Linux Mint Debian 防火牆預設值 [論壇 - Ubuntu基本設定]


正在瀏覽:   1 名遊客


 到底部   前一個主題   下一個主題  [無發表權] 請登錄或者註冊



Linux Mint Debian 防火牆預設值
會員三級
註冊日期:
2015/1/29 12:22
所屬群組:
已註冊使用者
等級: 11
HP : 0 / 269
MP : 54 / 2800
EXP: 78
離線
安裝 LMDE 2 Betsy 無意間發現
系統管理工具 (服務)那邊
防火牆預設好像是關閉的
有安裝網路的朋友看一下有沒有開
記得開啟 確保資訊安全

Download LMDE 2 Betsy 官網:https://www.linuxmint.com/download_lmde.php

附件:



jpg  11.jpg (36.22 KB)
41854_579dfd7ea841f.jpg 528X505 px

2016/7/31 21:31
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
管理員
註冊日期:
2011/3/11 6:32
所屬群組:
討論區管理群
等級: 44
HP : 216 / 1084
MP : 1088 / 23593
EXP: 38
離線
防火牆有無啟用跟安全無絕對關係,盲目之下啟用有可能只是佔資源跟妨礙應用軟體連接網路而已。
更新:參考 #4

2016/7/31 22:08
本篇發表文章以「創用CC BY 3.0 或更新之台灣地區版本」授權條款釋出,如何使用敬請參考
 Creative Commons — 姓名標示 3.0 台灣 — CC BY 3.0 TW
 http://creativecommons.org/licenses/by/3.0/tw/

「你不懂的東西就不要亂講,被懂得人看破手腳就算了,騙不懂的人誤導別人,還要別人把你當成大師,這就真的是說不過去了。」
 by Allen Own
 出處 http://www.plurk.com/p/i4uogm

自由知識創作平台介紹
 https://docs.google.com/document/d/1MGG6lW_0qCgH4U785R-IwSc_INdoBGej1l-JxiA4gPE
如何建立新的自由知識創作平台文件
 https://docs.google.com/document/d/11NdzOW2lGYksfyQIcPMPye5tlmj1J0QTkgPTmQvIvKA
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
會員三級
註冊日期:
2015/1/29 12:22
所屬群組:
已註冊使用者
等級: 11
HP : 0 / 269
MP : 54 / 2800
EXP: 78
離線
V字龍 寫到:
防火牆有無啟用跟安全無絕對關係,盲目之下啟用有可能只是佔資源跟妨礙應用軟體連接網路而已。

啟用防火牆有什麼問題?為什麼防火牆有無啟用跟安全無絕對關係?
我是這方面的新手初學者
我想...V字龍先生許多生活的經驗與想法
希望您能夠分享給參考 冒昧請教一下

內建防火牆啟用佔資源多少資源?
內建防火牆的服務會妨礙哪些應用軟體連接網路?或有哪些影響呢?

答覆完畢 "其他人代替你回答都可以的" 會洗耳恭聽勤做筆記
(萬分感激 先說一聲感恩)

2016/8/1 7:39
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
管理員
註冊日期:
2011/3/11 6:32
所屬群組:
討論區管理群
等級: 44
HP : 216 / 1084
MP : 1088 / 23593
EXP: 38
離線
cis 寫到:
V字龍 寫到:
防火牆有無啟用跟安全無絕對關係,盲目之下啟用有可能只是佔資源跟妨礙應用軟體連接網路而已。

啟用防火牆有什麼問題?為什麼防火牆有無啟用跟安全無絕對關係?

我似乎否決的有點太快了(還沒改掉的反射動作),因為我並不是資訊安全專業且過去並無使用防火牆的經驗所以先自我降低言論的可信度,以下內容純屬個人理解僅供參考

前情提要:其實系統預設是「有」防火牆的,就是 Linux 作業系統核心內建的 iptables 架構,像 Uncomplicated Firewall(UFW) 之類的「防火牆」軟體充其量只是 iptables 的前端介面。

防火牆基本上是由一系列有優先順序的規則組成的,例如:

* x.x.x.x 網域送到 o.o.o.o 地址的 X 類型封包一律拒收退回(DENY)
* x.x.x.x 網域送到 o.o.o.o 地址的 Y 類型封包一律無視直接丟棄(DROP)

在終端機下以 root 身份執行 `iptables --list` 命令可以察看目前 iptables 的規則。

然而規則是死的,除了典型的攻擊外並通常並沒辦法分析特定封包是合法還是非法的所以在不了解防火牆規則的情況下單純地「啟用防火牆」並不會讓資訊安全變得滴水不漏,反而只會讓使用者對網路上的惡意攻擊者失去警覺心(我相信這是作業系統開發者預設不啟用「所謂的防火牆」的原因)

這有一些例外,比方說:

* 某些防火牆支援某程式發出連接請求的時候先攔著然後通知使用者決定是否放行(但據我狹隘的認知目前在 GNU/Linux 平台無此類型防火牆)

個人在這種問題過去是直接否決並建議改用 Fail2ban 等針對各服務的攻擊規則與錯誤登入紀錄自動封鎖特定來源 IP 地址的軟體來增加系統安全性,不過後來發現實際上 Fail2ban 也是操作 iptables 所以嚴格上這樣還是「有在用防火牆」

cis 寫到:
內建防火牆啟用佔資源多少資源?

由於 iptables 為 Linux 作業系統核心下的東西所以我不知道怎麼去測量它會佔多少資源
倒是 UFW 可以看看,不過看了進程表之後發現 ufw 進程並不會常駐在系統中(大概是因為它只是操作完 iptables 規則之後就結束的關係)

所以我也不知道它到底會佔多少資源XD

cis 寫到:
內建防火牆的服務會妨礙哪些應用軟體連接網路?或有哪些影響呢?

至少在 Ubuntu 系統中 iptables 預設是「完全不阻擋任何連線」,至於 UFW 則是(以預設的「Home」設定檔為例)預設是 DROP 所有連入連線(其他軟體可以在「/etc/ufw/applications.d」目錄中設定例外,所以基本上只要是從 Ubuntu 軟體來原來的軟體都比較不會被阻擋,但是非 Ubuntu 軟體來源的就不一定了)

一言以蔽之:除非您清楚了解防火牆做了什麼,否則不建議啟用考慮是不是需要啟用防火牆(但是可以考慮用一些不需人工干預,自動阻擋已知攻擊的防火牆操作軟體,例如 Fail2ban)。Linux 作業系統散佈版提供的預設值通常就是一般使用者最佳值。

更新:Ubuntu 「似乎是(?)」有預設安裝(ufw 軟體包被 ubuntu-standard(Ubuntu 標準系統)詮釋用軟體包所依賴)並啟用(?????) UFW,至於效果是什麼我不確定。

## 參考資料 ##
* UFW - Community Help Wiki
* security - Why is the firewall disabled by default? - Ask Ubuntu

2016/8/1 11:10
本篇發表文章以「創用CC BY 3.0 或更新之台灣地區版本」授權條款釋出,如何使用敬請參考
 Creative Commons — 姓名標示 3.0 台灣 — CC BY 3.0 TW
 http://creativecommons.org/licenses/by/3.0/tw/

「你不懂的東西就不要亂講,被懂得人看破手腳就算了,騙不懂的人誤導別人,還要別人把你當成大師,這就真的是說不過去了。」
 by Allen Own
 出處 http://www.plurk.com/p/i4uogm

自由知識創作平台介紹
 https://docs.google.com/document/d/1MGG6lW_0qCgH4U785R-IwSc_INdoBGej1l-JxiA4gPE
如何建立新的自由知識創作平台文件
 https://docs.google.com/document/d/11NdzOW2lGYksfyQIcPMPye5tlmj1J0QTkgPTmQvIvKA
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
會員三級
註冊日期:
2015/1/29 12:22
所屬群組:
已註冊使用者
等級: 11
HP : 0 / 269
MP : 54 / 2800
EXP: 78
離線
V字龍 寫到:
cis 寫到:
V字龍 寫到:
防火牆有無啟用跟安全無絕對關係,盲目之下啟用有可能只是佔資源跟妨礙應用軟體連接網路而已。

啟用防火牆有什麼問題?為什麼防火牆有無啟用跟安全無絕對關係?

我似乎否決的有點太快了(還沒改掉的反射動作),因為我並不是資訊安全專業所以先自我降低言論的可信度,以下內容純屬個人理解僅供參考。

前情提要:其實系統預設是「有」防火牆的,就是 Linux 作業系統核心內建的 iptables 架構,像 Uncomplicated Firewall(UFW) 之類的「防火牆」軟體充其量只是 iptables 的前端介面。

防火牆基本上是由一系列有優先順序的規則組成的,例如:

* x.x.x.x 網域送到 o.o.o.o 地址的 X 類型封包一律拒收退回(DENY)
* x.x.x.x 網域送到 o.o.o.o 地址的 Y 類型封包一律無視直接丟棄(DROP)

在終端機下以 root 身份執行 `iptables --list` 命令可以察看目前 iptables 的規則。

然而規則是死的,除了典型的攻擊外並通常並沒辦法分析特定封包是合法還是非法的所以在不了解防火牆規則的情況下單純地「啟用防火牆」並不會讓資訊安全變得滴水不漏,反而只會讓使用者對網路上的惡意攻擊者失去警覺心(我相信這是作業系統開發者預設不啟用「所謂的防火牆」的原因)

這有一些例外,比方說:

* 某些防火牆支援某程式發出連接請求的時候先攔著然後通知使用者決定是否放行(但據我狹隘的認知目前在 GNU/Linux 平台無此類型防火牆)

個人在這種問題過去是直接否決並建議改用 Fail2ban 等針對各服務的攻擊規則與錯誤登入紀錄自動封鎖特定來源 IP 地址的軟體來增加系統安全性,不過後來發現實際上 Fail2ban 也是操作 iptables 所以嚴格上這樣還是「有在用防火牆」

cis 寫到:
內建防火牆啟用佔資源多少資源?

由於 iptables 為 Linux 作業系統核心下的東西所以我不知道怎麼去測量它會佔多少資源
倒是 UFW 可以看看,不過看了進程表之後發現 ufw 進程並不會常駐在系統中(大概是因為它只是操作完 iptables 規則之後就結束的關係)

所以我也不知道它到底會佔多少資源XD

cis 寫到:
內建防火牆的服務會妨礙哪些應用軟體連接網路?或有哪些影響呢?

至少在 Ubuntu 系統中 iptables 預設是「完全不阻擋任何連線」,至於 UFW 則是(以預設的「Home」設定檔為例)預設是 DROP 所有連入連線(其他軟體可以在「/etc/ufw/applications.d」目錄中設定例外,所以基本上只要是從 Ubuntu 軟體來原來的軟體都比較不會被阻擋,但是非 Ubuntu 軟體來源的就不一定了)

一言以蔽之:除非您清楚了解防火牆做了什麼,否則不建議啟用考慮是不是需要啟用防火牆(但是可以考慮用一些不需人工干預,自動阻擋已知攻擊的防火牆操作軟體,例如 Fail2ban)。Linux 作業系統散佈版提供的預設值通常就是一般使用者最佳值。

更新:Ubuntu 「似乎是」有預設安裝並啟用 UFW(ufw 軟體包被 ubuntu-standard(Ubuntu 標準系統)詮釋用軟體包所依賴),至於效果是什麼我不確定。

## 參考資料 ##
* UFW - Community Help Wiki

珍貴資訊收下參考 感恩~

據網來源Ubuntu 16版本取消軟體中心
若內建沒有安裝防火牆的話 ,紀錄常用軟體指令方便安裝

以下是平常防火牆指令:(平常做筆記要找要用就有)
sudo apt-get install gufw
sudo apt-get install ufw

2016/8/1 13:18
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
會員五級
註冊日期:
2010/9/26 16:05
所屬群組:
已註冊使用者
等級: 27
HP : 0 / 660
MP : 317 / 15243
EXP: 42
離線
我不知道LMDE預設安裝是那個防火牆
但猜測不是ufw, 就是iptables
不管是那個,防火牆預設值都是外連內全關,內連外全開
也就是說,把防火牆打開,即使你沒做其他設定
那從外面連入也是都擋掉了
也沒礙著電腦的使用(若有提供對外serveice除外)
所以,打開防火牆,對電腦的保護是一定有差的
而且打開防火牆,幾乎對系統負載沒影響
結論當然是開比不開好

2016/8/1 16:57
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
會員四級
註冊日期:
2010/8/12 15:54
所屬群組:
已註冊使用者
等級: 18
HP : 0 / 442
MP : 134 / 10359
EXP: 68
離線
apt-cache show ufw|grep Depend
你會看到有 iptables
apt-cache show gufw|grep Depend
你會看到有 ufw

不管你是用 ufw 或是 gufw,其實都是 iptables
所以不是用哪一個軟體當防火牆,而是用哪一個軟體當防火牆的圖形化介面

通常這些介面預設的確可能是 "input 全擋" "output 全不擋",我都沒用過所以我也不清楚
如果你的電腦是透過 ip 分享器上網的話,這個預設的泛用性規則是無法提升你的系統安全的(除非你也不信任同個區網下的其它使用者)
INPUT 全擋:代表就算開了 service ,其它電腦也無法連線
如果你本身就在 nat 底下,外界本來就無法直接連上你的電腦,擋或不擋差別不大
如果你的電腦本來就不啟用任何服務的話,一樣,沒有 LISTEN PORT,就算不擋也連不上啊
所以有沒有用,要看你的電腦本身做什麼用途及網路連線的狀況而定

我自己是覺得這個就有點像裝防毒軟體後會不會中毒或是中蠕蟲之類的一樣,最關鍵的還是使用者自己的觀念

至於 iptables 對系統負載的影響:那要看封包量了
有"大"流量就有負載,流量不大就沒負載
以一般使用者來講,是不太需要顧慮負載問題

2016/8/1 17:56
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
管理員
註冊日期:
2006/10/31 19:52
來自 Baker Street 221B
所屬群組:
網站管理員
已註冊使用者
討論區管理群
等級: 30
HP : 0 / 733
MP : 405 / 25298
EXP: 34
離線
除非你是直接撥接上網
不是透過routeing..
否則我是不會開OS自帶防火牆的
所以V字龍一開始的回應基本上是對的

iptables會慢慢被淘汰
其實比較新的kernel或發行版
已經用新的netfilter取代iptables了
也比較省cpu資源,因為直接內崁進linux kernel中

2016/8/1 22:13
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
會員四級
註冊日期:
2010/8/12 15:54
所屬群組:
已註冊使用者
等級: 18
HP : 0 / 442
MP : 134 / 10359
EXP: 68
離線
Lawliet 寫到:
除非你是直接撥接上網
不是透過routeing..
否則我是不會開OS自帶防火牆的
所以V字龍一開始的回應基本上是對的

iptables會慢慢被淘汰
其實比較新的kernel或發行版
已經用新的netfilter取代iptables了
也比較省cpu資源,因為直接內崁進linux kernel中


iptables 不是一直都是靠 kernel 的 netfilter 在處理的?
nftables or netfilter? 我沒記錯的話取代 iptables 的應該是 nftables 吧!

這方面沒特別去研究,所以我也完全不確定就是了!

2016/8/2 10:23
應用擴展 工具箱
回覆: Linux Mint Debian 防火牆預設值
會員三級
註冊日期:
2015/1/29 12:22
所屬群組:
已註冊使用者
等級: 11
HP : 0 / 269
MP : 54 / 2800
EXP: 78
離線
我想問 防火牆有一個進程 cups-browsed ,鳥哥的網頁大概有看了一下
但是還是不懂cups-browsed 有沒有牽扯到IPV6套件 網路協議?
關掉 cups-browsed或移除 ,不知道會不會影響IPV6套件?!

先謝謝樓上所有回應 有所收穫 同時像大家星期日問好感謝一聲^^

2016/8/7 17:30
Ubuntu 桌面版 32bit/64 bit
應用擴展 工具箱


 [無發表權] 請登錄或者註冊


可以查看帖子.
不可發帖.
不可回覆.
不可編輯自己的帖子.
不可刪除自己的帖子.
不可發起投票調查.
不可在投票調查中投票.
不可上傳附件.
不可不經審核直接發帖.