Pourquoi le pare-feu est-il désactivé par défaut?
Pourquoi le pare-feu ufw est-il inclus dans Ubuntu, alors qu’il n’est pas activé et préconfiguré par défaut? La plupart des utilisateurs ne savent même pas qu'il est là, car aucune interface graphique n'est fournie.
Dès la livraison, Ubuntu est livré sans TCP ni ports UDP ouverts, d'où la conviction qu'il n'y a aucune raison de lancer ncomplicated Firewall (ufw) par défaut. Je conviens cependant que le fait d'ufw handicapé est une décision étrange. Mon raisonnement étant que les utilisateurs inexpérimentés vont installer des choses comme Samba, Apache et autres, comme ils expérimentent avec le système qui leur est présenté. S'ils ne comprennent pas les implications de cela, ils s'exposent au trafic malveillant sur Internet.
Exemple - Mon ordinateur portable est configuré avec Samba, ce qui convient parfaitement à mon réseau domestique protégé avec WPA2. Mais si je transporte mon ordinateur portable vers un Starbucks, je ne penserai peut-être pas à cela, mais cet ordinateur portable annonce maintenant mes actions à tout le monde. Avec un pare-feu, je peux limiter mes ports samba à mon serveur domestique ou à des périphériques homologues. Inutile de vous soucier autant de savoir qui pourrait essayer de se connecter à mon ordinateur portable. Il en va de même pour VNC, SSH ou un très grand nombre d'autres services utiles sur lesquels mon ordinateur portable est peut-être en cours d'exécution ou dans lequel il essaie de se connecter.
Ubuntu adopte une approche très on-off de certains éléments de sécurité, une philosophie avec laquelle je ne peux pas être d'accord. La sécurité peut être techniquement activée ou désactivée, mais en superposant des éléments de sécurité les uns sur les autres, vous obtenez un meilleur système. Bien sûr, la sécurité d'Ubuntu est suffisante pour un grand nombre de cas d'utilisation, mais pas pour tous.
En bout de ligne, exécutez ufw. Mieux vaut prévenir que guérir.
Un pare-feu simple comporte un certain nombre de frontaux graphiques, mais le plus simple est Gufw .
Sudo apt-get install gufw
Ici, j'autorise tout le trafic provenant de VLAN de serveur spécifiques dans mon environnement d'entreprise et j'ai ajouté une règle permettant aux ports nécessaires à une session SSH inversée de rebondir sur cette machine.
Contrairement à Microsoft Windows, un bureau Ubuntu n'a pas besoin de pare-feu pour être sûr sur Internet, car Ubuntu n'ouvre pas par défaut les ports susceptibles de poser des problèmes de sécurité.
En général, un système Unix ou Linux correctement renforcé ne nécessitera pas de pare-feu. Les pare-feu (à l'exception de certains problèmes de sécurité sur les ordinateurs Windows) ont plus de sens pour bloquer les réseaux internes vers Internet. Dans ce cas, les ordinateurs locaux peuvent communiquer entre eux via des ports ouverts bloqués vers l'extérieur par le pare-feu. Dans ce cas, les ordinateurs sont intentionnellement ouverts pour les communications internes qui ne devraient pas être disponibles en dehors du réseau interne.
Le bureau Ubuntu standard n’aurait pas besoin de cela, donc ufw n’est pas activé par défaut.
Dans Ubuntu ou tout autre système Linux, le pare-feu fait partie du système de base et s'appelle iptables/netfilter. Il est toujours activé.
iptables consiste en un ensemble de règles sur ce qu’il faut faire et comment se comporter lorsqu’un paquet s’arrête. Si vous souhaitez bloquer explicitement les connexions entrantes d’une adresse IP spécifique, vous devez ajouter une règle. En fait, vous n’avez pas besoin de le faire. Se détendre.
Si vous voulez une bonne sécurité, n'oubliez pas de ne pas installer de logiciels aléatoires, où que vous soyez. Cela risquerait de bousiller vos paramètres de sécurité par défaut. Ne vous lancez jamais en tant que root. Toujours faire confiance aux repos officiels.
Je pense que ce que vous vouliez demander était que si l'interface utilisateur est installée ou non?
De plus, gufw peut fournir une interface graphique. (Pour moi, ce n'est pas vraiment plus intuitif que ufw sur la ligne de commande, mais cela vous donne un rappel plus visuel de ce qu'il contient.) Je conviens que le pare-feu n'est pas bien annoncé à l'heure actuelle. Si je devais deviner, je dirais que c'est pour empêcher les nouveaux utilisateurs de se tirer une balle dans le pied.