Présentation
La première étape de la sécurisation de votre système consiste à configurer un pare-feu. Pour configurer et gérer votre pare-feu, Linux a conçu iptables , un utilitaire de pare-feu flexible.
Les utilisateurs novices en matière de sécurité réseau peuvent trouver iptables un peu intimidant. C'est pourquoi nous vous recommandons de commencer par UFW. UFW (Pare-feu non compliqué) est une interface conviviale implémentée au-dessus d'iptables. Il fournit un moyen simple de configurer un pare-feu.
Dans ce didacticiel, vous apprendrez à configurer la protection par pare-feu de votre système Ubuntu 18.04 avec UFW.
Prérequis
- Un compte utilisateur avec sudo privilèges
- Accès à une ligne de commande/fenêtre de terminal (Ctrl –Alt –T )
Configurer UFW à partir de la ligne de commande
Installer UFW sur Ubuntu
UFW est préinstallé avec Ubuntu 18.04.
Dans le cas peu probable où vous n'auriez pas UFW, exécutez la commande suivante pour l'installer :
sudo apt install ufw
Configurer UFW pour prendre en charge IPv6
Si le système dispose à la fois d'IPv4 et d'IPv6, vous devez modifier le fichier de configuration UFW pour prendre en charge les deux protocoles.
Ouvrez le fichier à l'aide de Nano ou de tout autre éditeur de texte :
sudo nano /etc/default/ufw
Le IPv6 la valeur doit être définie sur oui .
Enregistrer et fermer le fichier.
Configurer la stratégie UFW par défaut
La configuration UFW par défaut est définie pour autoriser toutes les connexions sortantes et refuser toutes les connexions entrantes.
Ces règles fonctionnent bien pour les ordinateurs personnels qui n'ont pas besoin de répondre aux demandes entrantes.
Si vous souhaitez revenir aux paramètres par défaut, exécutez les commandes suivantes :
sudo ufw default deny incoming
sudo ufw default allow outgoing
Autoriser les connexions SSH
Si vous prévoyez de vous connecter à votre serveur à partir d'emplacements distants, vous devez configurer UFW pour autoriser les connexions SSH entrantes.
Configurez UFW pour autoriser les connexions SSH avec la commande :
sudo ufw allow ssh
Activer UFW
Après avoir configuré le pare-feu pour autoriser les connexions SSH, vous pouvez l'activer avec :
sudo ufw enable
La sortie vous informera que les connexions SSH existantes pourraient être interrompues en activant le pare-feu. Confirmez que vous souhaitez continuer en tapant y et en appuyant sur Entrée .
La sortie devrait vous informer que le pare-feu est maintenant actif, comme dans l'image ci-dessous :
Vérifier l'état UFW
Pour vérifier l'état d'UFW, puis définir des règles, exécutez la commande :
sudo ufw status verbose
Vous verrez son état, les paramètres par défaut et les ports ouverts pour la connexion, comme dans l'image ci-dessous.
Ajout de règles UFW supplémentaires
Vous pouvez ajouter d'autres règles pour définir plus précisément l'étendue de la communication dont dispose le serveur.
Spécifiez quelles connexions sont autorisées et lesquelles sont refusées.
Autoriser les connexions entrantes sur d'autres ports
Selon l'utilisation que vous faites du serveur, vous devrez peut-être ouvrir d'autres ports pour autoriser des connexions entrantes spécifiques. Créez des règles UWF supplémentaires pour ajouter ces connexions à votre configuration de pare-feu.
Configurez votre serveur pour écouter HTTP (sur le port 80) en tapant :
sudo ufw allow http
Ou :
sudo ufw allow 80
Pour activer les connexions HTTPS , utilisez l'une des deux commandes suivantes :
sudo ufw allow https
sudo ufw allow 443
Vous utilisez peut-être le serveur comme une machine distante à laquelle vous souhaitez un accès complet depuis votre système domestique. Pour définir une règle qui autorise l'accès à tous les ports à partir d'une adresse IP spécifique adresse, exécutez :
sudo ufw allow from [IP.address]
Pour autoriser l'accès d'une machine particulière à un port spécifique exécutez la commande :
sudo ufw allow from [IP.address] to any port [port number]
Pour autoriser l'accès à une plage de ports , spécifiez les valeurs de plage et le type de protocole (TCP ou UDP). Par exemple, la commande suivante autorisera les connexions des ports 2000 à 2004 pour TCP et UDP :
sudo ufw allow 2000:2004/tcp
sudo ufw allow 2000:2004/udp
Refuser les connexions entrantes sur d'autres ports
Pour créer une règle de refus pour interdire la connexion à partir d'une adresse IP spécifique adresse exécutez la commande :
sudo ufw deny from [IP.address]
Vous pouvez également refuser l'accès à des ports particuliers en tapant :
sudo ufw deny from [IP.address] to any port [number]
Supprimer les règles UFW
Si vous souhaitez supprimer une règle dont vous n'avez plus besoin, vous pouvez procéder de deux manières.
Une option consiste à afficher une liste de toutes les règles et à trouver le numéro attribué à la règle. Tout d'abord, exécutez la commande :
sudo ufw status numbered
Comme dans l'image ci-dessus, la sortie listera les règles que vous avez définies jusqu'à présent. Chaque règle porte un numéro selon l'ordre dans lequel elle a été définie.
Pour supprimer une règle, utilisez la syntaxe suivante avec le numéro de règle approprié :
sudo ufw delete [rule_number]
Une autre façon de supprimer une règle consiste à la spécifier mot pour mot (comme vous l'avez ajoutée) :
sudo ufw delete [rule]
Par exemple, pour supprimer une règle qui autorise la connexion au port 2000, utilisez la commande :
sudo ufw delete allow 2000
Profils d'application
Chaque paquet installé avec le apt
La commande a un profil d'application dans /etc/ufw/applications.d annuaire. Le profil fournit des informations sur le logiciel et ses paramètres UFW.
Pour voir une liste de tous les profils d'application, utilisez la commande :
sudo ufw app list
Voir plus d'informations sur un package spécifique (ainsi que les ports ouverts) en tapant :
sudo ufw app info '[package name]'
Dans l'exemple ci-dessous, il n'y a qu'un seul profil d'application – CUPS. Les app info
L'option vous indique que le package ouvre le port 631.
Configurer UFW via l'interface graphique
Installer GUFW sur Ubuntu
Si vous préférez gérer votre pare-feu UFW plutôt qu'une interface utilisateur graphique, vous pouvez installer GUFW.
Cela peut être fait en exécutant quelques commandes dans le terminal ou en utilisant le centre logiciel du système.
Option 1 :Installer GUFW via un terminal
1. Pour configurer GUFW, vous devez d'abord activer le référentiel universitaire. Pour cela, tapez la commande suivante dans le terminal :
sudo add-apt-repository universe
2. Ensuite, mettez à jour le référentiel :
sudo apt update -y
3. Une fois tout configuré, vous pouvez installer GUFW en exécutant la commande suivante :
sudo apt install gufw -y
Option 2 :Installer GUFW via le centre de logiciels
Pour les utilisateurs qui souhaitent rester complètement à l'écart du terminal, une autre option pour installer GUFW consiste à le télécharger à partir du centre de logiciels.
1. Ouvrez le centre logiciel et tapez GUFW dans la barre de recherche.
2. Les résultats de la recherche afficheront la configuration du pare-feu emballer. Sélectionnez l'icône et cliquez sur Installer .
Ouvrir et démarrer avec GUFW
Pour ouvrir la configuration du pare-feu, utilisez la barre de recherche sur votre système Ubuntu et tapez GUFW .
Cliquez sur l'icône qui apparaît comme dans l'image ci-dessous.
Cela lance la fenêtre Pare-feu. Vous y remarquerez un menu avec différents paramètres que vous pouvez définir en fonction de vos besoins.
Comme les instructions l'impliquent, si vous êtes un utilisateur normal, le Basic la configuration devrait suffire à vos besoins. Cela inclut :
- Profil :Domicile (ou tout autre nom proposé)
- État :ACTIVÉ
- Entrant :Refuser
- Sortant :Autoriser
Si vous souhaitez ajouter des règles et les étiqueter pour une utilisation future, cliquez sur Règles puis le signe plus (+ ).
Une fenêtre contextuelle Ajouter une règle de pare-feu apparaîtra. Configurez la nouvelle règle et cliquez sur Ajouter .