Debianにはデフォルトでファイアウォールが有効になっていないのはなぜですか？

まず、Debianはあなたが何をしているのかを知っていると仮定する傾向があり、あなたのための選択をしないように努めます。

Debianのデフォルトのインストールはかなり小さく、安全です—サービスを開始しません。また、インストールに追加される標準のオプションの追加機能（Webサーバー、SSHなど）でも、通常はかなり保守的で安全です。

したがって、この場合ファイアウォールは必要ありません。 Debian（またはその開発者）は、追加のサービスを開始した場合、それらを保護する方法を理解し、必要に応じてファイアウォールを追加できると想定しています。

さらに重要なこととして、おそらく、Debianは、どのファイアウォールソフトウェアを使用するかについて、ユーザーの選択を避けています。いくつかの選択肢があります。どれを使用すればよいですか？また、基本的なファイアウォール設定についても、どの設定を選択する必要がありますか？そうは言っても、iptablesは優先順位が重要なので、デフォルトでインストールされます。しかし、もちろん、Debianはどのように構成するかを認識していないため、構成しません。とにかく、iptablesの後継であるnftablesを使用することをお勧めします。

また、ファイアウォール機能はすでにある程度Linuxカーネルに組み込まれています。例えばnftablesおよびnetfilter。 Debianおよびその他のLinuxディストリビューションは、その機能を管理するためのiptablesなどのユーザー空間ツールを提供しています。しかし、あなたが彼らと何をするかはあなた次第です。

これらのエンティティの名前は一貫していないことに注意してください。 Wikipedia nftables page を引用するには：

nftablesはユーザー空間ユーティリティnftを介して構成され、netfilterはユーティリティiptables、ip6tables、arptablesおよびebtablesフレームワークを介して構成されます。

まず第一に、私はすでに言われたことを繰り返したいと思います：Debianは、他の多くの主流のディストリビューション、特にUbuntuとはかなり異なるユーザーグループに対応しています。 Debianは、システムがどのように機能するかを知っており、システムを高度に制御する見返りとして、いじくり回すことを恐れない人々を対象としています。たとえば、Ubuntuは非常に異なるターゲットユーザーを対象としています。物事を機能させたいだけで、実際には何が起こっているのかを（本当に）気にせず、システム構成を変更して物事を作成する必要がないのは確かです。作業。これは、結果として生じるシステムの多くの側面に影響を与えます。そしてある程度、それがLinuxの1つの美点です。同じ基本システムを使用して、さまざまなニーズに対応する環境を構築できます。 UbuntuはDebianの派生物であり、現在でもDebianとの類似性は高いままです。

gufwはDVD1のパッケージにもありません。

最初のディスクには、インストールされたシステムからの匿名統計のオプトイン収集によって決定される、最も人気のあるソフトウェアが含まれています。 gufwが最初のディスクにないという事実は、これが（インストールベースの観点から）Debianで非常に人気のあるパッケージではないことを示しています。また、ベースシステムがネットワークに接続されて稼働している場合は、別の方法よりも簡単にインストールできます。

人々はファイアウォールを取得する前にインターネットに接続することを期待されていますか？どうして？

1つには、Debianではネットワーク経由でのインストールが許可されていると思います。 （通常のインストール中にネットワークからパッケージをダウンロードするだけでなく、文字通りインストール先のホストとは異なるホストからインストールを開始します）ファイアウォールが構成されていますデフォルトでは、制限的なルールセットを使用すると、それを妨害するリスクがあります。インストールされているパッケージの最新バージョンを単にダウンロードする以外の目的で、インストールプロセス中に発信ネットワークアクセスを必要とするインストールと同じです。

別のものとして、私が上で述べたものがあります。原則として、Debianはあなたが何をしているのかを知っていることを期待しています。ファイアウォールが必要な場合は、ファイアウォールを自分で構成できることが期待されており、Debianのメンテナーよりも特定のニーズをよく理解していることが期待されます。 Debianはその点ではOpenBSDに少し似ていますが、それほど極端ではありません。 （基本システムをもう少し安全にするか、少し使いやすくするかの選択が与えられると、OpenBSDのメンテナーは事実上常にセキュリティを追求します。これは、基本システムのセキュリティ脆弱性統計に示されていますが、使いやすさに大きな影響を与えます。）

そしてもちろん、技術：ファイアウォールのサポートはベースシステムに含まれています。カーネルによってデフォルトですべて許可されたルールセットに設定されているだけであり、基本のDebianインストールはそれを変更するために何もしません。いくつかのコマンドを実行して、トラフィックフローを制限できます。

すべてのポートがデフォルトで閉じられている場合でも、さまざまなインストール、更新、またはダウンロードされたプログラムがそれらを開く可能性がある（またはできない）可能性があります。

まず、ファイアウォールは通常、着信トラフィックを制限するために使用されます。 発信トラフィックを制限したい場合、それはかなり異なる魚のやかんです。確かにできますが、特定の状況に合わせて調整する必要があります。一般的に使用されるポートを開いたままにするデフォルトブロックの発信トラフィックファイアウォール（一般的に使用されるポートは、ftp/20 + 21、ssh/22、smtp/25、http/80、https/443、pop3/110、imap/143、他のバンドル）に加えて、確立されたセッションに関連するトラフィックを許可することは、デフォルトで許可されたファイアウォールよりもはるかに安全ではありません。基本システムによってインストールされたパッケージのセットが、よく理解され、配信されたパッケージとして安全に構成されたセットに制限されていることを確認し、それ以上の保護が必要な場合に管理者が適切なファイアウォールルールを設定できるようにすることをお勧めします。

第二に、閉じたポート（- TCP SYNにTCP RST/ACK で応答するもの）、通常は「接続拒否されました」-これは通常、TCP TCP/IPをサポートするライブシステムのポートで、反対の設定がない場合、またはソフトウェアがそれをリッスンしている場合）のデフォルトの状態ではありません。別のファイアウォールを介して接続されていないシステムであっても、重大な脆弱性があります。すべて閉じた構成での唯一の重大な脆弱性は、カーネルのTCP/IPスタック実装内に脆弱性がある場合です。ただし、パケットはすでにnetfilter（ iptables）カーネル内のコードであり、バグもそこに潜んでいる可能性があります。相手側で「接続が拒否されました」という結果で応答するためのロジックは、私がそれが主要なソースであると信じるのが難しいほど単純ですセキュリティ関連のバグは言うまでもなく、ネットワークサービスに関連するバグは、ほとんどの場合サービス自体の中にあり、そうでない場合は実行中またはループバックインターフェイス以外でリッスンしていない場合、攻撃者が接続して悪用することは何もありません。

3番目に、パッケージは通常ルートとしてインストールされ、そこから（パッケージ）は知らないうちにiptablesルールを変更できます。したがって、人間の管理者がホストファイアウォールを通過するトラフィックを手動で許可するように要求するようなものではありません。この種の分離が必要な場合は、最初に保護しているホストとは別のファイアウォールを用意する必要があります。

だから私はiptablesについて知ったばかりですが、ファイアウォールはほとんどの人にとってデフォルトのルールとアクセシビリティと使いやすさのどちらかというとかなり知られていないようなので、質問はまだiptablesとして残っていると思います。

oppositeがtrueであると実際に言うでしょう。ファイアウォールとしてのiptablesはよく知られています。また、ほとんどすべてのLinuxシステムで利用できる可能性があります。 （Linuxカーネルバージョン2.4につながる開発中のipchainsを2000年頃に置き換えました。私が正しく思い出せば、ファイアウォールの一般的なユースケースの2つの間のユーザーに見える最大の変更は、組み込みルールチェーンは、INPUTのように小文字ではなく、inputのように大文字で命名されました。）

どちらかといえば、iptablesは、広く使われていないか理解されていないファイアウォールよりもその他を実行できます。たとえば、IPパケットがファイアウォールを通過する前に書き換えるために使用できます。

私が推測すると、実際には世代のDebian開発者およびメンテナの責任者ではないので、私の推測は次のようになります。

Debianは主にサーバーオペレーティングシステムとして設計されており、sidブランチとテストブランチの両方が主な目的として次の安定したブランチを作成し、フリーズ時にはフリーズし、新しいステーブルはテストと同様に取得されます。ストレッチで起こった。

これを踏まえて、私はさらに想定します。sysadminの友人に確認しなければなりません。データセンターのファイアウォールは外部デバイスであり、サーバーに対してはるかに高いセキュリティ（少なくとも1つはこれが当てはまると期待しています））であり、メインを処理します。ファイアウォールタスク。ルーターのある小さなLANでも、ルーターがファイアウォールです。どのシステムでもローカルファイアウォールルールを使用していません。なぜですか？

デスクトップのDebianのローカルインストールや、オフィスや家庭の単一のファイルサーバーを、実際の作業に主に焦点を当てているDebianに接続された実際の作業と混同しているのではないかと思います。

これについてはよくわかりませんが、Debianを10年以上使用して以来、Debianの開発者としても、支援者としても、多くの点で私の気持ちです。

これは実際には良い質問なので確認できますが、実際のネットワークは、マシンごとではなく、ネットワークへの入り口でファイアウォールで保護されていると思います。 Debian。さらに、もちろん、そうでない場合、sysadminは、Chefのようなものを使用して、デフォルトのインストールに依存せずに、マシンごとにファイアウォールルールを設定します。たとえば、信頼するために、デフォルトのDebian ssh構成はデフォルトで個人的に使用するものではありません。たとえば、デフォルトでrootログインを許可し、それが悪い習慣であるとわかった場合は、システム管理者が修正する必要があります。 。

つまり、他のディストリビューションにはないかもしれないDebianに関する能力の仮定があります。同様に、変更したいものを変更したり、イメージを作成したり、サイト管理ソフトウェアでそれらを管理したりします。それらはほんの一部の可能性です。たとえば、DVDを使用して新しいサーバーを作成することはなく、少なくとも本番環境では決して使用しません。たとえば、最小限のネットインストールのようなものを使用することになります。 、しかし彼らはそれを中止した）。その基本インストールに何が含まれているのかを見てみると、Debianが重要だと考えるものとそうでないものについて、きちんと理解することができます。たとえば、sshがあります。 Xorgはそうではなく、Sambaはそうではありません。

なぜ彼らがデフォルトのデスクトップとしてGNOMEに戻ったのかを尋ねることもできますが、これらはユーザーが行う決定であり、ユーザーが基本的に無視するものです。つまり、システムを望みどおりに作成できるためです（つまり、Xfceデスクトップを取得するには、私はしません） Xdebianをインストールしないで（Xubuntuのように）、Debianコア、Xorg、およびXfceをインストールし、それからオフにします）。同様に、ファイアウォールが必要な場合は、ファイアウォールを構成し、インとアウトなどを学びますが、Debianがそれを有効にして出荷することを個人的には期待していません。 。多分これに対する私の見解は、あなたがDebianの内部でも見つけるかもしれない一種のコンセンサスを反映しているのかもしれません。

さらに、もちろん、Debianのようなものは実際にはありません。さまざまなインストールイメージ、netinstall、フルインストールがあり、これらはすべて、ベアボーン、cliのみ、合理的に完全なユーザーデスクトップまでさまざまです。プロダクションユーザーは、たとえばユーザーが望む方法で設定されるイメージを作成するでしょう。Debianサーバーをセットアップしているかどうかはわかっています。私は生の基本から始めて、思い通りの結果になるまでビルドします。

次に、まったく異なるワックスの球であるウェブサーバーの世界があり、それらには非常に異なるセキュリティの質問があります。そして、ハッカーのアンダーグラウンドによく接続している私の旧友が言ったように、安全にする方法を知らずにウェブサーバーを実行している人クラッカーがサーバーを所有している人とも呼ばれます。

一般的な考え方は、複雑な設定を除いて、ほとんどのシステムでファイアウォールは必要ないということです。

サーバーをインストールすると、SSHが実行されます。他には何も聞いてはならず、おそらくsshに接続できるようにしたいでしょう。

Webサーバーをインストールすると、Webサーバーが利用可能になると思いますか。そして、基本的な調整のために、あなたはウェブサーバーをプライベートLANインターフェースのみにバインドすることができます。 0.0.0.0（すべてのIP）ではなく、192.168.172.42（ローカルLAN IP）。まだファイアウォールは必要ありません。

もちろん、すべてが1024を超えるポートを開く可能性がありますが、信頼できないソフトウェア（または信頼できないユーザー）がいる場合は、ファイアウォールをインストールするだけでは不十分です。何かを信頼する必要がある瞬間、または誰かがソフトウェアだけでなくセキュリティの概念を必要としています。したがって、ファイアウォールソリューションについて積極的に検討する必要がある場合は、良いことです。

もちろん、もっと複雑なシナリオもあります。しかし、実際にこれらのいずれかを使用している場合は、ファイアウォールを自分で微調整する必要があり、ufwのような半自動システムにそれをさせないでください。またはufwを使用することもできますが、それを決定したのはオペレーティングシステムのデフォルトではありません。

人々は以前にインターネットに接続することを期待されていますか

はい

ファイアウォールを取得していますか？

デフォルトですべてのポートが閉じている場合でも

申し訳ありませんが、そうではありません。 rpcbindはデフォルトでインストール、有効化され、ネットワーク上で待機しているようです。

編集： これは最新のインストーラーで、つまりDebian 9（ストレッチ）で修正されたと思います 。しかし、以前のバージョンのDebianでは、公共のwifiネットワークにそれらをインストール（そして更新）するのは安全とは思えません。

どうして？

私は人々が

1. ローカルネットワークはネットワークサービスを攻撃しません
2. ローカルネットワークとより広いインターネットの間にファイアウォールがすでにあります。

後者は一般的な慣行ですが、消費者ルーターによって、私はそれが保証されるとは思いません。当然のことながら、前者の仮定は文書化されていません。それは賢明なものでもありません。

私の意見では、rpcbindの問題は、より一般的なポイントの例です。人々はDebianを宣伝しようとすることができ、それは多くの素晴らしい機能を持っています。しかし、Debianは、Ubuntuに比べてどれほど洗練され、フレンドリーであるか、あるいはおそらくwantがそのような詳細を学ぶことがどれほど信頼できるかでさえ遅れています。

ダウンロードしたプログラムがそれらを開く可能性がある（またはできない）可能性があります。許可なくマシンを1つでも残したくないと思います。

ランダムなソフトウェアをダウンロードして実行する前に、ファイアウォールが何をするのかわからない場合でも、ファイアウォールを自由にインストールできます。

Linuxをインストールして、非常によく知られているセキュリティレイヤー用に設定されたインターフェイスが見つからないことは、憂慮すべきことです。個人的には、デフォルトのWindowsファイアウォールがどのように設定されているかを理解しておくと便利です。それはあなたがホームネットワークを「信頼する」ことができることを望んでいます、そしてより最近のバージョンでは、高速インストールはあなたが現在のネットワークを信頼するかどうか尋ねるのをスキップすることさえします。主な目標は、ホームネットワーク、直接接続されたモデムなどの保護されていない接続、およびパブリックwifiネットワークを区別することです。とにかく、UFWはこれをサポートしていないことに注意してください。

Fedora Linuxだけでfirewalldにこのようなものを提供しようとしました。 （パッケージはDebianでも利用できるようです...）。そのためのGUIは、「友好的」ではありません。たとえば、GUFWほどではありません。

Unixの伝統的な哲学は常にKISSであり、最小限のサービスを実行/公開しています。

いくつかのサービスも明示的にインストールする必要があり、一部はlocalhostにバインドされており、それらをローカルネットワーク/インターネット（MySQL、MongoDB、snmpd、ntpd、xorg ...）で表示できるようにする必要があります。これは、デフォルトでファイアウォールを有効にするよりも賢明なアプローチです。

ファイアウォールが特定のポイントからもたらす複雑さだけが必要であり、企業のルーターやホームネイティングデバイスの背後にあることでその必要性が減少する可能性があるため、ユーザーにその決定を任せるのは理にかなっているようです。ファイアウォールは、他の多くのセキュリティソフトウェアと同様に、適切に管理されていないと、誤ったセキュリティ感覚をもたらす可能性があります。

Debianの指向は常に、iptablesが何であるかを知っている技術指向の人々です。また、簡単にインストールできる、よく知られたラッパー、テキストまたはグラフィカルモードのインターフェイスもいくつかあります。

その上、インストールされているソフトウェアが多すぎるか少なすぎるかは、意見の問題です。長い間ベテランである場合、特にサーバーモードでは、デフォルトでインストールされるソフトウェアとサービスが多すぎます。