Pourquoi le pare-feu est-il désactivé par défaut?

Pourquoi le pare-feu ufw est-il inclus dans Ubuntu, alors qu’il n’est pas activé et préconfiguré par défaut? La plupart des utilisateurs ne savent même pas qu'il est là, car aucune interface graphique n'est fournie.

Dès la livraison , Ubuntu est livré sans ports TCP ou UDP ouverts, d’où la conviction qu’il n’ya aucune raison d’exécuter Par défaut un pare-feu (ufw) . Je conviens cependant que le fait d'ufw handicapé est une décision étrange. Mon raisonnement étant que les utilisateurs inexpérimentés vont installer des choses comme Samba, Apache et autres, comme ils expérimentent avec le système qui leur est présenté. S'ils ne comprennent pas les implications de cela, ils s'exposent au trafic malveillant sur Internet.

Exemple - Mon ordinateur portable est configuré avec Samba, ce qui convient parfaitement à mon réseau domestique protégé avec WPA2. Mais si je transporte mon ordinateur portable vers un Starbucks, je ne penserai peut-être pas à cela, mais cet ordinateur portable annonce maintenant mes actions à tout le monde. Avec un pare-feu, je peux limiter mes ports samba à mon serveur domestique ou à des périphériques homologues. Inutile de vous soucier autant de savoir qui pourrait essayer de se connecter à mon ordinateur portable. Il en va de même pour VNC, SSH ou un très grand nombre d'autres services utiles sur lesquels mon ordinateur portable est peut-être en cours d'exécution ou dans lequel il essaie de se connecter.

Ubuntu adopte une approche très on-off de certains éléments de sécurité, une philosophie avec laquelle je ne peux pas être d'accord. La sécurité peut être techniquement activée ou désactivée, mais en superposant des éléments de sécurité les uns sur les autres, vous obtenez un meilleur système. Bien sûr, la sécurité d'Ubuntu est suffisante pour un grand nombre de cas d'utilisation, mais pas pour tous.

En bout de ligne, exécutez ufw. Mieux vaut prévenir que guérir.

Un pare-feu simple comporte un certain nombre de frontaux graphiques, mais le plus simple est Gufw .

sudo apt-get install gufw

Ici, j'autorise tout le trafic provenant de VLAN de serveur spécifiques dans mon environnement d'entreprise et j'ai ajouté une règle permettant aux ports nécessaires à une session SSH inversée de rebondir sur cette machine.

Contrairement à Microsoft Windows, un bureau Ubuntu n'a pas besoin de pare-feu pour être sûr sur Internet, car Ubuntu n'ouvre pas par défaut les ports susceptibles de poser des problèmes de sécurité.

En général, un système Unix ou Linux correctement renforcé ne nécessitera pas de pare-feu. Les pare-feu (à l'exception de certains problèmes de sécurité sur les ordinateurs Windows) ont plus de sens pour bloquer les réseaux internes vers Internet. Dans ce cas, les ordinateurs locaux peuvent communiquer entre eux via des ports ouverts bloqués vers l'extérieur par le pare-feu. Dans ce cas, les ordinateurs sont intentionnellement ouverts pour les communications internes qui ne devraient pas être disponibles en dehors du réseau interne.

Le bureau Ubuntu standard n’aurait pas besoin de cela, donc ufw n’est pas activé par défaut.

Dans Ubuntu ou tout autre système Linux, le pare-feu fait partie du système de base et s'appelle iptables / netfilter. Il est toujours activé.

iptables consiste en un ensemble de règles sur ce qu’il faut faire et comment se comporter lorsqu’un paquet s’arrête. Si vous souhaitez bloquer explicitement les connexions entrantes d’une adresse IP spécifique, vous devrez ajouter une règle. En fait, vous n’avez pas besoin de le faire. Se détendre.

Si vous voulez une bonne sécurité, n'oubliez pas de ne pas installer de logiciels aléatoires, où que vous soyez. Cela risquerait de bousiller vos paramètres de sécurité par défaut. Ne vous lancez jamais en tant que root. Toujours faire confiance aux repos officiels.

Je pense que ce que vous vouliez demander était que si l'interface utilisateur est installée ou non?

En outre, gufwpeut fournir une interface graphique. (Pour moi, ce n'est pas vraiment plus intuitif que ufw sur la ligne de commande, mais cela vous donne un rappel plus visuel de ce qu'il contient.) Je conviens que le pare-feu n'est pas bien annoncé à l'heure actuelle. Si je devais deviner, je dirais que c'est pour empêcher les nouveaux utilisateurs de se tirer une balle dans le pied.

Parce que: mots de passe ou clés cryptographiques.

C’est la bonne réponse, et jusqu’à présent, une réponse tout à fait différente des autres. ufwest désactivé par défaut pour la commodité de la majorité des utilisateurs d’Ubuntu qui savent que les mots de passe constituent une forme de protection importante pour la confidentialité et un contrôle restreint. La majorité des utilisateurs d’Ubuntu «contrôlent» le logiciel en installant à partir de référentiels approuvés par Ubuntu et en faisant attention aux autres sources, afin de minimiser les risques en général, pas seulement les risques liés aux ports. Ce faisant, ils contribuent grandement à réduire le risque lié au port, qui était déjà minime, car ils utilisent des mots de passe "normaux", et très peu s'ils utilisent des mots de passe difficiles à manipuler ou des clés cryptées.

Certains des risques cités, tels que le serveur de fichiers Samba, le serveur HTTP Apache, SSH et VNC sur un WiFi Starbucks (public) seraient généralement éliminés par des mots de passe difficiles à modifier sur l'hôte.

ufw"casse" le logiciel, comme un pare-feu devrait, ce qui explique pourquoi il est désactivé par défaut. Pour tester cela lors d'une nouvelle installation d'Ubuntu, du serveur A, installez-vous sshet connectez-vous à partir d'une autre machine, le client B, sur le même réseau local et vous verrez que cela fonctionne immédiatement. Se déconnecter. Revenez ensuite au serveur A et sudo ufw enable. Retournez sur le client B et vous échouerez sur sshle serveur A.