Pourquoi le pare-feu est-il désactivé par défaut?

59

Pourquoi le pare-feu uf est-il inclus dans Ubuntu, alors qu'il n'est pas activé et préconfiguré par défaut? La plupart des utilisateurs ne le savent même pas, car aucune interface graphique n'est fournie.

    
posée 6205 21.01.2011 - 22:53
la source

5 réponses

36

Out of the box, Ubuntu est livré sans ports TCP ou UDP ouverts, d’où l’idée qu’il n’ya aucune raison d’exécuter Firewall non compliqué ( ufw) par défaut. Je suis d'accord, cependant, qu'avoir UFW handicapé est une décision étrange. Mon raisonnement étant que les utilisateurs inexpérimentés vont probablement installer des choses comme Samba, Apache et autres, comme ils expérimentent avec le système mis à leur disposition. S'ils ne comprennent pas les implications de cela, ils s'exposeront à un comportement malveillant sur Internet.

Exemple - Mon ordinateur portable est configuré avec Samba, ce qui convient parfaitement à mon réseau domestique protégé par WPA2. Mais si j'emmène mon ordinateur portable dans un Starbucks, je ne penserais peut-être à rien, mais cet ordinateur portable annonce maintenant mes actions à tout le monde. Avec un pare-feu, je peux limiter mes ports Samba uniquement à mon serveur domestique ou à mes périphériques homologues. Pas besoin de s'inquiéter autant maintenant de savoir qui pourrait essayer de se connecter à mon ordinateur portable. Il en va de même pour VNC, SSH ou un grand nombre d’autres services utiles que mon ordinateur portable peut exécuter ou pour lesquels il tente de se connecter.

Ubuntu adopte une approche très active de certains éléments de sécurité, une philosophie avec laquelle je ne peux pas être d’accord. La sécurité peut être techniquement activée ou désactivée, mais en superposant des éléments de sécurité, vous obtenez un meilleur système. Bien sûr, la sécurité d'Ubuntu est suffisante pour un grand nombre de cas d'utilisation, mais pas tous.

En bout de ligne, lancez ufw. Mieux vaut prévenir que guérir.

Un pare-feu simple comporte un certain nombre de frontaux graphiques, mais le plus simple est Gufw .

sudo apt-get install gufw

Ici, j'autorise tout le trafic provenant de VLAN de serveur spécifiques dans mon environnement d'entreprise et j'ai ajouté une règle pour autoriser les ports nécessaires pour qu'une session SSH inverse rebondisse sur cette machine.

    
réponse donnée Scaine 22.01.2011 - 12:25
la source
28

Contrairement à Microsoft Windows, un ordinateur de bureau Ubuntu n’a pas besoin d’un pare-feu pour être sûr sur Internet car, par défaut, Ubuntu n’ouvre pas les ports susceptibles d’introduire des problèmes de sécurité.

En général, un système Unix ou Linux correctement durci n'aura pas besoin d'un pare-feu. Les pare-feu (à l'exception de certains problèmes de sécurité avec les ordinateurs Windows) ont plus de sens pour bloquer les réseaux internes sur Internet. Dans ce cas, les ordinateurs locaux peuvent communiquer les uns avec les autres via des ports ouverts qui sont bloqués vers l'extérieur par le pare-feu. Dans ce cas, les ordinateurs sont intentionnellement ouverts pour les communications internes qui ne devraient pas être disponibles en dehors du réseau interne.

Le bureau Ubuntu standard n’aurait pas besoin de cela, donc ufw n’est pas activé par défaut.

    
réponse donnée txwikinger 21.01.2011 - 23:07
la source
8

Dans Ubuntu ou tout autre Linux, le pare-feu fait partie du système de base et s’appelle iptables / netfilter. Il est toujours activé.

iptables consiste en un ensemble de règles sur ce qu'il faut faire et comment se comporter lorsqu'un paquet sort de son entrée. Si vous souhaitez bloquer explicitement les connexions entrantes provenant d'une adresse IP spécifique, vous devez ajouter une règle. En fait, vous n'avez pas besoin de le faire. Se détendre.

Si vous voulez une sécurité optimale, n'oubliez pas d'installer des logiciels aléatoires de n'importe où. Cela pourrait bousiller vos paramètres de sécurité par défaut. Ne pas exécuter en tant que root jamais. Faites toujours confiance aux pensions officielles.

Je pense que ce que vous vouliez demander était que si l'interface utilisateur est installée ou non?

    
réponse donnée Manish Sinha 22.01.2011 - 12:01
la source
4

De plus, gufw peut fournir une interface utilisateur graphique. (Pour moi, ce n'est pas vraiment plus intuitif que ufw sur la ligne de commande, mais cela vous donne un rappel plus visuel de ce qui est là.) Je suis d'accord pour dire que le pare-feu n'est pas bien annoncé actuellement. Si je devais deviner, je dirais que c'est pour empêcher les nouveaux utilisateurs de se tirer dans le pied.

    
réponse donnée belacqua 22.01.2011 - 00:17
la source
-1

Parce que: mots de passe ou clés cryptées.

Ceci est la bonne réponse de l’OMI et, jusqu’à présent, une réponse bien différente des autres. ufw est désactivé par défaut pour la commodité de la majorité des utilisateurs d'Ubuntu qui savent que les mots de passe constituent une forme importante de protection pour assurer la confidentialité et un contrôle restreint. La majorité des utilisateurs d'Ubuntu «testeront» les logiciels en installant des référentiels approuvés par Ubuntu et en faisant attention aux autres sources, afin de minimiser les risques en général, et pas seulement les risques liés aux ports. Ce faisant, ils réduisent considérablement le risque lié au port, qui était déjà faible, car ils utilisent des mots de passe "normaux" et très petits s'ils utilisent des mots de passe ou des clés cryptées difficiles à briser.

Certains des risques cités tels que le serveur de fichiers Samba, le serveur HTTP Apache, SSH, VNC sur un WiFi Starbucks (public) seraient généralement éliminés par des mots de passe difficiles à trouver sur l’hôte.

ufw "interrompt" les logiciels, comme le ferait un pare-feu, raison pour laquelle il est désactivé par défaut. Pour tester cela sur une nouvelle installation d'Ubuntu, le serveur A, installez ssh et connectez-vous depuis une autre machine, le client B, sur le même réseau local et vous verrez qu'il fonctionne immédiatement. Connectez - Out. Revenez ensuite sur le serveur A et sudo ufw enable . Revenez au client B et vous échouerez à ssh sur le serveur A.

    
réponse donnée H2ONaCl 26.01.2017 - 04:00
la source

Lire d'autres questions sur les étiquettes