveaux utilisateurs de se tirer une balle dans le pied.la source
Parce que: mots de passe ou clés cryptographiques.
C’est la bonne réponse, et jusqu’à présent, une réponse tout à fait différente des autres.
ufw
est désactivé par défaut pour la commodité de la majorité des utilisateurs d’Ubuntu qui savent que les mots de passe constituent une forme de protection importante pour la confidentialité et un contrôle restreint. La majorité des utilisateurs d’Ubuntu «contrôlent» le logiciel en installant à partir de référentiels approuvés par Ubuntu et en faisant attention aux autres sources, afin de minimiser les risques en général, pas seulement les risques liés aux ports. Ce faisant, ils contribuent grandement à réduire le risque lié au port, qui était déjà minime, car ils utilisent des mots de passe "normaux", et très peu s'ils utilisent des mots de passe difficiles à manipuler ou des clés cryptées.Certains des risques cités, tels que le serveur de fichiers Samba, le serveur HTTP Apache, SSH et VNC sur un WiFi Starbucks (public) seraient généralement éliminés par des mots de passe difficiles à modifier sur l'hôte.
ufw
"casse" le logiciel, comme un pare-feu devrait, ce qui explique pourquoi il est désactivé par défaut. Pour tester cela lors d'une nouvelle installation d'Ubuntu, du serveur A, installez-vousssh
et connectez-vous à partir d'une autre machine, le client B, sur le même réseau local et vous verrez que cela fonctionne immédiatement. Se déconnecter. Revenez ensuite au serveur A etsudo ufw enable
. Retournez sur le client B et vous échouerez surssh
le serveur A.la source