데비안이 기본적으로 방화벽이없는 상태로 제공되는 이유는 무엇입니까?


15

KDE와 함께 Debian 9.1을 사용하고 있는데 왜 방화벽이 설치되어 있지 않고 기본적으로 활성화되어 있는지 궁금합니다. gufw는 DVD1의 패키지에도 없습니다.

사람들 은 방화벽을 얻기 전에 인터넷에 연결해야 합니까? 왜? 모든 포트가 기본적으로 닫혀 있어도 다양한 설치, 업데이트 또는 다운로드 된 프로그램이 포트를 열거 나 닫을 수 있으며 단일 비트조차도 내 허락없이 컴퓨터를 떠나지 않기를 바랍니다.

편집 : 그래서 방금 iptables 에 대해 알았지 만 방화벽은 대부분의 사람들에게 알려지지 않은 것처럼 보이는 iptables, 기본 규칙, 액세스 가능성 및 사용 편의성 및 iptable-rules가 기본적으로 재설정된다는 사실에 여전히 의문을 제기 합니다. 다시 시작할 때 .


아주 좋은 질문입니다. 우분투 서버는 iptables사전 설치되어 있지 않습니다 ! 난 그냥 사람들이 엔드-투-엔드 원칙을 레이어 7 극단으로 가져 가려고하는 것 같아요.
rlf

8
iptables가 "대부분 원천"이라고 말하는 이유는 무엇입니까?
SaAtomic

1
나는 비슷한 것을 물었다. unix.stackexchange.com/questions/127397/…
StrongBad

1
"모든 포트가 기본적으로 닫혀 있어도 다양한 설치, 업데이트 또는 다운로드 된 프로그램이 포트를 열 수 있습니다 ..." -악의적 인 것으로 가정하면 설치, 업데이트 또는 다운로드 된 프로그램도 방화벽 규칙을 지울 수 있습니다.
marcelm

1
예를 들어 @mYnDstrEAm은 sudo다음과 같이 비밀번호 를 제공 할 때 해당 프로그램의 설치 스크립트에 루트 액세스 권한을 부여 하기 때문입니다.sudo apt-get install package ...
cat

답변:


28

첫째, 데비안은 자신이하고있는 일을 알고 있다고 가정하고 선택을 피하려고합니다.

데비안의 기본 설치는 상당히 작고 안전합니다. 어떤 서비스도 시작하지 않습니다. 또한 설치에 추가 된 표준 옵션 추가 (예 : 웹 서버, ssh)조차도 상당히 보수적이고 안전합니다.

따라서이 경우 방화벽이 필요하지 않습니다. 데비안 (또는 개발자)은 추가 서비스를 시작하면이를 보호하는 방법을 알고 필요할 경우 방화벽을 추가 할 수 있다고 가정합니다.

더 중요한 것은 데비안은 어떤 방화벽 소프트웨어를 사용할지 선택하지 않는 것입니다. 다양한 선택이 가능합니다. 어떤 것을 사용해야합니까? 기본 방화벽 설정에 대해서도 어떤 설정을 선택해야합니까? 그렇게 말하면 iptables우선 순위가 중요하므로 기본적으로 설치됩니다. 물론 데비안은 여러분이 원하는 방식을 알지 못하므로 구성하지 않습니다. 어쨌든 iptables후계자 를 사용하는 것이 좋습니다 nftables.

방화벽 기능은 이미 어느 정도 Linux 커널에 내장되어 있습니다. 예를 들어 nftablesnetfilter. 데비안 및 기타 Linux 배포판은 iptables해당 기능을 관리하는 것과 같은 사용자 공간 도구를 제공 합니다. 그러나 당신이 그들과 함께하는 일은 당신에게 달려 있습니다.

이러한 엔티티는 일관되게 이름이 지정되지 않았습니다. Wikipedia nftables페이지 를 인용하려면 :

nftables는 사용자 공간 유틸리티 nft를 통해 구성되는 반면 netfilter는 유틸리티 iptables, ip6tables, arptables 및 ebtables 프레임 워크를 통해 구성됩니다.


4
@sourcejedi 제가 기억할 수있는 한, 데비안의 기본 설치는 감자를 사용하기 시작한 이후로 매우 유사했습니다. 그래서 나는 당신이 무엇을 의미하는지 잘 모르겠습니다.
Faheem Mitha

1
@FaheemMitha 이전 기본값은 외부 연결을 허용하지 않았습니다 :)
hobbs

1
선택을 피하려고하면 +1입니다 . . 방화벽을 관리하기위한 여러 가지 도구가 있으며 각각 각각 장단점이 있으며 사용 사례가 다릅니다. 방화벽을 구성 할 수있는 훨씬 더 많은 방법이 있습니다. 심층 방어 (예 : 독립형 방화벽 / 라우터 및 호스트 별 iptables 규칙)는 좋지만 데비안 설치 프로그램이 네트워크 설정 방법과 원하는 방화벽 규칙을 알고 있다고 가정하면 매우 성 가실 것입니다. 그것은 내가 알고 결정해야합니다.
cas

4
"데비안은 선택의 여지가 많기 때문에 당신을위한 선택을 피합니다"라는 말이 나에게는 의미가 없습니다. 데비안은 이미 대안을 사용할 수있는 곳 (예를 들어, "웹 서버"를 선택할 때 Apache를 lighttpd로 선택하고 rpm을 통해 deb를 선택하는 등)을 이미 선택하고 있습니다. 배포판의 요점은 선택을하는 것이 아닌가?
gd1

1
@ gd1 사실이다; 데비안은 기본적으로 Exim과 같은 기본값을 제공하고 설치합니다. 그러나 그들은 쉽게 바꿀 수 있습니다. 그리고 iptablesDebian의 기본값이기도합니다. 그러나 데비안이 스스로하지 않는 한 가지는 사용자를위한 명백한 시스템 구성입니다.
Faheem Mitha

12

먼저, 이미 언급 한 내용을 반복하고 싶습니다 : 데비안은 다른 주류 배포판, 특히 우분투와는 다른 사용자 그룹을 수용합니다. 데비안은 시스템의 작동 방식을 알고 있고 시스템에 대한 높은 수준의 제어를 위해 때때로 땜질을 두려워하지 않는 사람들을 대상으로합니다. 예를 들어 우분투는 매우 다른 대상 독자를 대상으로합니다. 일만하고 일을하고 싶어하는 사람들 (실제로)을 실제로 신경 쓰지 않는 사람들은 물론 시스템 구성을 수정하지 않아도되는 사람들 작업. 이는 결과 시스템의 여러 측면에 영향을줍니다. 그리고 어느 정도까지는 이것이 Linux의 한 가지 아름다움입니다. 동일한 기본 시스템을 사용하여 다양한 요구에 맞는 환경을 구축 할 수 있습니다. 우분투는 데비안 파생물이라는 것을 기억하십시오.

gufw는 DVD1의 패키지에도 없습니다.

첫 번째 디스크에는 설치된 시스템에서 익명 통계를 옵트 인 수집하여 결정한 가장 인기있는 소프트웨어가 포함됩니다. gufw가 첫 번째 디스크에 있지 않다는 사실은 데비안에서이 패키지가 널리 사용되는 (설치된 기반으로) 패키지가 아님을 나타냅니다. 다른 시스템보다 선호하는 경우 네트워킹이 시작되고 실행되는 기본 시스템이 있으면 설치하기도 쉽습니다.

사람들은 방화벽을 얻기 전에 인터넷에 연결해야합니까? 왜?

글쎄, 데비안은 네트워크를 통해 설치할 수 있다고 생각합니다. (일반 설치 중에 네트워크에서 패키지를 다운로드 할뿐만 아니라 문자 그대로 에 설치된 호스트와 다른 호스트에서 설치를 시작합니다 .) 기본적으로 제한 규칙 세트로 구성된 방화벽은이를 방해 할 위험이 있습니다. 설치중인 최신 버전의 패키지를 다운로드하는 것 이외의 목적으로 설치 프로세스 중에 나가는 네트워크 액세스가 필요한 설치와 동일합니다.

다른 하나는 위에서 언급 한 것이 있습니다. 일반적으로 데비안은 자신이하는 일을 알고 있어야합니다. 방화벽을 원한다면 방화벽을 직접 구성 할 수 있어야하며, 특정 요구 사항이 무엇인지 데비안 관리자보다 더 잘 알고 있어야합니다. 데비안은 그런 점에서 OpenBSD와 비슷하지만 극단적이 아닙니다. (기본 시스템을 좀 더 안전하게 만들고 사용성을 좀 더 선택하는 것만으로도 OpenBSD 관리자는 거의 항상 보안을 추구합니다. 기본 시스템 보안 취약성 통계에 나와 있지만 사용성에 큰 영향을 미칩니다.)

물론 기술 : 방화벽 지원 기본 시스템에 포함되어 있습니다. 커널에 의해 기본적으로 모든 허용 규칙으로 설정되어 있으며 기본 데비안 설치는이를 변경하기 위해 아무 것도하지 않습니다. 트래픽 흐름을 제한하기 위해 몇 가지 명령을 실행할 수 있습니다.

모든 포트가 기본적으로 닫혀 있어도 다양한 설치, 업데이트 또는 다운로드 된 프로그램이 포트를 열거 나 닫을 수 있습니다. 심지어 한 비트라도 내 허락없이 컴퓨터를 떠나지 않기를 바랍니다.

첫째, 방화벽은 일반적으로 들어오는 트래픽 을 제한하는 데 사용됩니다 . 발신 을 제한하려는 경우교통, 그것은 약간 다른 물고기 주전자입니다. 확실히 할 수 있지만 특정 상황에 맞게 조정해야합니다. 일반적으로 사용되는 포트를 열어 둔 기본 차단 발신 트래픽 방화벽 (일반적으로 사용되는 포트는 ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 및 설정된 세션과 관련된 트래픽을 허용하는 것 외에도 기본 허용 방화벽보다 훨씬 안전하지는 않습니다. 기본 시스템에 의해 설치된 패키지 세트가 잘 이해되고 전달 된 패키지로 구성된 보안 세트로 제한되고 관리자가 그보다 더 많은 보호가 필요한 경우 적절한 방화벽 규칙을 설정할 수 있도록하는 것이 좋습니다.

둘째, 닫힌 포트 ( TCP RST / ACK를 사용하여 TCP SYN에 응답하는 포트)일반적으로 "연결 거부 됨"으로보고됩니다. 이는 일반적으로 반대 구성이 없거나 소프트웨어를 수신하지 않는 경우 TCP / IP를 지원하는 라이브 시스템에서 TCP 포트의 기본 상태입니다. 별도의 방화벽을 통해 연결되지 않은 시스템에서도 마찬가지입니다. 완전히 닫힌 구성에서 유일하게 중요한 취약점은 커널의 TCP / IP 스택 구현 내에 취약점이있는 경우입니다. 그러나 패킷은 이미 커널의 netfilter (iptables) 코드를 통과하고 있으며 버그도 숨어있을 수 있습니다. 다른 쪽 끝에 "연결이 거부 된"결과에 응답하는 논리는 간단하여 보안 관련 버그는 물론 버그의 주요 원인이 될 것이라고 믿기가 어렵습니다.

셋째, 패키지는 일반적으로 루트로 설치되며, 여기서 패키지는 사용자가 모르게 iptables 규칙을 변경할 수 있습니다. 따라서 관리자가 호스트 방화벽을 통한 트래픽을 수동으로 허용하도록 요구하는 것과는 다릅니다. 이러한 종류의 격리를 원할 경우 먼저 보호하고있는 호스트와 방화벽을 분리해야합니다.

방금 iptables에 대해 알게되었지만 방화벽이 대부분의 사람들에게 알려지지 않은 것처럼 보이는 iptables, 기본 규칙 및 액세스 가능성 및 사용 편의성에 대한 질문이 여전히 남아 있습니다.

나는 실제로 그 반대 라고 말합니다 . 방화벽으로서의 iptables는 잘 알려져 있습니다. 또한 거의 모든 Linux 시스템에서 사용할 수 있습니다. (개발 과정에서 ipchains를 대체하여 2000 년경 Linux 커널 버전 2.4가되었습니다. 올바르게 기억한다면, 방화벽의 일반적인 사용 사례에서 둘 사이에서 사용자가 볼 수있는 가장 큰 변화는 내장 규칙입니다. 체인은 이제 INPUT소문자 대신 대문자로 이름이 지정되었습니다 input.)

아무것도의 iptables는 일 할 수 있다면 다른 널리 사용되거나 이해되지 않는 방화벽보다 더합니다. 예를 들어, 방화벽을 통과 하기 전에 IP 패킷을 다시 쓰는 데 사용할 수 있습니다 .


문제에 대한 훌륭하고 자세한 요약. 그러나 "두 번째로, 닫힌 포트는 별도의 방화벽을 통해 연결되지 않은 시스템에서도 심각한 취약점이 아닙니다." "열기"라고 쓰 셨나요? 그렇지 않은 경우 닫힌 포트가 어떻게 취약한 지 확장 할 수 있습니까? 감사.
Faheem Mitha

"정확히 기억한다면 커널 2.5 개발에서 ipchains를 대체했다. 15 년 전과 같다." 실제로 2.3입니다. 20에 가까워집니다.
Jules

훌륭한 답변, 동의했다. 또한 가능한 최소 설치 iso, 현재 netinstall에서 설치하면 설치 프로세스의 일부가 실제로 네트워크를 통해 apt에서 패키지를 설치하는 것이므로 설치가 오래되지 않았습니다. current는 디스크에서 설치하도록 선택할 수 있기 때문에 정확히 원하는 것이므로 설치에는 실제로 작동하는 네트워크 연결이 필요합니다. 그러나이 답변은 매우 좋았습니다.
Lizardx

1
Belated 의견 : "우분투는 데비안 포크로 시작했으며 오늘날까지도 데비안과 큰 유사성을 유지합니다." 내가 아는 한 우분투는 여전히 데비안에서 파생되었습니다. 포크가 아닙니다.
Faheem Mitha

6

필자가 실제로 데비안 개발자와 관리자의 세대를 이끌지 않고 추측한다면 내 추측은 다음과 같습니다.

데비안은 주로 서버 운영 체제로 설계되었으며, sid 및 테스트 브랜치는 다음 안정적인 브랜치를 생성하는 주요 목적으로 사용되며, 동결시 동결되며 새로운 스태틱은 테스트에서 가져옵니다. 스트레치가 발생했습니다.

이것을 감안할 때, 나는 이것을 sysadmin 친구와 확인해야합니다. 데이터 센터 방화벽은 외부 장치이며 훨씬 더 높은 보안 (최소한 보안이 필요합니다)), 서버, 주요 방화벽 작업. 라우터가있는 작은 LAN에서도 라우터가 방화벽이므로 시스템에 로컬 방화벽 규칙을 사용하지 않는 이유는 무엇입니까?

아마도 사람들은 로컬 데비안 데스크탑 설치 또는 사무실이나 가정의 단일 파일 서버를 데비안과 연결된 실제 작업과 혼동 할 수 있다고 생각합니다.

나는 이것에 대해 확신하지 못하지만 데비안을 10 년 이상 사용한 후에는 여러 가지면에서 데비안의 개발자이자 지지자로서의 느낌입니다.

실제로 좋은 질문이기 때문에 이것을 확인할 수는 있지만 실제 네트워크는 컴퓨터 단위가 아닌 네트워크의 시작점에서 방화벽으로 방화벽을 설정하거나 최소한 기본 아이디어입니다. 데비안. 물론 그렇지 않은 경우, sysadmin은 Chef와 같은 것을 사용하여 컴퓨터마다 방화벽 규칙을 설정하고 기본 설치에 의존하지 않습니다. 예를 들어, 기본 데비안 ssh 구성은 개인적으로 기본값으로 사용하지 않는 것과 같습니다. 예를 들어 기본적으로 루트 로그인을 허용하며 sysadmin이 잘못 판단한 경우이를 수정합니다. .

즉, 다른 배포판에는 없을 수있는 데비안의 능력에 대한 가정이 있습니다. 마찬가지로, 변경하려는 사항을 변경하고, 이미지를 작성하고, 사이트 관리 소프트웨어 등을 사용하여 이미지를 관리합니다. 그것들은 단지 몇 가지 가능성입니다. 예를 들어, DVD를 사용하여 새 서버를 만들거나 최소한 프로덕션 환경에서는 절대 사용하지 않을 것입니다. 최소한의 netinstall과 같은 것을 사용할 것입니다. 예를 들어 항상 사용하는 것입니다. 그러나 그들은 중단했습니다.) 해당 기본 설치에 포함 된 내용을 살펴보면 데비안이 중요하게 생각하는 것과 그렇지 않은 것을 알 수 있습니다. 예를 들어 ssh가 있습니다. Xorg는 아닙니다. 삼바는 아닙니다.

그놈이 기본 데스크탑으로 그놈으로 돌아간 이유를 물을 수도 있지만, 이것은 단지 결정에 의한 것이며, 시스템을 원하는 방식으로 (즉, Xfce 데스크탑을 얻기 위해) 만들 수 있기 때문에 사용자가 기본적으로 무시하는 것입니다. Xdebian을 설치하지 말고 (Xubuntu에서와 같이) Debian core, Xorg 및 Xfce를 설치하고 나가십시오). 비슷한 방법으로, 방화벽을 원한다면, 구성하고, 기능을 배우고, 개인적으로 데비안이 그 기능을 제공 할 것으로 기대하지는 않을 것입니다. . 어쩌면 이것에 대한 나의 견해는 데비안에서 내부적으로 찾을 수있는 일종의 합의를 반영합니다.

물론 데비안과 같은 것은 없으며, 다양한 설치 이미지, netinstall, 전체 설치가 있으며 베어 본, cli 전용, 합리적으로 완전한 사용자 데스크톱에 이르기까지 다양합니다. 프로덕션 사용자는 아마도 예를 들어 사용자가 원하는 방식으로 구성되는 이미지를 만들 것입니다. 데비안 서버를 설정했는지 알고, 기본 사항부터 시작하여 원하는 작업을 수행 할 때까지 빌드합니다.

그런 다음 완전히 다른 왁스 공인 웹 서버의 세계가 있습니다. 매우 다른 보안 질문이 있으며 해커와 잘 연결된 오랜 친구가 말했듯이 웹 서버를 실행하는 사람은 보안 방법을 모릅니다 크래커가 서버를 소유 한 사람이라고도합니다.


나는 보통 다음과 같은 긴 답변을 좋아하지 않지만 : 당신은 매우 관련있는 점을 만집니다. 웹 서버를 실행하는 경우 웹 서버에 대한 연결을 수락해야합니다. 두 번째 소프트웨어 구성에서 얻을 수있는 가치는 다음과 같습니다. 예, 웹 서버로 전송 된 웹 요청을 수락하고 싶습니다. 그리고이 유스 케이스는 데스크탑보다 데비안 내부에서 더 관심이있는 것 같습니다.
sourcejedi

sourcejedi, lol, 오래 걸리지 않았다면, 나는 웹 서버 질문에 오지 않았을 것입니다. 그것이 마지막으로 추가 한 것입니다. 그러나이 경우, 명확하고 새롭고 경험이 적은 사용자가 있으며, 다른 배포판이 근본적으로 다른 사용 사례와 사용자를 포괄한다는 것을 인식하지 못할 수 있습니다. 그래서 그들은 기본적으로 정보를 가지고 있지 않으며, 그 시점에서 그들이 알고 있고 모르는 것을 잘못 알고 너무 어리 석습니다. 아니면 충분합니다. 알기 어렵다.
Lizardx

"물론 데비안 같은 것은 없습니다." 이것이 무엇을 의미하는지 잘 모르겠습니다. 데비안과 같은 것이 있습니다. 데비안 프로젝트에서 생성 한 운영 체제입니다. 기술적으로는 운영 체제 제품군이지만 Linux 변형은 매우 지배적입니다. 설치 방법에는 여러 가지가 있지만 모두 동일한 시스템을 설치합니다. 물론, 어느 부분을 설치할 것인지에 대해 많은 자유가 있습니다.
Faheem Mitha

그것을 의미하는 것은 아닙니다. 그것이 기술적으로 무엇인지 메모하는 것은 내가 의미하는 바입니다. 즉, 데비안은이 사람이 언급 한 DVD 설치 프로그램 이미지입니까? netinstall의 핵심 설치입니까? 특정 아키텍처에 적합한 패키지 풀입니까? 그것은 sid pool입니까? 테스트 풀? 등등. 사용자가 물건을 정의하는 방법에 관해서는, 그런 것이 없다고 말하고 싶습니다. 실제로 apt와 .deb를 정의하는 패키징 규칙과 패키지를 관리하는 데비안 프로젝트가 있습니다. 그렇기 때문에 내가 좋아하는 이유는 프로젝트를 정의하는 규칙입니다.
Lizardx

설명하기는 어렵지만 시도해 볼 것입니다. 'Debian'을 설치하지 않습니다. netinstall iso에서 Debian Testing / Buster, 64 비트 버전을 설치합니다. 그래서 데비안은 내가 설치하고 실행하는 우산입니다. 이것은 내가 데비안을 너무 좋아하는 이유를 엄밀히 알고, 엄격한 규칙을 가지고 있으며, 나에게 그러한 규칙은 우분투가 아닌 데비안으로 정의하는 것입니다. 예를 들어 데비안에서 패키지 세트를 가져 와서 우분투를 만들면 데비안이 언제 중지됩니까? 적어도 같은 기간 동안 동일한 패키지이며 dfsg 규칙을 따르지 않으면 중지됩니다.
Lizardx

5

일반적으로 복잡한 설정을 제외하고 대부분의 시스템에는 방화벽이 필요하지 않습니다.

서버를 설치할 때 SSH가 실행 중입니다. 다른 것은 듣고 있지 않아야하며 아마도 ssh에 연결할 수 있기를 원할 것입니다.

웹 서버를 설치할 때 웹 서버를 사용할 수있을 것입니다. 그렇지 않습니까? 기본 튜닝의 경우 0.0.0.0 (모든 IP) 대신 192.168.172.42 (로컬 LAN IP)와 같은 개인 LAN 인터페이스에만 웹 서버를 바인딩 할 수 있습니다. 여전히 방화벽이 필요하지 않습니다.

물론 모든 것이 1024보다 큰 포트를 열 수 있지만 신뢰할 수없는 소프트웨어 (또는 신뢰할 수없는 사용자)가있는 경우 방화벽을 설치하는 것 이상을 수행해야합니다. 현재 당신은 무언가 또는 누군가를 불신해야 할 필요가 있습니다. 당신은 소프트웨어뿐만 아니라 보안 개념이 필요합니다. 따라서 방화벽 솔루션에 대해 적극적으로 생각해야 할 때 좋습니다.

이제 더 복잡한 시나리오가 있습니다. 그러나 실제로이 중 하나가 있으면 방화벽을 직접 미세 조정해야하고 ufw와 같은 반자동 시스템이이를 수행하지 못하게해야합니다. 또는 ufw를 사용할 수도 있지만 운영 체제의 기본값이 아니라 결정했습니다.


1
개인용 컴퓨터의 방화벽 인 IIRC는 Windows 95의 보안 취약점 중 하나에 대한 대응으로 모든 포트가 기본적으로 열려있었습니다. 대부분의 운영 체제에서 이전과 이후에 포트는 실제로 해당 포트에서 수신 대기하는 서비스가있는 경우에만 열립니다. 둘째, 방화벽은 패킷을 명시 적으로 거부하지 않고 자동으로 패킷을 삭제하도록 구성되어있어 IP 주소에 시스템이 있다는 것을 전혀 알 수 없습니다.
bgvaughan

청취 서비스가없는 열린 포트로 무엇을 의미하는지 잘 모르겠습니다. 패킷은 어디로 가고 왜 이것이 보안 허점이어야합니까? 방화벽에서 패킷을 삭제하면 숨길 수는 없지만 방화벽이있는 시스템이 있다는 것은 더욱 분명합니다. 시스템이 온라인 상태가 아닌 경우 시스템 앞에 있는 라우터 는 "도달 할 수없는"응답을 보냅니다. 컴퓨터가있을 때 (패킷을 수락, 거부 또는 삭제하지 않을 때)는 아닙니다. traceroute시스템을 사용하여 효과를 직접 확인할 수 있습니다 .
allo

1
내가 당신에게 traceroute를 시작할 때, 나는 7 홉을 볼 수 있습니다. 첫 번째는 내 PC이고, 마지막은 네트워크의 진입 점입니다. PC가 오프라인 상태 일 때 6 번째 홉은 "연결할 수없는"응답을 보냅니다. PC가 연결되어 있지만 방화벽 상태 인 경우 6 번째 홉은 정상적인 응답을 보내고 7 번째는 패킷을 삭제 (또는 거부)합니다. 또한 6 번째 홉을 제어 할 수 없으므로 패킷을 위조하거나 삭제할 수 없습니다.
allo

1
"95와 같은 오래된 Windows 시스템은 XP가 실행중인 서비스가없는 경우에도 모든 포트를 열어 놓을 것이라고 생각합니다." 패킷이 들어 오면 청취 프로그램 reject이나 패킷으로 보낼 수 있습니다 drop. "듣지 않고 포트 열기"개념이 없습니다. 아마도 프로그램을 보내지 않고 수락하는 것을 의미합니다.
allo

1
개인적으로 나는 안전한 대체뿐만 아니라 기본 방화벽을 거부했습니다. 하지만 데비안이 언제 방화벽을 설치하게하는지 이해합니다. 나는 많은 실험을하고, 다른 사람들은 tasksel에서 웹 서버를 선택하고 끝났습니다. win95에 대해서는 전혀 모르지만 오늘은 중요하지 않습니다.).
allo

4

사람들이 전에 인터넷에 연결되어 있어야합니까

방화벽을 얻는가?

모든 포트가 기본적으로 닫혀 있어도

죄송합니다. rpcbind기본적으로 네트워크에서 설치, 활성화 및 청취중인 것 같습니다.

편집 : 나는 이것이 최신 설치 프로그램, 즉 Debian 9 (Stretch)에서 수정되었다고 생각합니다 . 그러나 이전 버전의 데비안에서는 공용 Wi-Fi 네트워크에 설치 및 업데이트하는 것이 안전하지 않습니다.

왜?

나는 사람들이

  1. 로컬 네트워크는 네트워크 서비스를 공격하지 않습니다
  2. 로컬 네트워크와 더 넓은 인터넷 사이에 이미 방화벽이 있습니다.

후자는 소비자 라우터와 같은 일반적인 관행이지만 이것이 보장되는 것은 아닙니다. 당연히 이전의 가정은 문서화되지 않았다. 그것은 합리적 인 것도 아닙니다.

제 생각에는 rpcbind의 문제가 더 일반적인 요점의 예입니다. 사람들은 데비안을 홍보하려고 시도 할 수 있으며 멋진 기능이 많이 있습니다. 그러나 데비안은 연마 방법에 우분투 뒤쳐 친절한 그것은 틀림없이 심지어 사람들을 위해 얼마나 신뢰할 수있다, 또는 원하는 등 세부 사항을 배울 수 있습니다.

다운로드 한 프로그램이 프로그램을 열 수 있습니까 (아니요?) 내 허락없이 컴퓨터를 떠나는 단일 비트조차 원하지 않습니다.

확실하지 않은 임의의 소프트웨어를 다운로드하여 실행하기 전에 방화벽을 설치할 수 있습니다. :-p.

나는 부분적으로 리눅스를 설치하고 잘 알려진 보안 계층에 대해 설정된 인터페이스를 찾지 못한다는 것에 놀랐다. 개인적으로 기본 Windows 방화벽이 어떻게 설정되어 있는지 이해하는 것이 유용하다는 것을 알았습니다. 홈 네트워크를 "신뢰"할 수 있기를 원하며 최신 버전에서는 빠른 설치를 통해 현재 네트워크를 신뢰하는지 묻지 않아도됩니다. 주요 목표는 홈 네트워크, 직접 연결된 모뎀과 같은 보호되지 않은 연결 및 공용 Wi-Fi 네트워크를 구별하는 것 같습니다. UFW는이를 지원하지 않습니다.

Fedora Linux만으로에서 이와 같은 것을 제공하려고 시도했습니다 firewalld. (패키지는 데비안에서도 사용할 수 있습니다 ...). 이를위한 GUI는 GUFW와 같이 "친숙"하지 않습니다.


나는 당신이 '배우려고하는 누군가를 위해'라는 의견으로 우분투에 대한 의견을 인정하게되어 기쁩니다. 데비안은 그 그룹을 위해 만들어진 시스템이 아니며, 우분투의 존재는 실제로 그 사실에 도달했을 수 있습니다. 누군가 배우려고하지 않기 때문에, 그것이 내가 항상 우분투보다 데비안을 선호하는 정확한 이유입니다. 나는 로컬 방화벽을 가지고 놀았지만 결국에는 실제 유틸리티보다 장난감으로 더 많이보기 시작했습니다. 나는 iptables가 아닌 gui 일을 의미합니다. 그건 그렇고 그 결정에 동의합니다.
Lizardx

@Lizardx 나는 rpcbind + 공용 와이파이 네트워크로 상황을 찾는 것이 얼마나 실망스럽고 강조하기 위해 편집했습니다 :). 나는 그 의견에서 당신이 어디에서 왔는지 알고 있다고 생각하지만 전적으로 동의하지는 않습니다. 리포지토리에있는 무기 총에 접근하게되어 기쁘지만, 정의 된 기본값 (또는 예를 들어 XFCE를 인기있는 "GNOME3이 아닌"옵션으로 계산하는 경우)을 기반으로 신뢰할 수있는 기반으로 설정하고 싶습니다. .
sourcejedi

공용 Wi-Fi는 분명히 시스템의 방화벽이 일반 사용자에게 중요한 사용 사례입니다. 그러나 다른 답변에서 알 수 있듯이 데비안은 이것을 설치하고 사용하면 이것을 알고 있다고 가정합니다. FreeBSD 나 OpenBSD가이 질문을 어떻게 볼 수 있을까? 나만 말하면, 나는 데비안 기본 패키지 그룹 선택의 팬이 아닌 거대한 팬입니다 .XUbuntu와 달리 실제로 실행하고 싶은 것을 만드는 것을 본 적이 없습니다 .XUbuntu 또는 멋진 기본 설치를 만든 다양한 데비안 스핀 . 이것으로, 그놈 3, XFCE가 아닌 옵션은 매우 좋을 것입니다.
Lizardx

4
gufw는 끔찍하다. ufw는 거의 의미가 없으며 규칙을 XML로 저장하지 않습니까? 우와 수동 iptables 규칙 집합조차도 다루기가 더 쉽습니다.
user2497

3

유닉스의 전통적인 철학은 항상 KISS였으며 최소한의 서비스를 운영 / 노출했습니다.

여러 서비스도 명시 적으로 설치해야하며 일부 서비스는 localhost에 바인딩되어 로컬 네트워크 / 인터넷 (MySQL, MongoDB, snmpd, ntpd, xorg ...)에서 볼 수 있도록해야합니다. 이 방법은 기본적으로 방화벽을 활성화하는보다 합리적인 방법입니다.

방화벽이 특정 지점에서 가져 오는 복잡성 만 있으면되므로 회사 라우터 나 가정용 내비게이션 장치 뒤에있는 필요성이 줄어들 수 있으므로 사용자에게 결정을 내리는 것이 현명하게 들립니다. 다른 많은 보안 소프트웨어와 마찬가지로 방화벽도 제대로 관리하지 않으면 잘못된 보안 감각을 제공 할 수 있습니다.

데비안의 오리엔테이션은 항상 iptables가 무엇인지 아는보다 기술 지향적 인 사람들이었습니다. 또한 쉽게 설치할 수있는 몇 가지 잘 알려진 랩퍼, 텍스트 또는 그래픽 모드 인터페이스가 있습니다.

게다가 소프트웨어가 너무 많거나 적을 지 여부는 문제의 여지가 있습니다. 오랫동안 베테랑에게는 특히 서버 모드에서 기본적으로 너무 많은 소프트웨어 및 서비스가 설치되어 제공됩니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.