데비안이 기본적으로 방화벽이없는 상태로 제공되는 이유는 무엇입니까?

KDE와 함께 Debian 9.1을 사용하고 있는데 왜 방화벽이 설치되어 있지 않고 기본적으로 활성화되어 있는지 궁금합니다. gufw는 DVD1의 패키지에도 없습니다.

사람들 은 방화벽을 얻기 전에 인터넷에 연결해야 합니까? 왜? 모든 포트가 기본적으로 닫혀 있어도 다양한 설치, 업데이트 또는 다운로드 된 프로그램이 포트를 열거 나 닫을 수 있으며 단일 비트조차도 내 허락없이 컴퓨터를 떠나지 않기를 바랍니다.

편집 : 그래서 방금 iptables 에 대해 알았지 만 방화벽은 대부분의 사람들에게 알려지지 않은 것처럼 보이는 iptables, 기본 규칙, 액세스 가능성 및 사용 편의성 및 iptable-rules가 기본적으로 재설정된다는 사실에 여전히 의문을 제기 합니다. 다시 시작할 때 .

첫째, 데비안은 자신이하고있는 일을 알고 있다고 가정하고 선택을 피하려고합니다.

데비안의 기본 설치는 상당히 작고 안전합니다. 어떤 서비스도 시작하지 않습니다. 또한 설치에 추가 된 표준 옵션 추가 (예 : 웹 서버, ssh)조차도 상당히 보수적이고 안전합니다.

따라서이 경우 방화벽이 필요하지 않습니다. 데비안 (또는 개발자)은 추가 서비스를 시작하면이를 보호하는 방법을 알고 필요할 경우 방화벽을 추가 할 수 있다고 가정합니다.

더 중요한 것은 데비안은 어떤 방화벽 소프트웨어를 사용할지 선택하지 않는 것입니다. 다양한 선택이 가능합니다. 어떤 것을 사용해야합니까? 기본 방화벽 설정에 대해서도 어떤 설정을 선택해야합니까? 그렇게 말하면 iptables우선 순위가 중요하므로 기본적으로 설치됩니다. 물론 데비안은 여러분이 원하는 방식을 알지 못하므로 구성하지 않습니다. 어쨌든 iptables후계자 를 사용하는 것이 좋습니다 nftables.

방화벽 기능은 이미 어느 정도 Linux 커널에 내장되어 있습니다. 예를 들어 nftables와 netfilter. 데비안 및 기타 Linux 배포판은 iptables해당 기능을 관리하는 것과 같은 사용자 공간 도구를 제공 합니다. 그러나 당신이 그들과 함께하는 일은 당신에게 달려 있습니다.

이러한 엔티티는 일관되게 이름이 지정되지 않았습니다. Wikipedia nftables페이지 를 인용하려면 :

nftables는 사용자 공간 유틸리티 nft를 통해 구성되는 반면 netfilter는 유틸리티 iptables, ip6tables, arptables 및 ebtables 프레임 워크를 통해 구성됩니다.

먼저, 이미 언급 한 내용을 반복하고 싶습니다 : 데비안은 다른 주류 배포판, 특히 우분투와는 다른 사용자 그룹을 수용합니다. 데비안은 시스템의 작동 방식을 알고 있고 시스템에 대한 높은 수준의 제어를 위해 때때로 땜질을 두려워하지 않는 사람들을 대상으로합니다. 예를 들어 우분투는 매우 다른 대상 독자를 대상으로합니다. 일만하고 일을하고 싶어하는 사람들 (실제로)을 실제로 신경 쓰지 않는 사람들은 물론 시스템 구성을 수정하지 않아도되는 사람들 작업. 이는 결과 시스템의 여러 측면에 영향을줍니다. 그리고 어느 정도까지는 이것이 Linux의 한 가지 아름다움입니다. 동일한 기본 시스템을 사용하여 다양한 요구에 맞는 환경을 구축 할 수 있습니다. 우분투는 데비안 파생물이라는 것을 기억하십시오.

gufw는 DVD1의 패키지에도 없습니다.

첫 번째 디스크에는 설치된 시스템에서 익명 통계를 옵트 인 수집하여 결정한 가장 인기있는 소프트웨어가 포함됩니다. gufw가 첫 번째 디스크에 있지 않다는 사실은 데비안에서이 패키지가 널리 사용되는 (설치된 기반으로) 패키지가 아님을 나타냅니다. 다른 시스템보다 선호하는 경우 네트워킹이 시작되고 실행되는 기본 시스템이 있으면 설치하기도 쉽습니다.

사람들은 방화벽을 얻기 전에 인터넷에 연결해야합니까? 왜?

글쎄, 데비안은 네트워크를 통해 설치할 수 있다고 생각합니다. (일반 설치 중에 네트워크에서 패키지를 다운로드 할뿐만 아니라 문자 그대로 에 설치된 호스트와 다른 호스트에서 설치를 시작합니다 .) 기본적으로 제한 규칙 세트로 구성된 방화벽은이를 방해 할 위험이 있습니다. 설치중인 최신 버전의 패키지를 다운로드하는 것 이외의 목적으로 설치 프로세스 중에 나가는 네트워크 액세스가 필요한 설치와 동일합니다.

다른 하나는 위에서 언급 한 것이 있습니다. 일반적으로 데비안은 자신이하는 일을 알고 있어야합니다. 방화벽을 원한다면 방화벽을 직접 구성 할 수 있어야하며, 특정 요구 사항이 무엇인지 데비안 관리자보다 더 잘 알고 있어야합니다. 데비안은 그런 점에서 OpenBSD와 비슷하지만 극단적이 아닙니다. (기본 시스템을 좀 더 안전하게 만들고 사용성을 좀 더 선택하는 것만으로도 OpenBSD 관리자는 거의 항상 보안을 추구합니다. 기본 시스템 보안 취약성 통계에 나와 있지만 사용성에 큰 영향을 미칩니다.)

물론 기술 : 방화벽 지원 은 기본 시스템에 포함되어 있습니다. 커널에 의해 기본적으로 모든 허용 규칙으로 설정되어 있으며 기본 데비안 설치는이를 변경하기 위해 아무 것도하지 않습니다. 트래픽 흐름을 제한하기 위해 몇 가지 명령을 실행할 수 있습니다.

모든 포트가 기본적으로 닫혀 있어도 다양한 설치, 업데이트 또는 다운로드 된 프로그램이 포트를 열거 나 닫을 수 있습니다. 심지어 한 비트라도 내 허락없이 컴퓨터를 떠나지 않기를 바랍니다.

첫째, 방화벽은 일반적으로 들어오는 트래픽 을 제한하는 데 사용됩니다 . 발신 을 제한하려는 경우교통, 그것은 약간 다른 물고기 주전자입니다. 확실히 할 수 있지만 특정 상황에 맞게 조정해야합니다. 일반적으로 사용되는 포트를 열어 둔 기본 차단 발신 트래픽 방화벽 (일반적으로 사용되는 포트는 ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 및 설정된 세션과 관련된 트래픽을 허용하는 것 외에도 기본 허용 방화벽보다 훨씬 안전하지는 않습니다. 기본 시스템에 의해 설치된 패키지 세트가 잘 이해되고 전달 된 패키지로 구성된 보안 세트로 제한되고 관리자가 그보다 더 많은 보호가 필요한 경우 적절한 방화벽 규칙을 설정할 수 있도록하는 것이 좋습니다.

둘째, 닫힌 포트 ( TCP RST / ACK를 사용하여 TCP SYN에 응답하는 포트)일반적으로 "연결 거부 됨"으로보고됩니다. 이는 일반적으로 반대 구성이 없거나 소프트웨어를 수신하지 않는 경우 TCP / IP를 지원하는 라이브 시스템에서 TCP 포트의 기본 상태입니다. 별도의 방화벽을 통해 연결되지 않은 시스템에서도 마찬가지입니다. 완전히 닫힌 구성에서 유일하게 중요한 취약점은 커널의 TCP / IP 스택 구현 내에 취약점이있는 경우입니다. 그러나 패킷은 이미 커널의 netfilter (iptables) 코드를 통과하고 있으며 버그도 숨어있을 수 있습니다. 다른 쪽 끝에 "연결이 거부 된"결과에 응답하는 논리는 간단하여 보안 관련 버그는 물론 버그의 주요 원인이 될 것이라고 믿기가 어렵습니다.

셋째, 패키지는 일반적으로 루트로 설치되며, 여기서 패키지는 사용자가 모르게 iptables 규칙을 변경할 수 있습니다. 따라서 관리자가 호스트 방화벽을 통한 트래픽을 수동으로 허용하도록 요구하는 것과는 다릅니다. 이러한 종류의 격리를 원할 경우 먼저 보호하고있는 호스트와 방화벽을 분리해야합니다.

방금 iptables에 대해 알게되었지만 방화벽이 대부분의 사람들에게 알려지지 않은 것처럼 보이는 iptables, 기본 규칙 및 액세스 가능성 및 사용 편의성에 대한 질문이 여전히 남아 있습니다.

나는 실제로 그 반대 라고 말합니다 . 방화벽으로서의 iptables는 잘 알려져 있습니다. 또한 거의 모든 Linux 시스템에서 사용할 수 있습니다. (개발 과정에서 ipchains를 대체하여 2000 년경 Linux 커널 버전 2.4가되었습니다. 올바르게 기억한다면, 방화벽의 일반적인 사용 사례에서 둘 사이에서 사용자가 볼 수있는 가장 큰 변화는 내장 규칙입니다. 체인은 이제 INPUT소문자 대신 대문자로 이름이 지정되었습니다 input.)

아무것도의 iptables는 일 할 수 있다면 다른 널리 사용되거나 이해되지 않는 방화벽보다 더합니다. 예를 들어, 방화벽을 통과 하기 전에 IP 패킷을 다시 쓰는 데 사용할 수 있습니다 .

필자가 실제로 데비안 개발자와 관리자의 세대를 이끌지 않고 추측한다면 내 추측은 다음과 같습니다.

데비안은 주로 서버 운영 체제로 설계되었으며, sid 및 테스트 브랜치는 다음 안정적인 브랜치를 생성하는 주요 목적으로 사용되며, 동결시 동결되며 새로운 스태틱은 테스트에서 가져옵니다. 스트레치가 발생했습니다.

이것을 감안할 때, 나는 이것을 sysadmin 친구와 확인해야합니다. 데이터 센터 방화벽은 외부 장치이며 훨씬 더 높은 보안 (최소한 보안이 필요합니다)), 서버, 주요 방화벽 작업. 라우터가있는 작은 LAN에서도 라우터가 방화벽이므로 시스템에 로컬 방화벽 규칙을 사용하지 않는 이유는 무엇입니까?

아마도 사람들은 로컬 데비안 데스크탑 설치 또는 사무실이나 가정의 단일 파일 서버를 데비안과 연결된 실제 작업과 혼동 할 수 있다고 생각합니다.

나는 이것에 대해 확신하지 못하지만 데비안을 10 년 이상 사용한 후에는 여러 가지면에서 데비안의 개발자이자 지지자로서의 느낌입니다.

실제로 좋은 질문이기 때문에 이것을 확인할 수는 있지만 실제 네트워크는 컴퓨터 단위가 아닌 네트워크의 시작점에서 방화벽으로 방화벽을 설정하거나 최소한 기본 아이디어입니다. 데비안. 물론 그렇지 않은 경우, sysadmin은 Chef와 같은 것을 사용하여 컴퓨터마다 방화벽 규칙을 설정하고 기본 설치에 의존하지 않습니다. 예를 들어, 기본 데비안 ssh 구성은 개인적으로 기본값으로 사용하지 않는 것과 같습니다. 예를 들어 기본적으로 루트 로그인을 허용하며 sysadmin이 잘못 판단한 경우이를 수정합니다. .

즉, 다른 배포판에는 없을 수있는 데비안의 능력에 대한 가정이 있습니다. 마찬가지로, 변경하려는 사항을 변경하고, 이미지를 작성하고, 사이트 관리 소프트웨어 등을 사용하여 이미지를 관리합니다. 그것들은 단지 몇 가지 가능성입니다. 예를 들어, DVD를 사용하여 새 서버를 만들거나 최소한 프로덕션 환경에서는 절대 사용하지 않을 것입니다. 최소한의 netinstall과 같은 것을 사용할 것입니다. 예를 들어 항상 사용하는 것입니다. 그러나 그들은 중단했습니다.) 해당 기본 설치에 포함 된 내용을 살펴보면 데비안이 중요하게 생각하는 것과 그렇지 않은 것을 알 수 있습니다. 예를 들어 ssh가 있습니다. Xorg는 아닙니다. 삼바는 아닙니다.

그놈이 기본 데스크탑으로 그놈으로 돌아간 이유를 물을 수도 있지만, 이것은 단지 결정에 의한 것이며, 시스템을 원하는 방식으로 (즉, Xfce 데스크탑을 얻기 위해) 만들 수 있기 때문에 사용자가 기본적으로 무시하는 것입니다. Xdebian을 설치하지 말고 (Xubuntu에서와 같이) Debian core, Xorg 및 Xfce를 설치하고 나가십시오). 비슷한 방법으로, 방화벽을 원한다면, 구성하고, 기능을 배우고, 개인적으로 데비안이 그 기능을 제공 할 것으로 기대하지는 않을 것입니다. . 어쩌면 이것에 대한 나의 견해는 데비안에서 내부적으로 찾을 수있는 일종의 합의를 반영합니다.

물론 데비안과 같은 것은 없으며, 다양한 설치 이미지, netinstall, 전체 설치가 있으며 베어 본, cli 전용, 합리적으로 완전한 사용자 데스크톱에 이르기까지 다양합니다. 프로덕션 사용자는 아마도 예를 들어 사용자가 원하는 방식으로 구성되는 이미지를 만들 것입니다. 데비안 서버를 설정했는지 알고, 기본 사항부터 시작하여 원하는 작업을 수행 할 때까지 빌드합니다.

그런 다음 완전히 다른 왁스 공인 웹 서버의 세계가 있습니다. 매우 다른 보안 질문이 있으며 해커와 잘 연결된 오랜 친구가 말했듯이 웹 서버를 실행하는 사람은 보안 방법을 모릅니다 크래커가 서버를 소유 한 사람이라고도합니다.

일반적으로 복잡한 설정을 제외하고 대부분의 시스템에는 방화벽이 필요하지 않습니다.

서버를 설치할 때 SSH가 실행 중입니다. 다른 것은 듣고 있지 않아야하며 아마도 ssh에 연결할 수 있기를 원할 것입니다.

웹 서버를 설치할 때 웹 서버를 사용할 수있을 것입니다. 그렇지 않습니까? 기본 튜닝의 경우 0.0.0.0 (모든 IP) 대신 192.168.172.42 (로컬 LAN IP)와 같은 개인 LAN 인터페이스에만 웹 서버를 바인딩 할 수 있습니다. 여전히 방화벽이 필요하지 않습니다.

물론 모든 것이 1024보다 큰 포트를 열 수 있지만 신뢰할 수없는 소프트웨어 (또는 신뢰할 수없는 사용자)가있는 경우 방화벽을 설치하는 것 이상을 수행해야합니다. 현재 당신은 무언가 또는 누군가를 불신해야 할 필요가 있습니다. 당신은 소프트웨어뿐만 아니라 보안 개념이 필요합니다. 따라서 방화벽 솔루션에 대해 적극적으로 생각해야 할 때 좋습니다.

이제 더 복잡한 시나리오가 있습니다. 그러나 실제로이 중 하나가 있으면 방화벽을 직접 미세 조정해야하고 ufw와 같은 반자동 시스템이이를 수행하지 못하게해야합니다. 또는 ufw를 사용할 수도 있지만 운영 체제의 기본값이 아니라 결정했습니다.

사람들이 전에 인터넷에 연결되어 있어야합니까

예

방화벽을 얻는가?

모든 포트가 기본적으로 닫혀 있어도

죄송합니다. rpcbind기본적으로 네트워크에서 설치, 활성화 및 청취중인 것 같습니다.

편집 : 나는 이것이 최신 설치 프로그램, 즉 Debian 9 (Stretch)에서 수정되었다고 생각합니다 . 그러나 이전 버전의 데비안에서는 공용 Wi-Fi 네트워크에 설치 및 업데이트하는 것이 안전하지 않습니다.

왜?

나는 사람들이

1. 로컬 네트워크는 네트워크 서비스를 공격하지 않습니다
2. 로컬 네트워크와 더 넓은 인터넷 사이에 이미 방화벽이 있습니다.

후자는 소비자 라우터와 같은 일반적인 관행이지만 이것이 보장되는 것은 아닙니다. 당연히 이전의 가정은 문서화되지 않았다. 그것은 합리적 인 것도 아닙니다.

제 생각에는 rpcbind의 문제가 더 일반적인 요점의 예입니다. 사람들은 데비안을 홍보하려고 시도 할 수 있으며 멋진 기능이 많이 있습니다. 그러나 데비안은 연마 방법에 우분투 뒤쳐 친절한 그것은 틀림없이 심지어 사람들을 위해 얼마나 신뢰할 수있다, 또는 원하는 등 세부 사항을 배울 수 있습니다.

다운로드 한 프로그램이 프로그램을 열 수 있습니까 (아니요?) 내 허락없이 컴퓨터를 떠나는 단일 비트조차 원하지 않습니다.

확실하지 않은 임의의 소프트웨어를 다운로드하여 실행하기 전에 방화벽을 설치할 수 있습니다. :-p.

나는 부분적으로 리눅스를 설치하고 잘 알려진 보안 계층에 대해 설정된 인터페이스를 찾지 못한다는 것에 놀랐다. 개인적으로 기본 Windows 방화벽이 어떻게 설정되어 있는지 이해하는 것이 유용하다는 것을 알았습니다. 홈 네트워크를 "신뢰"할 수 있기를 원하며 최신 버전에서는 빠른 설치를 통해 현재 네트워크를 신뢰하는지 묻지 않아도됩니다. 주요 목표는 홈 네트워크, 직접 연결된 모뎀과 같은 보호되지 않은 연결 및 공용 Wi-Fi 네트워크를 구별하는 것 같습니다. UFW는이를 지원하지 않습니다.

Fedora Linux만으로에서 이와 같은 것을 제공하려고 시도했습니다 firewalld. (패키지는 데비안에서도 사용할 수 있습니다 ...). 이를위한 GUI는 GUFW와 같이 "친숙"하지 않습니다.

유닉스의 전통적인 철학은 항상 KISS였으며 최소한의 서비스를 운영 / 노출했습니다.

여러 서비스도 명시 적으로 설치해야하며 일부 서비스는 localhost에 바인딩되어 로컬 네트워크 / 인터넷 (MySQL, MongoDB, snmpd, ntpd, xorg ...)에서 볼 수 있도록해야합니다. 이 방법은 기본적으로 방화벽을 활성화하는보다 합리적인 방법입니다.

방화벽이 특정 지점에서 가져 오는 복잡성 만 있으면되므로 회사 라우터 나 가정용 내비게이션 장치 뒤에있는 필요성이 줄어들 수 있으므로 사용자에게 결정을 내리는 것이 현명하게 들립니다. 다른 많은 보안 소프트웨어와 마찬가지로 방화벽도 제대로 관리하지 않으면 잘못된 보안 감각을 제공 할 수 있습니다.

데비안의 오리엔테이션은 항상 iptables가 무엇인지 아는보다 기술 지향적 인 사람들이었습니다. 또한 쉽게 설치할 수있는 몇 가지 잘 알려진 랩퍼, 텍스트 또는 그래픽 모드 인터페이스가 있습니다.

게다가 소프트웨어가 너무 많거나 적을 지 여부는 문제의 여지가 있습니다. 오랫동안 베테랑에게는 특히 서버 모드에서 기본적으로 너무 많은 소프트웨어 및 서비스가 설치되어 제공됩니다.