Почему в Ubuntu по умолчанию фаервол не настроен и нет конфигуратора?

Как вы думаете, это в Canonical специально так сделали или недоработка?

Там есть special blondie firewall™ ufw — оболочка над iptables с pf-подобным синтаксисом.

Нормальный такой pf-like, блондинки счастливы, админы плюются.

Через несколько дней/недель на хабре появляется трэд со ссылками на имиджборды: в бубунте открыт ssh порт, просканили, много компов открыто, в том числе и на Чернобыкомпьютере Марэка Шаттлворта

> Там есть special blondie firewall™ ufw — оболочка над iptables с pf-подобным синтаксисом.

Нормальный такой pf-like, блондинки счастливы, админы плюются.

Ну хоть так. Но откуда бы это я узнать, имея только установленную убунту без выхода в интернет?

ты ещё спроси почему там антивируса нет.

Антивирус не нужен, конечно, разве что clamav, но фаервол нужен в любой ОС, в идеале даже мобильной.

Xeniusисправлений: 2> По идее, на домашнем компьютере после установки ОС должны быть заблокированы все входящие соединения кроме торрентов. Почему в убунте это не так?

Зачем, если сервисы не запущены?

Как раз сервисы запущены. cups и avahi, dhclient слушают порты в бубунте. А у этих сервисов могут быть уязвимости.

Вользуйся другими ОС. В ОпенСусе при установке есть вопросы пользователю про фаервол. И после установки есть гуй для настройки.

Плюсую недоумение. Я что-то не пойму. Получается, я поставил Убунту по-умолчанию и могу вообще ничего не настраивать, а просто воткнуть кабель провайдера в ЛАН и идти в Инет? А порты че, голые?

А я за натом.

>По идее, на домашнем компьютере после установки ОС должны быть заблокированы все входящие соединения кроме торрентов. Почему в убунте это не так?

Кому должны? К тому же разные клиенты используют разные порты, их что, все открывать прикажете?

Чтобы как можно больше походить на мастдай.

>захавывающих дефолтную убунту через уязвимые сетевые сервисы
Как по-твоему по умолчанию сконфигурировать фаерволл для дефолтных сервисов?
Запретить совсем? Тогда в чём смысл сервиса? Проще его отключить/удалить.
Не нужна сеть у сервиса? Отключить это средствами самого сервиса.
Открыть? В чём тогда разница если айпистолов нету вообще?

Я считаю что в Линуксе на десктопе обычного пользователя в большинстве случаев фаерволл не имеет особого смысла.

айпистолов

Шо це за зверь? В iptables tables - от слова «таблицы» :)

А как вы думаете, если открыть привилегированные порты, которые никто не слушает, компьютер будет в безопасности? Сидите вы, не жужжите, и вдруг оказывается, что в ядре появилась уязвимость по какому-нибудь 11 порту. И вот вам - не нужен брандмауэр!

>Сидите вы, не жужжите, и вдруг оказывается, что в ядре появилась уязвимость по какому-нибудь 11 порту.

Мда, про звезды у тебя лучше получается. Не пиши больше подобную чушь, пожалуйста.

sudo ufw enable

Т.е. вы думаете, что если, скажем, в xinetd появится уязвимость, ею не смогут воспользоваться?

Хотя, конечно, если пользователь не имеет внешнего айпишника и его компьютер не торчит в локалке, где пасутся малолетние "наххакеры", то можно и не поднимать брандмауэр.

Не знаю, что там в убунте, а в дебиане у меня такая картина:

$ sudo netstat -alpn|grep 0.0.0.0
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1769/cupsd      
tcp        0      0 0.0.0.0:2200            0.0.0.0:*               LISTEN      2073/sshd       
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2537/exim4      
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2011/mysqld     

Вдобавок, единственный сервис, до которого проброшен порт на роутере - это sshd (ktorrent открывает нужный через UPnP).

А каким боком ядро к xinetd? И потом, в убунте он из коробки ставится, что ли?

следи за руками:

$ aptitude install fwbuilder

в mint он, кстати, стоит по дефолту

А что, в бубунте нет inetd? А как там предполагается запускать сетевые сервисы?

А зачем? inetd - зло. Хотя я хз, как оно в убунте, последний раз ее видел в районе 5.10, ЕМНИП.

Зачем держать всякие ftpd постоянно запущенными, если их можно вызывать, когда они нужны?

> в ядре уязвимость по порту

facepalm

>Почему в Ubuntu по умолчанию фаервол не настроен и нет конфигуратора?
Потому что в Cannonical не осилили iptables.

aptitude install firestarter

>Зачем держать всякие ftpd постоянно запущенными, если их можно вызывать, когда они нужны?

Зачем на домашней убунте фтпд? :) У (x)inetd есть право на жизнь, не спорю. Но мне как-то пока не довелось IRL столкнуться с ситуациями, когда их применение оправдано.

>Зачем, если сервисы не запущены?

Т.е. есть гарантия, что все ПО, тот же быдлофлеш, не содержат уязвимостей и не слушают сокеты?

Зачем на домашней убунте фтпд?

А файлопомойку вы как организовывать будете? На дебильной самбе? Или через http?

приведи пример дефолтной настройки фиреволла

так как настроить АйПитабличку для раздачи Linux через торренты? :)

зачем, если есть роутер?

хотя да, если вводятся реквизиты для доступа к провайдеру, то можно было бы и фв предложить настроить.

*filter
:INPUT ACCEPT
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -j LOG
-A INPUT -i ppp+ -j DROP
COMMIT

Базово вот так, плюс графический конфгуратор при тыканьи галочки позволяет добавить правила для торрента (разрешить подключение на 6881 по UDP) и по другой галочке разрешить SSH (в идеале ещё должен следить, на каком оно порту). Другие сервисы, если они могут быть полезны, тоже галочками.

В общем, как в Mandriva было бы нормально.

я за роутером и мне чхать на открытые порты убунты. Что надо - сам на роутере открою через веб-морду. И да, я не знаю синтаксиса iptables или pf. Алсо, до сих пор не понимаю людей, сидящих не за роутером. Они стоят копейки, а профита вагон.

Расскажи мне, как настроить связь роутера и интернета, имея мобильный телефон с bluetooth и EDGE или 3G. Или диал-ап модем. Или ноутбук и ещё что-нибудь

А зачем закрывать порты, если они всё-равно пустые?
А если не пустые и на них висят сервисы - значит они должны быть открыты.

логически думать умеем, не?

> уязвимые сетевые сервисы

Поведайте нам, что это за сервисы такие сетевые, которые не только на lo запускаются?

ноут цепляешь по проводу к роутеру, вставляешь лив сиди и вуаля.

>Антивирус не нужен, конечно, разве что clamav, но фаервол нужен в любой ОС, в идеале даже мобильной.

зачем?

> -A INPUT -i ppp+ -j DROP

В общем, как в Mandriva было бы нормально.

Я подключен к интернету через eth0, чё мне делать?!?!??!??!! O_O

В рекомендованных приложениях вроде есть gufw — вполне себе удобная морда. Но почему ее нет из коробки и она не настроена — это непонятно, да.

> Шо це за зверь? В iptables tables - от слова «таблицы» :)
Дык и столы тоже. Привязалось слово-паразит, никак не могу избавиться.

А как вы думаете, если открыть привилегированные порты, которые никто не слушает, компьютер будет в безопасности?

Если порт никто не слушает, то там нечего ломать. Ваш КО.

Т.е. вы думаете, что если, скажем, в xinetd появится уязвимость, ею не смогут воспользоваться?

Вы наверное говорите про inetd? Разница лишь в том что порт слушает inetd, а не непосредственно приложение.

Как говорят на ЛОРе, потому что ненужно.

А убунта предназначена для хомячков, значит

Ну, во-первых, за себя говори. Убунта одинаково удобна для любых категорий юзеров. Во-вторых, ОС для хомячков не содержит никаких ftpd и прочая. В-третьих, абсолютное большинство сервисов по-умолчанию слушает только 127.0.0.1 (даже, емнип, постгрес).

По идее, на домашнем компьютере после установки ОС должны быть заблокированы все входящие соединения кроме торрентов.

А потом хомячки терроризируют ЛОР вопросами «почему я не могу соединиться с апачем???».

Ещё интересно, почему до сих пор нет червей, захавывающих дефолтную убунту через уязвимые сетевые сервисы (или там их по дефолту нет?)?

Ulttrrrrafacepalm. Нет, их там нету. А если вы сами попробуете написать червя, вы ещё поймёте, что одной только уязвимости очень-очень мало.

А как вы думаете, если открыть привилегированные порты, которые никто не слушает, компьютер будет в безопасности?

Ты не поверишь...

Сидите вы, не жужжите, и вдруг оказывается, что в ядре появилась уязвимость по какому-нибудь 11 порту.

Ааааааааааа... Ты меня убил.

Т.е. вы думаете, что если, скажем, в xinetd появится уязвимость, ею не смогут воспользоваться?

А нечего ставить на домашний компьютер inetd.

> :FORWARD DROP
форвардинг и так по умолчанию отключен

-A INPUT -i ppp+ -j LOG

лог не треснет от напора пакетов? =)
эдак можно легко отказ в обслуживании сделать на дефолтную установку (sic!)

-A INPUT -i ppp+ -j DROP

и торренты, фтп и прочая куча сетевых клиентских(!) приложений вдруг перестают работать или работают хреново.

Базово вот так, плюс графический конфгуратор при тыканьи галочки позволяет добавить правила для торрента

Допустим я домохозяйка и слыхом не слыхивал про эти ваши фаерволы. Мне надо запустить торрент или зайти на (активный) фтп-сервер, а оно не работает...

> Я подключен к интернету через eth0, чё мне делать?!?!??!??!! O_O
Заменить ppp+ на eth+.
В моем случае eth0 используется для связи с другим моим компьютером, поэтому он не фильтруется

> лог не треснет от напора пакетов? =)
Не треснет. Ну если не DDoS-ят конечно.

и торренты, фтп и прочая куча сетевых клиентских(!) приложений вдруг перестают работать или работают хреново.

Это каких? RELATED и ESTABLISHED же разрешены.

Мне надо запустить торрент или зайти на (активный) фтп-сервер, а оно не работает...

Торрент по умолчанию должен быть включен, наверное, а вообще зайти в настройки фаервола — мозг не отвалится.
Активный FTP насколько я понимаю, считается RELATED, а он разрешен.

Ты не поверишь...

Я в ядре хреново разбираюсь. Но разве не оно отвечает за первичный «отлов» пакетов, предназначенных определенному порту, и перенаправление этих пакетов слушающей этот порт службе?

> Убунта одинаково удобна для любых категорий юзеров.
Неправда, мне она неудобна. Слишком уж она умная — думает что я графическими конфигураторами обойдусь.

Во-вторых, ОС для хомячков не содержит никаких ftpd и прочая.

А расшарить музычку?

Нет, их там нету. А если вы сами попробуете написать червя, вы ещё поймёте, что одной только уязвимости очень-очень мало.

Но всё же лучше бы прикрыть. А что касается «нету», то есть SSH и пароли в стиле 123 или qwerty, а с этим никаких уязвимостей не надо.