Почему Debian поставляется без включенного брандмауэра по умолчанию?

Я использую Debian 9.1 с KDE, и мне интересно, почему он поставляется без установленного и включенного брандмауэра по умолчанию? gufw даже не в пакетах DVD1.

Ожидается ли, что люди подключатся к Интернету до получения брандмауэра? Почему? Даже если по умолчанию все порты закрыты, их могут открывать различные установленные, обновленные или загруженные программы (или нет?), И мне бы хотелось, чтобы ни один бит не покинул мою машину без моего разрешения.

Изменить: Итак, я только что узнал о iptables, но я думаю, что вопрос все еще остается как iptables, так как большинству брандмауэр кажется довольно неизвестным, его правила по умолчанию, его доступность и простота использования и тот факт, что по умолчанию любые iptable-правила сбрасываются при перезапуске .

Во-первых, Debian предполагает, что вы знаете, что делаете, и старается не делать выбор за вас.

Установка Debian по умолчанию довольно мала и безопасна - она ​​не запускает никаких служб. И даже стандартные дополнительные функции (например, веб-сервер, ssh), которые добавляются в установку, обычно довольно консервативны и безопасны.

Таким образом, брандмауэр в этом случае не нужен. Debian (или его разработчики) предполагают, что если вы запустите дополнительные сервисы, вы будете знать, как их защитить, и при необходимости сможете добавить брандмауэр.

Что еще более важно, возможно, Debian избегает делать выбор за вас, какое программное обеспечение брандмауэра использовать. Есть целый ряд доступных вариантов - какой из них следует использовать? И даже относительно базовой настройки брандмауэра, какую настройку следует выбрать? Сказав это, iptablesимеет приоритетное значение, поэтому он установлен по умолчанию. Но, конечно, Debian не знает, как вы хотите его настроить, поэтому он не настраивает его для вас. И , в любом случае, вы можете предпочесть использовать iptablesпреемника nftables.

Также обратите внимание, что функциональность брандмауэра уже в определенной степени встроена в ядро ​​Linux; например nftablesи netfilter. Debian и другие дистрибутивы Linux предоставляют инструменты пользовательского пространства, такие как iptablesуправление этой функциональностью. Но то, что вы делаете с ними, зависит от вас.

Обратите внимание, что эти объекты не названы последовательно. Цитировать страницу Википедииnftables :

nftables настраивается с помощью утилиты пользовательского пространства nft, а netfilter - с помощью утилит iptables, ip6tables, arptables и ebtables.

Прежде всего, я хочу повторить то, что уже было сказано: Debian обслуживает несколько другую группу пользователей, чем многие другие распространенные дистрибутивы, особенно Ubuntu. Debian ориентирован на людей, которые знают, как работает система, и которые не боятся время от времени возиться в обмен на высокий уровень контроля над системой. Ubuntu, например, обслуживает совсем другую целевую аудиторию: людей, которые просто хотят, чтобы что-то работало, и не (действительно) не заботятся о том, что происходит под капотом, и, конечно же, не хотят менять конфигурацию системы, чтобы сделать вещи Работа. Это влияет на ряд аспектов полученной системы. И в какой-то степени это одна прелесть Linux; одну и ту же базовую систему можно использовать для создания сред, отвечающих различным потребностям. Помните, что Ubuntu является производной от Debian,

gufw даже не в пакетах DVD1.

Первый диск содержит наиболее популярное программное обеспечение, что определяется сбором анонимной статистики с установленных систем. Тот факт, что gufw отсутствует на первом диске, просто указывает на то, что это не очень популярный (с точки зрения установленной базы) пакет в Debian. Его также легко установить, если у вас есть базовая система с работающей сетью, если вы предпочитаете ее другим.

Ожидается ли, что люди подключатся к Интернету, прежде чем получить брандмауэр? Почему?

Ну, во-первых, я считаю, что Debian позволяет устанавливать по сети. (Не только загрузка пакетов из сети во время обычной установки, но и буквальный запуск установки с другого хоста, отличного от устанавливаемого на нем .) Брандмауэр, настроенный по умолчанию с ограниченным набором правил, рискует помешать этому. То же самое с установками, которым требуется исходящий доступ к сети во время процесса установки для других целей, помимо простой загрузки самых последних версий устанавливаемых пакетов.

Для другого есть то, что я упомянул выше; как правило, Debian ожидает, что вы знаете, что делаете. Если вам нужен брандмауэр, вы, как ожидается, сможете настроить его самостоятельно, и ожидается, что вы лучше, чем сопровождающие Debian, знаете, каковы ваши конкретные потребности. В этом отношении Debian немного похож на OpenBSD, но не настолько экстремален. (Когда предоставляется выбор между тем, чтобы сделать базовую систему немного более защищенной и сделать ее немного более удобной, сопровождающие OpenBSD практически всегда стремятся к обеспечению безопасности. Это показано в их статистике уязвимостей безопасности базовой системы, но имеет огромное значение для удобства использования.)

И конечно, формальность: Поддержка брандмауэра будет включена в базовую систему. Просто для него установлено все разрешающее правило, установленное по умолчанию ядром, и базовая установка Debian ничего не меняет. Вы можете выполнить несколько команд, чтобы ограничить поток трафика.

Даже если по умолчанию все порты закрыты, их могут открывать различные установленные, обновленные или загруженные программы (или нет?), И мне бы хотелось, чтобы ни один бит не покинул мою машину без моего разрешения.

Во-первых, брандмауэры обычно используются для ограничения входящего трафика. Если вы хотите ограничить исходящиетрафик, это совсем другой чайник рыбы; конечно выполнимо, но нуждается в гораздо большей адаптации к вашей конкретной ситуации. Брандмауэр исходящего трафика по умолчанию блокирует открытые часто используемые порты (где обычно используются порты: ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 и пакет других), плюс разрешение трафика, связанного с установленными сеансами, не будет намного более безопасным, чем брандмауэр с разрешением по умолчанию. Лучше убедиться, что набор пакетов, установленных базовой системой, ограничен набором хорошо понятых, настроенных в качестве безопасных пакетов и позволяет администратору устанавливать соответствующие правила брандмауэра, если им требуется дополнительная защита.

Во-вторых, закрытый порт (тот, который отвечает на SYN TCP с помощью TCP RST / ACKобычно обозначается как «отказано в соединении» - это, как правило, состояние по умолчанию порта TCP в работающей системе, поддерживающей TCP / IP, в отсутствие либо конфигурации, противоположной, либо программного обеспечения, прослушивающего его), не является существенной уязвимостью, даже в системе, не подключенной через отдельный брандмауэр. Единственной значительной уязвимостью в полностью закрытой конфигурации может быть наличие уязвимости в реализации стека ядра TCP / IP. Но пакеты уже проходят через код сетевого фильтра (iptables) в ядре, и там также может скрываться ошибка. Логика реагирования тем, что приводит к «отказу в соединении» на другом конце, достаточно проста, поэтому мне трудно поверить, что это будет основным источником ошибок, не говоря уже об ошибках, связанных с безопасностью;

В-третьих, пакеты обычно устанавливаются от имени пользователя root, из которого вы (пакет) можете в любом случае изменить правила iptables без вашего ведома. Таким образом, вы не получаете ничего, как требование администратора-администратора вручную разрешать трафик через межсетевой экран хоста. Если вы хотите такой изоляции, у вас должен быть брандмауэр, отдельный от хоста, который он защищает в первую очередь.

Итак, я только что узнал о iptables, но, полагаю, вопрос все еще остается iptables, поскольку брандмауэр кажется большинству довольно неизвестным, его правила по умолчанию, а также доступность и простота использования.

Я бы на самом деле сказать , что противоположное верно; iptables как брандмауэр хорошо известен . Он также доступен практически во всех системах Linux, с которыми вы можете столкнуться. (Он заменил ipchains во время разработки, которая привела к версии ядра Linux 2.4, около 2000 года или около того. Если я правильно помню вещи, самым большим видимым для пользователя изменением между ними для общего случая использования брандмауэра было то, что встроенное правило цепочки теперь назывались в верхнем регистре, например INPUT, вместо строчных, как input.)

Во всяком случае, iptables может делать иные вещи, кроме брандмауэра, которые широко не используются и не понимаются. Например, его можно использовать для перезаписи IP-пакетов до их прохождения через брандмауэр.

Если бы я догадался, фактически не возглавляя поколение разработчиков и сопровождающих Debian, мое предположение было бы следующим:

Debian изначально разрабатывался как серверная операционная система, и ветки sid и test имеют своей основной целью создание следующей стабильной ветки, и во время остановки они замораживаются, а новая стабильная версия берется из тестирования, как просто случилось с Stretch.

Учитывая это, я бы также предположил, что мне придется подтвердить это с другом-сисадмином, что брандмауэры центров обработки данных являются внешними устройствами, гораздо более надежными (по крайней мере, надеются, что это так)), к серверам и обрабатывать основные задачи брандмауэра. Даже в небольшой локальной сети с маршрутизатором, это тот случай, когда маршрутизатор является брандмауэром, я не использую какие-либо локальные правила брандмауэра ни в одной из своих систем, зачем мне это?

Я думаю, что, возможно, люди путают свои локальные установки рабочего стола Debian или одного файлового сервера в офисе или дома с реальной работой, связанной с Debian, которая, я считаю, фокусируется в основном на производственном использовании.

Я не уверен в этом, но после более чем десятилетнего использования Debian я чувствую себя как разработчиком и сторонником Debian во многих отношениях.

Я могу проверить это, поскольку на самом деле это хороший вопрос, но я предполагаю, что реальные сети защищены брандмауэром в точках входа в сеть, а не для каждой машины, или, по крайней мере, это основная идея, которая могла бы стимулировать Debian. Плюс, конечно, что если бы это было не так, системный администратор установил бы правила брандмауэра для каждой машины, используя что-то вроде Chef, не полагаясь на какую-либо установку по умолчанию, что не было бы тем, к чему вы стремитесь например, доверять стандартным конфигурациям Debian ssh не то, что я бы использовал лично по умолчанию, например, они разрешают вход в систему по умолчанию root, и системный администратор должен исправить это, если они сочтут это плохой практикой ,

То есть, я думаю, что в Debian есть компетенция, которая может отсутствовать в некоторых других дистрибутивах. Например, вы должны изменить то, что хотите изменить, создать изображения, управлять ими с помощью программного обеспечения для управления сайтом и так далее. Это всего лишь несколько возможностей. Например, вы никогда не использовали бы DVD для создания нового сервера, по крайней мере, никогда в работе, вы, вероятно, использовали бы что-то вроде минимального netinstall, это то, что я всегда использую, например (раньше я использовал изображение еще меньшего размера , но они прекратили это). Если вы посмотрите на то, что включено в эту базовую установку, вы получите хорошее представление о том, что Debian считает важным, а что нет. ssh есть, например. Xorg нет, Samba нет.

Можно также спросить, почему они вернулись к GNOME в качестве рабочего стола по умолчанию, но это просто решения, которые они принимают, и которые их пользователи в основном игнорируют, поскольку вы можете делать системы так, как вам хочется (то есть, чтобы получить рабочие столы Xfce, я не не устанавливать Xdebian (как в Xubuntu), я просто устанавливаю ядро ​​Debian, Xorg и Xfce, и все готово). Аналогичным образом, если бы я хотел использовать брандмауэр, я бы настроил его, изучил все входы и выходы и т. Д., Но я бы не ожидал, что Debian будет поставляться с этим включенным, на самом деле это будет меня раздражать, если это произойдет. , Возможно, мои взгляды на это отражают своего рода консенсус, который вы также можете найти внутри Debian.

Плюс, конечно, на самом деле нет такой вещи, как Debian, есть различные установочные образы, netinstall, полная установка, все они варьируются от базовых, только для cli, до достаточно полного рабочего стола пользователя. Производственные пользователи, вероятно, будут создавать образы, например, которые будут настроены так, как того хочет пользователь. Я знаю, что если бы я настраивал сервер Debian, я бы начал с необработанных основ и собирал их до тех пор, пока они не будут выполнять то, что я хотел.

Тогда у вас есть мир веб-серверов, который представляет собой совершенно другой шарик воска, у них совсем другие вопросы безопасности, и, как сказал мой старый друг, хорошо связанный с хакерским подпольем, кто-то, кто управляет веб-сервером, не зная, как защитить его также можно назвать кем-то, чей сервер принадлежит взломщикам.

Общая идея заключается в том, что вам не нужен брандмауэр на большинстве систем, за исключением сложных настроек.

SSH работает ,, когда вы установили сервер. Больше ничего не должно слушать, и вы, вероятно, хотите иметь возможность подключиться к ssh.

Когда вы устанавливаете веб-сервер, вы ожидаете, что веб-сервер будет доступен, не так ли? А для базовой настройки вы можете привязать веб-сервер только к интерфейсу приватной локальной сети, например, 192.168.172.42 (ваш локальный IP-адрес локальной сети) вместо 0.0.0.0 (все ips). Вам все еще не нужен брандмауэр.

Конечно, все может открыть порт> 1024, но если у вас ненадежное программное обеспечение (или ненадежные пользователи), вам следует сделать больше, чем просто установить брандмауэр. В тот момент, когда вам нужно не доверять чему-то или кому-то, вам нужна концепция безопасности, а не только программное обеспечение. Так что хорошо, когда вам нужно активно подумать о своем решении брандмауэра.

Сейчас, конечно, есть более сложные сценарии. Но когда у вас действительно есть один из них, вам действительно нужно точно настроить брандмауэр и не позволять полуавтоматической системе, такой как ufw, делать это. Или вы можете даже использовать UFW, но затем вы решили это, а не операционная система по умолчанию.

Ожидается ли, что люди подключатся к Интернету раньше?

да

получить брандмауэр?

Даже если все порты закрыты по умолчанию

Извините, это не так. rpcbindкажется установленным, включенным и прослушивающим в сети по умолчанию.

РЕДАКТИРОВАТЬ: Я считаю, что это было исправлено в последней версии установщика, то есть для Debian 9 (Stretch) . Но с предыдущими версиями Debian я не чувствовал бы себя в безопасности, устанавливая (а затем обновляя) их в общедоступной сети Wi-Fi.

Почему?

Я подозреваю, что у людей есть предположение, что

1. локальная сеть не будет атаковать ваши сетевые сервисы
2. между вашей локальной сетью и широким Интернетом уже есть межсетевой экран.

Хотя последнее является обычной практикой, например, маршрутизаторами-потребителями, я не верю, что это гарантировано. Неудивительно, что первое предположение не задокументировано; и при этом это не разумно.

На мой взгляд, проблема с rpcbind является примером более общего положения. Люди могут попытаться продвинуть Debian, и у него много интересных функций. Но Debian отстает от Ubuntu в том, насколько он полон и дружелюбен, или, возможно, даже насколько он надежен для тех, кто хочет узнать такие детали.

загруженные программы могут открывать их (или нет?), и я хочу, чтобы ни один бит не покинул мою машину без моего разрешения.

Вы, безусловно, можете установить брандмауэр до того, как начнете загружать и запускать случайное программное обеспечение, если вы не уверены, что оно делает :-p.

Я согласен частично, это вызывает тревогу при установке Linux и не находит никакого интерфейса, настроенного для того, что является очень известным уровнем безопасности. Лично я нашел полезным понять, как установлен брандмауэр Windows по умолчанию. Он хочет, чтобы вы могли «доверять» домашней сети, и в более поздних версиях экспресс-установка даже пропустит вопрос, доверяете ли вы текущей сети. Основная цель, по-видимому, состоит в том, чтобы различать домашние сети, незащищенные соединения, такие как модем с прямым подключением, и общедоступные сети Wi-Fi. Обратите внимание, что UFW не поддерживает это в любом случае.

Одна только Fedora Linux пыталась предоставить что-то вроде этого, в firewalld. (Похоже, что пакеты доступны и в Debian ...). GUI для него не такой «дружелюбный», скажем, как GUFW.

Традиционной философией Unix всегда было KISS и запуск / выставление минимума услуг.

Некоторые службы также должны быть установлены явно, и даже некоторые из них связаны с localhost, и вы должны включить их, чтобы они были видны в вашей локальной сети / в Интернете (MySQL, MongoDB, snmpd, ntpd, xorg ...). Это более разумный подход, чем включение брандмауэра по умолчанию.

Вам нужна только сложность, которую брандмауэр привносит с определенной точки, и эта потребность может быть уменьшена за корпоративным маршрутизатором или домашним устройством, поэтому звучит разумно, оставляя пользователю решение. Брандмауэр, как и многие другие программы обеспечения безопасности, может также дать ложное ощущение безопасности, если им не управлять должным образом.

Ориентиром Debian всегда были более технически ориентированные люди, которые знают, что такое iptables; Есть также несколько хорошо известных оболочек, текстовых или графических интерфейсов, которые могут быть легко установлены.

Кроме того, вопрос о том, идет ли речь о слишком большом или слишком низком количестве установленного программного обеспечения, зависит от мнения. Для давнего ветерана он поставляется со слишком большим количеством программного обеспечения и служб, установленных по умолчанию, особенно в режиме сервера.