데비안은 왜 기본적으로 방화벽을 활성화하지 않습니까?

Question 1

첫째, 데비안은 당신이 무엇을 하고 있는지 알고 있다고 가정하고 당신을 대신해 선택을 하지 않으려고 노력하는 경향이 있습니다.

데비안의 기본 설치는 상당히 작고 안전합니다. 어떤 서비스도 시작하지 않습니다. 설치에 추가된 표준 옵션 추가 항목(예: 웹 서버, SSH)도 일반적으로 상당히 보수적이고 안전합니다.

따라서 이 경우에는 방화벽이 필요하지 않습니다. 데비안(또는 그 개발자)은 다른 서비스를 시작하면 해당 서비스를 보호하는 방법을 알고 필요할 경우 방화벽을 추가할 수 있다고 가정합니다.

아마도 더 중요한 것은 데비안에서 사용할 방화벽 소프트웨어를 선택할 수 없도록 한다는 것입니다. 여러 가지 옵션이 있습니다. 어떤 옵션을 사용해야 합니까? 기본 방화벽 설정에서도 어떤 설정을 선택해야 합니까? 하지만 iptables우선순위가 중요하므로 기본적으로 설치됩니다. 하지만 물론 데비안은 여러분이 어떻게 구성하고 싶은지 모르기 때문에 여러분을 위해 구성하지 않습니다. 어쨌든 iptables후임자를 사용하는 것이 더 나을 수도 있습니다.nftables

또한 방화벽 기능 은 Linux 커널에 어느 정도 내장되어 있습니다 nftables. Debian 및 기타 Linux 배포판은 이 기능을 관리하기 netfilter위한 사용자 공간 도구를 제공합니다 . iptables하지만 그들과 함께 무엇을 할지는 당신에게 달려 있습니다.

이러한 엔터티의 이름은 일관되지 않습니다. 인용하다위키피디아 nftables페이지:

nftables는 사용자 공간 유틸리티 nft를 통해 구성되는 반면, netfilter는 iptables, ip6tables, arptables 및 ebtables 프레임워크 유틸리티를 통해 구성됩니다.

Answer

첫째, 데비안은 당신이 무엇을 하고 있는지 알고 있다고 가정하고 당신을 대신해 선택을 하지 않으려고 노력하는 경향이 있습니다.

데비안의 기본 설치는 상당히 작고 안전합니다. 어떤 서비스도 시작하지 않습니다. 설치에 추가된 표준 옵션 추가 항목(예: 웹 서버, SSH)도 일반적으로 상당히 보수적이고 안전합니다.

따라서 이 경우에는 방화벽이 필요하지 않습니다. 데비안(또는 그 개발자)은 다른 서비스를 시작하면 해당 서비스를 보호하는 방법을 알고 필요할 경우 방화벽을 추가할 수 있다고 가정합니다.

아마도 더 중요한 것은 데비안에서 사용할 방화벽 소프트웨어를 선택할 수 없도록 한다는 것입니다. 여러 가지 옵션이 있습니다. 어떤 옵션을 사용해야 합니까? 기본 방화벽 설정에서도 어떤 설정을 선택해야 합니까? 하지만 iptables우선순위가 중요하므로 기본적으로 설치됩니다. 하지만 물론 데비안은 여러분이 어떻게 구성하고 싶은지 모르기 때문에 여러분을 위해 구성하지 않습니다. 어쨌든 iptables후임자를 사용하는 것이 더 나을 수도 있습니다.nftables

또한 방화벽 기능 은 Linux 커널에 어느 정도 내장되어 있습니다 nftables. Debian 및 기타 Linux 배포판은 이 기능을 관리하기 netfilter위한 사용자 공간 도구를 제공합니다 . iptables하지만 그들과 함께 무엇을 할지는 당신에게 달려 있습니다.

이러한 엔터티의 이름은 일관되지 않습니다. 인용하다위키피디아 nftables페이지:

nftables는 사용자 공간 유틸리티 nft를 통해 구성되는 반면, netfilter는 iptables, ip6tables, arptables 및 ebtables 프레임워크 유틸리티를 통해 구성됩니다.

Question 2

먼저, 이미 말한 내용을 반복하고 싶습니다. 데비안은 다른 주류 배포판(특히 우분투)과는 매우 다른 사용자 기반을 수용합니다. 데비안은 시스템 작동 방식을 이해하고 시스템에 대한 높은 수준의 제어권을 대가로 때때로 수정하는 것을 두려워하지 않는 사람들을 위한 것입니다. 예를 들어 Ubuntu는 매우 다양한 대상 고객을 대상으로 합니다. 즉, 배후에서 일어나는 일에 (정말로) 신경 쓰지 않고 일이 제대로 작동하기를 원하는 사람들, 일이 작동하도록 시스템 구성을 조작하고 싶지 않은 사람들입니다. 이는 최종 시스템의 여러 측면에 영향을 미칩니다. 어느 정도 이것은 Linux의 장점 중 하나입니다. 동일한 기본 시스템을 사용하여 다양한 요구 사항을 충족하는 환경을 구축할 수 있습니다. Ubuntu는 Debian의 파생물이며 여전히 Debian과 강한 유사성을 유지하고 있음을 기억하십시오.

gufw는 DVD1 패키지에도 없습니다.

첫 번째 디스크에는 설치된 시스템에서 익명 통계를 수집하도록 선택하여 결정되는 가장 널리 사용되는 소프트웨어가 포함되어 있습니다. gufw가 첫 번째 디스크에 없다는 사실은 이것이 데비안에서 그다지 인기가 없는(설치 기반 측면에서) 패키지가 아니라는 것을 보여줍니다. 다른 옵션보다 이 옵션을 선호하는 경우 네트워크와 기본 시스템이 실행되면 쉽게 설치할 수 있습니다.

사람들은 방화벽을 설치하기 전에 인터넷에 연결되기를 원합니까? 왜?

글쎄요, 우선 데비안은 네트워크를 통한 설치를 허용한다고 생각합니다. (일반 설치 중에 네트워크에서 패키지를 다운로드할 뿐만 아니라 말 그대로설치 중인 호스트가 아닌 다른 호스트에서 설치를 시작합니다.. ) 기본적으로 제한적인 규칙 세트로 구성된 방화벽은 간섭의 위험이 있습니다. 설치 프로세스 중에 나가는 네트워크 액세스가 필요한 설치와 마찬가지로 설치의 목적은 설치 중인 패키지의 최신 버전을 다운로드하는 것만이 아닙니다.

반면에, 위에서 언급한 것과 같습니다. 일반적으로 데비안은 여러분이 무엇을 하고 있는지 알기를 원합니다. 방화벽이 필요하다면 스스로 구성할 수 있어야 하며, 특별한 요구 사항이 무엇인지 데비안 관리자보다 더 잘 알아야 합니다. 이런 점에서 데비안은 OpenBSD와 약간 비슷하지만 그렇게 극단적이지는 않습니다. (기본 시스템을 더 안전하게 만드는 것과 더 유용하게 만드는 것 중 하나를 선택할 때 OpenBSD 관리자는 실제로 항상 보안을 선택합니다. 이는 기본 시스템 보안 취약성 통계에 반영되지만 유용성은 아닙니다. 큰 영향을 미칩니다.)

물론 기술적인 세부 사항도 있습니다: 방화벽 지원예기본 시스템에 포함되어 있습니다. 단지 커널은 허용된 모든 규칙 세트에 대해 이 설정을 기본값으로 설정하고 기본 데비안 설치는 이 설정을 변경하는 데 아무 것도 하지 않습니다. 트래픽을 제한하기 위해 실행할 수 있는 몇 가지 명령이 있습니다.

모든 포트가 기본적으로 닫혀 있더라도 설치, 업데이트 또는 다운로드한 다양한 프로그램이 포트를 열 수 있으며(또는 열 수 없습니까?) 내 허락 없이 내 컴퓨터에서 단 한 비트도 떠나는 것을 원하지 않습니다.

첫째, 방화벽은 종종 제한을 위해 사용됩니다.들어오는운송. 제한하고 싶다면나가는운송은 완전히 다른 질문입니다. 확실히 가능하지만 특정 상황에 맞게 더 많은 조정이 필요합니다. 방화벽은 기본적으로 나가는 트래픽을 차단하고 일반적으로 사용되는 포트는 열어 둡니다(이 중 공통 포트는 ftp/20+21, ssh/22, smtp/25, http/80, https/443, pop3/110, imap/143 및 하나의 힙), 설정된 세션과 관련된 트래픽을 허용하는 것은 기본적으로 허용하는 방화벽보다 더 안전하지 않습니다. 기본 시스템 설치를 위한 패키지 세트를 이해하기 쉽고 안전하게 구성되었으며 추가 보호가 필요한 경우 관리자가 적절한 방화벽 규칙을 설정할 수 있는 제공 패키지 세트로 제한하는 것이 가장 좋습니다.

둘째, 폐쇄된 포트(aTCP RST/ACK를 사용하여 TCP SYN에 응답, 일반적으로 "연결 거부됨"으로 보고됩니다. 이는 일반적으로 TCP/IP를 지원하는 라이브 시스템에서 TCP 포트의 기본 상태이며, 반대 구성이 없고 소프트웨어 수신이 없습니다)는 심각한 취약점이 아닙니다. 별도의 방화벽 연결된 시스템에서도 마찬가지입니다. 완전 폐쇄형 구성에서 유일하게 중요한 취약점은 커널의 TCP/IP 스택 구현에 취약점이 있는 경우입니다. 그러나 패킷은 이미 커널의 netfilter(iptables) 코드를 통과했으며 거기에도 버그가 숨어 있을 수 있습니다. 상대방에서 "연결 거부"를 초래하는 응답 논리는 너무 단순해서 네트워크 서비스와 관련된 보안 오류는 물론이고 오류의 주요 원인이 될 수 있다는 사실도 믿기 어렵습니다. 루프백 인터페이스 외에는 서비스 자체가 실행되지 않거나 듣고 있지 않다면 공격자는 실제로 연결하여 악용할 수 있는 것이 아무것도 없습니다.

셋째, 패키지는 일반적으로 루트로 설치되며 사용자(패키지)는 자신도 모르게 iptables 규칙을 변경할 수 있습니다. 따라서 인간 관리자에게 호스트 방화벽을 통한 트래픽을 수동으로 허용하도록 요청하는 것과 같은 결과를 얻을 수 없습니다. 이러한 격리를 원할 경우 먼저 방화벽이 보호하는 호스트에서 방화벽을 분리해야 합니다.

그래서 방금 iptables를 발견했지만 방화벽이 대부분의 사람들에게 상당히 낯설고 기본 규칙과 접근성 및 사용 용이성 때문에 문제는 여전히 iptables에 있는 것 같습니다.

나는 실제로 말할 것이다반대방화벽으로서 iptables는 사실입니다.잘 알려진. 이는 여러분이 접하게 될 거의 모든 Linux 시스템에서 작동합니다. (리눅스 커널 버전 2.4를 개발하는 동안 2000년경에 ipchains를 대체했습니다. 제가 정확하게 기억한다면 방화벽의 일반적인 사용 사례에서 둘 사이에서 사용자가 볼 수 있는 가장 큰 변화는 내장된 규칙 체인이 이제 대문자라는 것입니다. 문자 이름(예 INPUT: 소문자 대신 input).

iptables는 다음과 같은 작업을 수행할 수 있습니다.다른이를 널리 사용되지 않거나 이해되지 않는 방화벽과 비교해 보세요. 예를 들어 IP 패킷을 다시 쓰는 데 사용할 수 있습니다.앞으로방화벽을 통과합니다.

Answer

먼저, 이미 말한 내용을 반복하고 싶습니다. 데비안은 다른 주류 배포판(특히 우분투)과는 매우 다른 사용자 기반을 수용합니다. 데비안은 시스템 작동 방식을 이해하고 시스템에 대한 높은 수준의 제어권을 대가로 때때로 수정하는 것을 두려워하지 않는 사람들을 위한 것입니다. 예를 들어 Ubuntu는 매우 다양한 대상 고객을 대상으로 합니다. 즉, 배후에서 일어나는 일에 (정말로) 신경 쓰지 않고 일이 제대로 작동하기를 원하는 사람들, 일이 작동하도록 시스템 구성을 조작하고 싶지 않은 사람들입니다. 이는 최종 시스템의 여러 측면에 영향을 미칩니다. 어느 정도 이것은 Linux의 장점 중 하나입니다. 동일한 기본 시스템을 사용하여 다양한 요구 사항을 충족하는 환경을 구축할 수 있습니다. Ubuntu는 Debian의 파생물이며 여전히 Debian과 강한 유사성을 유지하고 있음을 기억하십시오.

gufw는 DVD1 패키지에도 없습니다.

첫 번째 디스크에는 설치된 시스템에서 익명 통계를 수집하도록 선택하여 결정되는 가장 널리 사용되는 소프트웨어가 포함되어 있습니다. gufw가 첫 번째 디스크에 없다는 사실은 이것이 데비안에서 그다지 인기가 없는(설치 기반 측면에서) 패키지가 아니라는 것을 보여줍니다. 다른 옵션보다 이 옵션을 선호하는 경우 네트워크와 기본 시스템이 실행되면 쉽게 설치할 수 있습니다.

사람들은 방화벽을 설치하기 전에 인터넷에 연결되기를 원합니까? 왜?

글쎄요, 우선 데비안은 네트워크를 통한 설치를 허용한다고 생각합니다. (일반 설치 중에 네트워크에서 패키지를 다운로드할 뿐만 아니라 말 그대로설치 중인 호스트가 아닌 다른 호스트에서 설치를 시작합니다.. ) 기본적으로 제한적인 규칙 세트로 구성된 방화벽은 간섭의 위험이 있습니다. 설치 프로세스 중에 나가는 네트워크 액세스가 필요한 설치와 마찬가지로 설치의 목적은 설치 중인 패키지의 최신 버전을 다운로드하는 것만이 아닙니다.

반면에, 위에서 언급한 것과 같습니다. 일반적으로 데비안은 여러분이 무엇을 하고 있는지 알기를 원합니다. 방화벽이 필요하다면 스스로 구성할 수 있어야 하며, 특별한 요구 사항이 무엇인지 데비안 관리자보다 더 잘 알아야 합니다. 이런 점에서 데비안은 OpenBSD와 약간 비슷하지만 그렇게 극단적이지는 않습니다. (기본 시스템을 더 안전하게 만드는 것과 더 유용하게 만드는 것 중 하나를 선택할 때 OpenBSD 관리자는 실제로 항상 보안을 선택합니다. 이는 기본 시스템 보안 취약성 통계에 반영되지만 유용성은 아닙니다. 큰 영향을 미칩니다.)

물론 기술적인 세부 사항도 있습니다: 방화벽 지원예기본 시스템에 포함되어 있습니다. 단지 커널은 허용된 모든 규칙 세트에 대해 이 설정을 기본값으로 설정하고 기본 데비안 설치는 이 설정을 변경하는 데 아무 것도 하지 않습니다. 트래픽을 제한하기 위해 실행할 수 있는 몇 가지 명령이 있습니다.

모든 포트가 기본적으로 닫혀 있더라도 설치, 업데이트 또는 다운로드한 다양한 프로그램이 포트를 열 수 있으며(또는 열 수 없습니까?) 내 허락 없이 내 컴퓨터에서 단 한 비트도 떠나는 것을 원하지 않습니다.

첫째, 방화벽은 종종 제한을 위해 사용됩니다.들어오는운송. 제한하고 싶다면나가는운송은 완전히 다른 질문입니다. 확실히 가능하지만 특정 상황에 맞게 더 많은 조정이 필요합니다. 방화벽은 기본적으로 나가는 트래픽을 차단하고 일반적으로 사용되는 포트는 열어 둡니다(이 중 공통 포트는 ftp/20+21, ssh/22, smtp/25, http/80, https/443, pop3/110, imap/143 및 하나의 힙), 설정된 세션과 관련된 트래픽을 허용하는 것은 기본적으로 허용하는 방화벽보다 더 안전하지 않습니다. 기본 시스템 설치를 위한 패키지 세트를 이해하기 쉽고 안전하게 구성되었으며 추가 보호가 필요한 경우 관리자가 적절한 방화벽 규칙을 설정할 수 있는 제공 패키지 세트로 제한하는 것이 가장 좋습니다.

둘째, 폐쇄된 포트(aTCP RST/ACK를 사용하여 TCP SYN에 응답, 일반적으로 "연결 거부됨"으로 보고됩니다. 이는 일반적으로 TCP/IP를 지원하는 라이브 시스템에서 TCP 포트의 기본 상태이며, 반대 구성이 없고 소프트웨어 수신이 없습니다)는 심각한 취약점이 아닙니다. 별도의 방화벽 연결된 시스템에서도 마찬가지입니다. 완전 폐쇄형 구성에서 유일하게 중요한 취약점은 커널의 TCP/IP 스택 구현에 취약점이 있는 경우입니다. 그러나 패킷은 이미 커널의 netfilter(iptables) 코드를 통과했으며 거기에도 버그가 숨어 있을 수 있습니다. 상대방에서 "연결 거부"를 초래하는 응답 논리는 너무 단순해서 네트워크 서비스와 관련된 보안 오류는 물론이고 오류의 주요 원인이 될 수 있다는 사실도 믿기 어렵습니다. 루프백 인터페이스 외에는 서비스 자체가 실행되지 않거나 듣고 있지 않다면 공격자는 실제로 연결하여 악용할 수 있는 것이 아무것도 없습니다.

셋째, 패키지는 일반적으로 루트로 설치되며 사용자(패키지)는 자신도 모르게 iptables 규칙을 변경할 수 있습니다. 따라서 인간 관리자에게 호스트 방화벽을 통한 트래픽을 수동으로 허용하도록 요청하는 것과 같은 결과를 얻을 수 없습니다. 이러한 격리를 원할 경우 먼저 방화벽이 보호하는 호스트에서 방화벽을 분리해야 합니다.

그래서 방금 iptables를 발견했지만 방화벽이 대부분의 사람들에게 상당히 낯설고 기본 규칙과 접근성 및 사용 용이성 때문에 문제는 여전히 iptables에 있는 것 같습니다.

나는 실제로 말할 것이다반대방화벽으로서 iptables는 사실입니다.잘 알려진. 이는 여러분이 접하게 될 거의 모든 Linux 시스템에서 작동합니다. (리눅스 커널 버전 2.4를 개발하는 동안 2000년경에 ipchains를 대체했습니다. 제가 정확하게 기억한다면 방화벽의 일반적인 사용 사례에서 둘 사이에서 사용자가 볼 수 있는 가장 큰 변화는 내장된 규칙 체인이 이제 대문자라는 것입니다. 문자 이름(예 INPUT: 소문자 대신 input).

iptables는 다음과 같은 작업을 수행할 수 있습니다.다른이를 널리 사용되지 않거나 이해되지 않는 방화벽과 비교해 보세요. 예를 들어 IP 패킷을 다시 쓰는 데 사용할 수 있습니다.앞으로방화벽을 통과합니다.

Question 3

내가 추측을 한다면, 그리고 진정한 세대의 데비안 개발자와 관리자의 마음이 없다면 내 추측은 다음과 같을 것입니다:

데비안은 주로 서버 운영 체제로 설계되었으며, sid와 테스트 브랜치의 주요 목적은 다음 안정 브랜치를 생성하는 것입니다. 고정되면 Stretch에서 발생한 것과 같이 고정되고 새로운 안정 브랜치가 테스트에서 가져옵니다. .

이를 감안할 때 저는 데이터 센터 방화벽이 서버에 대한 보안이 훨씬 더 뛰어난 외부 장치(적어도 한 사람은 그러기를 바랍니다)이며 주요 방화벽 작업을 처리한다고 가정하고 시스템 관리자 친구에게 이를 확인해야 했습니다. 라우터가 있는 소규모 LAN에서도 마찬가지입니다. 라우터는 방화벽입니다. 내 시스템에서는 로컬 방화벽 규칙을 사용하지 않습니다. 왜 그럴까요?

사람들은 데스크톱 데비안을 로컬에 설치하거나 사무실이나 집에 단일 파일 서버를 설치하는 것과 주로 프로덕션 용도에 초점을 맞춘 데비안에 연결하는 실제 작업을 혼동할 수 있다고 생각합니다.

나는 이것에 대해 확신하지 못하지만 개발자이자 데비안 지지자로서 10년 넘게 데비안을 사용해 본 후 이런 느낌을 받습니다.

이것이 실제로 좋은 질문이기 때문에 확인할 수 있지만, 내 생각에는 실제 네트워크에는 머신 단위가 아닌 네트워크 진입점에 방화벽이 있거나 적어도 이것이 Thoughts Durban을 구동할 수 있는 기본 사항인 것 같습니다. 또한, 물론 그렇지 않은 경우 시스템 관리자는 기본 설치에 의존하지 않고 각 시스템에 방화벽 규칙을 설정하기 위해 Chef와 같은 것을 사용할 것입니다. Debian ssh 구성은 개인적으로 기본적으로 사용하는 구성이 아닙니다. 예를 들어 기본적으로 루트 로그인을 허용하고 시스템 관리자가 이것이 나쁜 습관이라고 판단하면 수정해야 합니다.

즉, 데비안에는 다른 배포판에는 존재하지 않는 기능에 대한 가정이 있다고 생각합니다. 예를 들어, 변경하려는 항목을 변경하고, 이미지를 생성하고, 사이트 관리 소프트웨어를 사용하여 관리하는 등의 작업을 수행할 수 있습니다. 이것은 단지 몇 가지 가능성일 뿐입니다. 예를 들어, 적어도 프로덕션 환경에서는 새 서버를 생성하기 위해 DVD를 사용하지 않을 것입니다. 제가 자주 사용하는 최소 네트워크 설치와 같은 것을 사용할 수도 있지만(예: 저는 더 작은 이미지를 사용했습니다) 중지됨). 기본 설치에 무엇이 포함되어 있는지 살펴보면 데비안이 중요하게 여기는 것과 그렇지 않은 것을 잘 알 수 있을 것입니다. 예를 들어 SSH가 있습니다. Xorg는 그렇지 않고 Samba는 그렇지 않습니다.

왜 GNOME을 기본 데스크탑으로 다시 설정했는지 물을 수도 있지만 이는 시스템을 원하는 방식으로 만들 수 있기 때문에 사용자가 크게 무시한 결정일 뿐입니다(즉, Xfce 데스크탑을 얻으려면 모르겠어요) Xdebian(예: Xubuntu)을 설치하지 않고 Debian 코어, Xorg 및 Xfce만 설치하면 됩니다. 마찬가지로, 방화벽을 원하면 방화벽을 구성하고 세부 사항 등을 알지만 개인적으로 데비안이 해당 기능을 활성화할 것이라고는 기대하지 않으며 활성화하더라도 실제로는 약간 짜증스러울 것입니다. 아마도 이에 대한 내 의견은 데비안에서도 찾을 수 있는 합의를 반영할 것입니다.

또한 물론 Debian과 같은 것은 실제로 없으며 다양한 설치 이미지, 네트워크 설치, 전체 설치가 있습니다. 이러한 설치는 베어본, CLI 전용에서 상당히 완전한 사용자 데스크탑에 이르기까지 다양합니다. 예를 들어 프로덕션 사용자는 사용자가 원하는 방식으로 구성된 이미지를 생성할 수 있으며 Debian 서버를 설정하려면 원래 기본 사항부터 시작하여 요구 사항을 충족할 때까지 구축해야 한다는 것을 알고 있습니다.

그런 다음 완전히 다른 왁스 공인 웹 서버의 세계로 들어가고 그들은 매우 다른 보안 문제를 가지고 있으며 지하 해커와 매우 관련이 있는 내 오랜 친구가 말했듯이 웹 서버를 어떻게 운영하는지 알지 못합니다. 보안을 지키는 사람은 크래커가 서버를 소유한 사람이라고도 할 수 있습니다.

Answer