Linux의 보안 문제에 대해 알고 싶습니다. 대부분의 사람들은 Linux 시스템에서 바이러스 스캐너가 쓸모없다고 생각하지만 방화벽은 어떻습니까? 저는 Debian wheezy stable을 사용하고 있으며 이전에는 Ubuntu 12.04를 사용했습니다. 보안 WLAN에 로그인된 PC가 한 대만 있는 경우 방화벽이 필요합니까? 두 운영 체제 모두에 이미 설정되어 있는 것은 무엇입니까?
답변1
먼저 쉬운 부분은 Debian이나 Ubuntu 또는 제가 아는 대부분의 Linux 배포판에는 기본적으로 방화벽이 설정되어 있지 않다는 것입니다.
너필요Linux에 방화벽이 있나요? 아마도 그렇지 않을 것입니다. 왜냐하면 들어오는 연결을 수신하는 Linux 시스템의 대부분의 프로그램은 누군가에 의해 명시적으로 시작되어야 하고 배포가 실행되는 패키지 저장소에서 설치되어야 하기 때문입니다. 신뢰할 수 있는 WLAN을 사용하는 경우 컴퓨터에 개인 IP 주소가 있고 공용 IP 주소로 NAT를 사용하여 라우터에 연결될 수 있으며 라우터는 방화벽 역할도 합니다.
Linux에서 방화벽이 필요한 이유:
- 웹 서버(또는 다른 유형의 서버)를 시작하여 모든 컴퓨터에서 프로그램과 상호 작용할 수 있는 프로그램이 많이 있습니다. 그러한 프로그램에 원격으로 연결할 필요가 없다면 방화벽을 사용하여 컴퓨터 자체에서 들어오지 않는 모든 연결을 차단할 수 있습니다.
- 당신은 당신의 컴퓨터가 응답하는 것을 원하지 않습니다
ping. 그런 다음 방화벽을 사용하여 모든 ICMP 패킷을 삭제합니다. 방화벽이 닫힌 포트에 대한 연결을 요청하는 모든 패킷을 삭제하도록 할 수도 있으며, 그러면 컴퓨터가 전혀 응답하지 않습니다. 예를 들어 어두운 커피숍에서 WLAN을 사용하는 경우 (거의 모든) 포트 스캔이 보이지 않게 됩니다. - 공용 IP 주소를 사용하여 인터넷에 직접 연결한 다음, 대담한 무단 점거자들이 당신을 공격할 IRC 채팅방에 참여하세요.
- 당신은 국민국가에게 쫓기고 있습니다.
답변2
일반적으로 방화벽은 필요하지 않습니다.
방화벽(보다 정확하게는 패킷 필터)은 네트워크 패킷을 필터링하는 데 사용됩니다. 즉, 특정 연결을 허용하고 다른 연결을 허용하지 않습니다.
연결 방법은 다음과 같습니다.들어오는또는나가는.
하나들어오는연결, 즉 귀하의 컴퓨터에 연결하려는 다른 사람들은 귀하의 컴퓨터가 특정 서비스를 제공하는 경우에만 가능합니다. - 개인용 컴퓨터를 사용하면 서비스를 제공할 수 없으며 다른 사람이 귀하에게 연결할 수 없습니다. 방화벽 없이 모두 가능합니다.
~을 위한나가는연결하려면, 즉 다른 컴퓨터에 연결하려면 이를 수행하는 소프트웨어가 필요합니다. 예를 들어 웹 브라우저를 사용하여 일부 원격 웹 서버에 액세스합니다. - 모든 Linux 배포판과 마찬가지로 일반적으로 선택한 배포판 저장소에서만 소프트웨어를 설치합니다. - 소프트웨어는 일반적으로 오픈 소스이므로 소프트웨어는 자신이 주장하는 대로만 수행한다는 것을 확신할 수 있습니다. - 방화벽은 일반적으로 도움이 되지 않습니다.
방화벽이 적합한 유일한 경우는 네트워크의 특정 부분에 특정 서비스를 제공하려는 경우입니다. 이 경우 연결을 허용해야 하지만 필요하지 않은 연결은 필터링해야 합니다. - 하지만 이 경우에도 tcpwrapper나 일부 서비스 구성과 같은 더 간단한 솔루션이 있을 수 있습니다.
sudo netstat -tupln모든 활성 서비스 나열과 같은 명령을 사용할 수 있습니다. 이는 127.0.0.1동일한 호스트에서만 액세스할 수 있음을 의미하는 바인딩될 수 있고 , 0.0.0.0어디에서나 액세스할 수 있음을 의미하는 바인딩될 수 있습니다.
답변3
필요하지 않을 때 포트를 공개적으로 여는 것은 실제로 좋은 생각이 아닙니다. 관련 소프트웨어의 보안 취약점에 노출될 위험이 높아집니다.
별도의 게스트 WLAN에 대해 언급하지 않았으므로 향후 다른 장치(예: 게스트의 노트북 또는 휴대전화)가 동일한 WLAN에 연결되도록 허용할 것이라고 가정해야 합니다. 결과적으로 게스트 랩탑은 신뢰할 수 없다고 가정해야 합니다.
두 운영 체제 모두 방화벽이 설정되어 있지 않습니다.
우분투는 다음과 같은 그룹을 만족시키는 것을 목표로 합니다."열린 포트가 없습니다"기본적으로. 최신 버전에서는 이 작업을 수행하지 않습니다. (Ubuntu의 Rhythmbox 버그).
Debian Wheezy의 표준 설치는 실행 시 UDP 포트 111을 수신합니다 rpcbind(위에서 언급했듯이).여기)
ss현재 열려 있는 포트를 사용하거나 확인하는 것을 지원합니다 netstat. 나의 사용 지침여기. 위의 두 가지 예는 제가 찾고자 하는 주요 예입니다.
rpcbind사용하지 않으시면 반드시 삭제해주세요. rpcbindNFS2 및 NFS3에만 필요합니다. (NFS4에는 필요하지 않음) 개인용 PC가 있고 NFS가 무엇인지 모른다면 NFS를 사용하고 있지 않은 것입니다.
Rhythmbox를 사용하지 않는 경우에는 Rhythmbox에서 DAAP 플러그인을 비활성화할 수도 있습니다. (이것은 로컬 네트워크를 통해 음악에 액세스하는 한 가지 방법입니다. 따라서 이를 비활성화하고 음악이 손실되었는지 확인할 수 있습니다 :-).
방화벽 실행의 단점은 일부 콘텐츠를 차단할 때 문제 해결이 필요하다는 것입니다.하다필요. 예를 들어, BitTorrent를 사용하려면 이를 허용하도록 방화벽을 구성해야 합니다. 그렇지 않으면 업로드할 수 없습니다(tit-for-tat 알고리즘은 다운로드 속도가 느려진다는 것을 의미합니다).
저는 2단계 접근 방식을 권장합니다. 먼저 확인하는 방법을 배우 ss십시오 netstat. 네트워크에서 수신 대기 중인 불필요한 프로그램을 비활성화/제거하십시오. 둘째, 방화벽을 구성합니다.
무언가가 제대로 작동하지 않아 문제를 해결해야 하는 경우 1) 어떤 프로그램이 네트워크에서 수신 대기 중인지 다시 확인하고 2) 방화벽을 완전히 비활성화할 수 있습니다.
문제가 해결되면 방화벽 문제라는 것을 알 수 있습니다. 어떤 포트를 허용해야 하는지 조사를 시작할 수 있습니다(또는 좀 더 까다로운 문제가 있는 경우 :-). 결국에는 방화벽을 구성하고 다시 활성화하여 재정의할 수 있기를 바랍니다.다음이제 Ubuntu가 주요 보안 정책을 잊어버리고 필요하지 않은 새 포트를 열 때입니다. :-)
이 ufw방화벽은 Debian 및 Ubuntu에서 사용할 수 있습니다. Ubuntu는 "간단한 방화벽"을 제공하기 위해 이를 만들었습니다.