首先,我要重复一遍:Debian与许多其他主流发行版(尤其是Ubuntu)相比,迎合的用户群体截然不同。Debian专为了解该系统工作原理并且不惧怕不时修改以换取对系统的高度控制的人而设计。例如,Ubuntu迎合了非常不同的目标受众:那些只希望事情能够工作并且不(真正)关心引擎盖下发生的事情的人,当然也不想修改系统配置来制造东西工作。这影响了所得系统的许多方面。从某种程度上说,这就是Linux的美。可以使用相同的基本系统来构建满足不同需求的环境。请记住,Ubuntu是Debian的衍生产品,
gufw甚至不在DVD1的包装中。
第一张磁盘包含最流行的软件,这取决于从已安装系统中选择加入的匿名统计信息确定。gufw不在第一个磁盘上这一事实仅表明,在Debian中,这不是一个非常受欢迎的软件包(就安装的数量而言)。一旦您的基本系统能够联网并且可以运行,如果您更喜欢替代系统,则安装起来也很容易。
人们应该在获得防火墙之前连接到Internet吗?为什么?
好吧,一方面,我相信Debian允许通过网络进行安装。(不仅是在正常安装过程中从网络下载软件包,而且实际上是从与要安装的主机不同的主机开始安装。)默认情况下,使用限制性规则集配置的防火墙可能会有干扰的危险。与仅出于下载正在安装的软件包的最新版本目的而在安装过程中需要传出网络访问权限的安装相同。
另外,还有我上面提到的内容;通常,Debian希望您知道自己在做什么。如果您想要防火墙,则应该能够自己进行配置,并且希望您比Debian维护者更了解您的特殊需求。在这方面,Debian有点像OpenBSD,但并不是那么极端。(当在使基本系统更加安全和更加实用之间做出选择时,OpenBSD维护人员实际上总是追求安全性。这在其基本系统安全性漏洞统计数据中得以显示,但对可用性却具有重大影响。)
当然,专门性:防火墙支持被包含在基本系统。只是默认情况下,内核将其设置为允许的规则集,而基本的Debian安装并没有做任何改变。您可以运行几个命令来限制流量。
即使默认情况下关闭所有端口,各种已安装,更新或下载的程序也可以打开(或不打开)它们,我希望即使没有一点点未经我许可也可以离开我的计算机。
首先,防火墙通常用于限制传入流量。如果您想限制传出交通,那是一截完全不同的鱼缸;当然可行,但需要根据您的具体情况进行更多调整。默认块传出流量防火墙,使常用端口保持打开状态(常用端口可能是ftp / 20 + 21,ssh / 22,smtp / 25,http / 80,https / 443,pop3 / 110,imap / 143和一堆),再加上允许与已建立的会话相关的流量,不会比默认允许的防火墙安全得多。最好确保将基本系统安装的一组软件包限制为一组易于理解的,安全配置为已交付的软件包,并允许管理员设置适当的防火墙规则(如果它们需要更多保护的话)。
第二,封闭端口(一个使用TCP RST / ACK响应TCP SYN的端口),通常报告为“连接被拒绝”-这通常是支持TCP / IP的实时系统上TCP端口的默认状态,没有相反的配置,或者没有监听的软件)不是重大漏洞,即使在未通过单独防火墙连接的系统上也是如此。在全封闭配置中,唯一的重大漏洞是内核的TCP / IP堆栈实现中是否存在漏洞。但是数据包已经通过了内核中的netfilter(iptables)代码,并且那里也可能隐藏着一个错误。在另一端响应导致“连接被拒绝”的逻辑很简单,以至于我很难相信它将是错误的主要来源,更不用说与安全相关的错误了。
第三,程序包通常以root用户身份安装,您(程序包)可以从根本上更改iptables规则,而无论如何您都不知道。因此,这与您需要人工管理员手动允许流量通过主机防火墙的感觉不同。如果要进行这种隔离,则首先应将防火墙与其要保护的主机分开。
所以我只是发现了iptables,但是我猜想这个问题仍然与iptables一样,因为防火墙对于大多数人来说还是相当陌生的,它的默认规则以及可访问性和易用性。
我实际上会说相反的事实。iptables作为防火墙是众所周知的。实际上,您可能会遇到的每个Linux系统上都提供了该功能。(在导致Linux内核版本2.4的开发过程中(大约在2000年左右),它替换了ipchains。如果我没记错的话,对于防火墙的常见用例,两者之间最大的用户可见的变化是内置规则链现在以大写字母(如INPUT
)而不是小写字母(如input
)命名。
如果有的话,iptables的可以做的事情其他比它的防火墙没有被广泛使用或理解。例如,它可以用于在IP数据包通过防火墙之前重写它们。
iptables
预装!我想人们只是想将端到端原理带到第7层极限……