Howto install Ambari on Ubuntu
Obsah:
- Předpoklady
- Nainstalujte UFW
- Zkontrolujte stav UFW
- Výchozí zásady UFW
- Profily aplikací
- Povolit připojení SSH
- Povolit UFW
- Povolit připojení na jiných portech
- Otevřený port 80 - HTTP
- Otevřete port 443 - HTTPS
- Otevřete port 8080
- Povolit rozsahy portů
- Povolit konkrétní adresy IP
- Povolit konkrétní adresy IP na konkrétním portu
- Povolit podsítě
- Povolit připojení k určitému síťovému rozhraní
- Odepřít spojení
- Odstranit pravidla UFW
- Zakázat UFW
- Reset UFW
- Závěr
Správně nakonfigurovaný firewall je jedním z nejdůležitějších aspektů celkového zabezpečení systému. Ve výchozím nastavení je Ubuntu dodáván s konfiguračním nástrojem brány firewall s názvem UFW (nekomplikovaný firewall). UFW je uživatelsky přívětivé rozhraní pro správu pravidel brány firewall iptables a jejím hlavním cílem je usnadnit správu iptables nebo jak název napovídá nekomplikovaně.
Předpoklady
Než začnete s tímto tutoriálem, ujistěte se, že jste přihlášeni k serveru pomocí uživatelského účtu s právy sudo nebo root. Nejlepší praxí je spouštět administrativní příkazy jako uživatel sudo místo root. Pokud ve vašem systému Ubuntu nemáte uživatele sudo, můžete si jej vytvořit podle těchto pokynů.
Nainstalujte UFW
Ve výchozím nastavení by měl být v Ubuntu 18.04 nainstalován nekomplikovaný firewall, ale pokud není nainstalován ve vašem systému, můžete balíček nainstalovat zadáním:
Zkontrolujte stav UFW
Po dokončení instalace můžete zkontrolovat stav UFW pomocí následujícího příkazu:
sudo ufw status verbose
UFW je ve výchozím nastavení zakázáno. Pokud jste nikdy aktivovali UFW, výstup bude vypadat takto:
Status: inactive
Pokud je aktivována UFW, bude výstup vypadat podobně jako následující:
Výchozí zásady UFW
Ve výchozím nastavení UFW zablokuje všechna příchozí připojení a povolí všechna odchozí připojení. To znamená, že kdokoli, kdo se pokouší získat přístup k vašemu serveru, se nebude moci připojit, dokud výslovně neotevřete port, zatímco všechny aplikace a služby spuštěné na vašem serveru budou mít přístup do vnějšího světa.
Výchozí politiky jsou definovány v souboru
/etc/default/ufw
a lze je změnit pomocí
sudo ufw default
Zásady brány firewall jsou základem pro vytváření podrobnějších a uživatelsky definovaných pravidel. Ve většině případů jsou výchozí výchozí zásady UFW dobrým výchozím bodem.
Profily aplikací
Při instalaci balíčku s příkazem
apt
přidá profil aplikace do adresáře
/etc/ufw/applications.d
. Profil popisuje službu a obsahuje nastavení UFW.
Můžete vypsat seznam všech aplikačních profilů dostupných na serveru zadáním:
sudo ufw app list
V závislosti na balíčcích nainstalovaných ve vašem systému bude výstup vypadat podobně jako následující:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Chcete-li najít další informace o konkrétním profilu a zahrnutých pravidlech, použijte následující příkaz:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
Jak je vidět z výstupu nad profilem „Nginx Full“, otevře se port
80
a
443
.
Povolit připojení SSH
Před zapnutím UFW firewallu musíme přidat pravidlo, které umožní příchozí připojení SSH. Pokud se připojujete k serveru ze vzdáleného umístění, což je téměř vždy případ a povolíte bránu firewall UFW dříve, než explicitně povolíte příchozí připojení SSH, nebudete se již moci připojit k serveru Ubuntu.
Chcete-li nakonfigurovat bránu firewall UFW tak, aby umožňovala příchozí připojení SSH, zadejte následující příkaz:
sudo ufw allow ssh
Rules updated Rules updated (v6)
Pokud jste místo portu 22 změnili port SSH na vlastní port, budete jej muset otevřít.
Pokud například váš démon ssh poslouchá na portu
4422
, můžete pomocí následujícího příkazu povolit připojení na tomto portu:
Povolit UFW
Nyní, když je váš firewall UFW nakonfigurován tak, aby umožňoval příchozí připojení SSH, můžeme jej povolit zadáním:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Budete upozorněni, že povolení brány firewall může narušit existující spojení ssh, stačí napsat
y
a stisknout
Enter
.
Povolit připojení na jiných portech
V závislosti na aplikacích, které běží na serveru a vašich specifických potřebách, budete také muset povolit příchozí přístup k některým dalším portům.
Níže vám ukážeme několik příkladů, jak povolit příchozí připojení k některým z nejběžnějších služeb:
Otevřený port 80 - HTTP
Připojení HTTP lze povolit pomocí následujícího příkazu:
sudo ufw allow
namísto http můžete použít číslo portu, 80:
sudo ufw allow 80/tcp
nebo můžete použít profil aplikace, v tomto případě „Nginx
Otevřete port 443 - HTTPS
Připojení HTTP lze povolit pomocí následujícího příkazu:
sudo ufw allow
Chcete-li dosáhnout stejného namísto profilu
https
, můžete použít číslo portu
443
:
sudo ufw allow 443/tcp
nebo můžete použít profil aplikace „Nginx
Otevřete port 8080
Povolit rozsahy portů
Místo povolení přístupu k jednotlivým portům nám UFW umožňuje umožnit přístup k rozsahům portů. Když povolujete rozsahy portů pomocí UFW, musíte zadat protokol, buď
tcp
nebo
udp
. Pokud například chcete povolit porty od
7100
do
7200
na
tcp
i
udp
spusťte následující příkaz:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Povolit konkrétní adresy IP
Chcete-li povolit přístup na všechny porty z domácího počítače s adresou IP 64, 63, 62, 61, zadejte
from
poté adresu IP, kterou chcete přidat na seznam povolených:
sudo ufw allow from 64.63.62.61
Povolit konkrétní adresy IP na konkrétním portu
Chcete-li povolit přístup na konkrétní port, řekněme port 22 z vašeho pracovního stroje s IP adresou 64.63.62.61, použijte
to any port
následovaný číslem portu:
sudo ufw allow from 64.63.62.61 to any port 22
Povolit podsítě
Příkaz pro povolení připojení k podsíti IP adres je stejný jako při použití jediné IP adresy, jediným rozdílem je, že musíte zadat masku sítě. Například, pokud chcete povolit přístup pro IP adresy v rozsahu od 192.168.1.1 do 192.168.1.254 na port 3360 (MySQL), můžete použít tento příkaz:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Povolit připojení k určitému síťovému rozhraní
Chcete-li povolit přístup na konkrétní port, řekněme port 3360 pouze do specifického síťového rozhraní
eth2
, pak je třeba zadat
allow in on
a název síťového rozhraní:
sudo ufw allow in on eth2 to any port 3306
Odepřít spojení
Výchozí zásada pro všechna příchozí připojení je nastavena na
deny
a pokud jste ji nezměnili, UFW bude blokovat všechna příchozí připojení, pokud připojení výslovně neotevřete.
Řekněme, že jste otevřeli porty
80
a
443
a váš server je
23.24.25.0/24
sítí
23.24.25.0/24
. Chcete-li zakázat všechna připojení od
23.24.25.0/24
, můžete použít následující příkaz:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Psaní pravidel pro odepření je stejné jako u pravidel pro psaní, musíte
allow
pouze
deny
.
Odstranit pravidla UFW
Existují dva různé způsoby, jak odstranit pravidla UFW, podle čísla pravidla a zadáním skutečného pravidla.
Odstranění pravidel UFW podle čísla pravidla je snazší, zejména pokud jste novým uživatelem UFW. Chcete-li nejprve odstranit pravidlo podle čísla pravidla, musíte najít číslo pravidla, které chcete odstranit, můžete to provést pomocí následujícího příkazu:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Chcete-li odstranit pravidlo číslo 3, pravidlo, které umožňuje připojení k portu 8080, použijte následující příkaz:
sudo ufw delete 3
Druhou metodou je odstranění pravidla určením skutečného pravidla, například pokud jste přidali pravidlo pro otevření portu
8069
můžete jej odstranit pomocí:
Zakázat UFW
Pokud z nějakého důvodu chcete zastavit UFW a deaktivovat všechna pravidla, která můžete použít:
sudo ufw disable
Později, pokud chcete znovu povolit UTF a aktivovat všechna pravidla, stačí napsat:
Reset UFW
Resetování UFW deaktivuje UFW a odstraní všechna aktivní pravidla. To je užitečné, pokud chcete vrátit všechny své změny a začít znovu.
Chcete-li resetovat UFW, jednoduše zadejte následující příkaz:
Závěr
Naučili jste se, jak nainstalovat a konfigurovat UFW firewall na serveru Ubuntu 18.04. Nezapomeňte povolit všechna příchozí připojení, která jsou nezbytná pro správné fungování systému, a zároveň omezit všechna zbytečná připojení.
Ufw firewall iptables ubuntu zabezpečeníJak konfigurovat a nastavit nastavení brány firewall pro směrovače
Naučte se konfigurovat bránu firewall routeru, Zjistěte, které porty jsou potřebné v počítači.
Jak nastavit ssh tunneling obejít firewall
Firewall je dobrá věc, ale pokud vám brání v tom, abyste něco dělali, pak je tu nejlepší možnost prozkoumat SSH Tunneling.
Jak nastavit firewall s ufw na Debianu 9
UFW (Uncomplicated Firewall) je uživatelsky přívětivé rozhraní pro správu pravidel brány firewall iptables a jejím hlavním cílem je usnadnit správu iptables nebo jak název říká nekomplikovaný. V tomto tutoriálu vám ukážeme, jak nastavit firewall s UFW na Debianu 9.