CentOS va Ubuntu-da xavfsizlik devorini qanday o'rnatish, sozlash va undan foydalanish

Bahodirov b 12-13-Laboratoriya ishi


CentOS va Ubuntu-da xavfsizlik devorini qanday o'rnatish, sozlash va undan foydalanish


Download 340.76 Kb.
bet9/14
Sana28.07.2023
Hajmi340.76 Kb.
#1663127
1   ...   6   7   8   9   10   11   12   13   14
Bog'liq
614 20 Bahodirov B Linux 2- dedlayn.

3.CentOS va Ubuntu-da xavfsizlik devorini qanday o'rnatish, sozlash va undan foydalanish


16-laboratoriya ishi
Firewalld (xavfsizlik devori demoni) tarmoq (yoki xavfsizlik devori) zonalarini qo'llab-quvvatlaydigan tizimning xavfsizlik devorini dinamik ravishda boshqarish uchun iptables xizmatiga muqobildir va konfiguratsiyalarni boshqarish uchun D-Bus interfeysini taqdim etadi. Uni ishlatish va sozlash oson va endi u RHEL/CentOS, Fedora va boshqa bir qancha Linux distribyutorlarida xavfsizlik devorini boshqarishning standart vositasidir.
Ushbu maqolada biz xavfsizlik devori bilan tizim xavfsizlik devorini qanday sozlashni va CentOS/RHEL 7 va Ubuntu-da asosiy paketli filtrlashni amalga oshirishni muhokama qilamiz.

i.Firewalld haqida asoslar


Xavfsizlik devori uchta qatlamdan iborat bo'lib, ular:

  • yadro qatlami: konfiguratsiya va orqa uchlarini (quyida sanab o'tilgan) ishlov berish uchun javobgardir.

  • D-Bus interfeysi: xavfsizlik devori konfiguratsiyasini o'zgartirish va yaratishning asosiy vositasi.

  • backends: netfilter bilan ishlash uchun (xavfsizlik devori uchun ishlatiladigan mahalliy yadro moduli). Ular orasida iptables, ip6tables, ebtables, ipset, nft, linnftables; tarmoq menejeri; va modullar.

Tarmoq ulanishlari yoki interfeyslarning ishonchli darajasini belgilaydigan tarmoq/xavfsizlik devori zonalarini amalga oshirish orqali xavfsizlik devori qoidalarini boshqaradi. Boshqa qo'llab-quvvatlanadigan xavfsizlik devori xususiyatlariga xizmatlar, to'g'ridan-to'g'ri konfiguratsiya (xom iptables sintaksisini to'g'ridan-to'g'ri o'tkazish uchun ishlatiladi), IPSets va ICMP turlari kiradi.
Xavfsizlik devori ikki xil konfiguratsiya muhitini qo'llab-quvvatlaydi:

  • ish vaqti konfiguratsiyasi faqat mashina qayta ishga tushirilguncha yoki xavfsizlik devori xizmati qayta ishga tushirilgunga qadar ishlaydi

  • saqlanuvchi va doimiy ishlaydigan doimiy konfiguratsiya.

Faervol-cmd buyruq qatori vositasi ish vaqtini va doimiy konfiguratsiyani boshqarish uchun ishlatiladi. Shu bilan bir qatorda, demon bilan ishlash uchun xavfsizlik devori-konfiguratsion grafik foydalanuvchi interfeysi (GUI) konfiguratsiya vositasidan foydalanishingiz mumkin.
Bundan tashqari, xavfsizlik devori boshqa mahalliy xizmatlar yoki ilovalar uchun, agar ular ildiz huquqlari bilan ishlayotgan bo'lsa, xavfsizlik devori qoidalariga to'g'ridan-to'g'ri o'zgartirish kiritishni so'rash uchun yaxshi belgilangan interfeysni taklif etadi.
Xavfsizlik devori uchun global konfiguratsiya fayli /etc/firewalld/firewalld.conf manzilida joylashgan va xavfsizlik devori xususiyatlari XML formatida tuzilgan.

ii.Xavfsizlik devorining muhim xususiyatlarini tushunish


Xavfsizlik devorining asosiy xususiyati tarmoq/xavfsizlik devori zonalaridir. Har bir boshqa xususiyat zona bilan chegaralangan. Xavfsizlik devori zonasi ulanish, interfeys yoki manba manzilini ulash uchun ishonch darajasini tavsiflaydi.
Standart konfiguratsiya zonalarning sukut boʻyicha ishonch darajasiga koʻra ishonchsizdan ishonchligacha saralangan bir qator oldindan belgilangan zonalar bilan birga keladi: tushirish, bloklash, ommaviy, tashqi, dmz, ish, uy, ichki va ishonchli. Ular /usr/lib/firewalld/zones katalogi ostida saqlangan fayllarda aniqlanadi.
Siz CLI mijozi yordamida maxsus zonalaringizni sozlashingiz yoki qo'shishingiz yoki mavjud fayllardan /etc/firewalld/zones-da zona faylini yaratishingiz yoki nusxalashingiz va uni tahrirlashingiz mumkin.
Xavfsizlik devori ostidagi yana bir muhim tushuncha xizmatlardir. Xizmat portlar va protokollar yordamida aniqlanadi; bu ta'riflar veb-server yoki masofaviy kirish xizmati kabi berilgan tarmoq xizmatini ifodalaydi. Xizmatlar /usr/lib/firewalld/services/ yoki /etc/firewalld/services/ katalogida saqlanadigan fayllarda aniqlanadi.
Agar siz asosiy iptables/ip6tables/ebtables tushunchalarini bilsangiz, xavfsizlik devoriga to'g'ridan-to'g'ri kirish uchun to'g'ridan-to'g'ri interfeysdan (yoki konfiguratsiyadan) foydalanishingiz mumkin. Biroq, iptables haqida ma'lumotga ega bo'lmaganlar uchun siz IPv4 va IPv6 uchun yanada murakkab xavfsizlik devori qoidalarini yaratish uchun boy tildan foydalanishingiz mumkin.

iii.Linuxda Firewalld paketini qanday o'rnatish kerak


CentOS 7 da xavfsizlik devori paketi oldindan o'rnatilgan bo'lib keladi va siz quyidagi buyruq yordamida tekshirishingiz mumkin.
$ rpm -qa firewalld
Ubuntu 16.04 va 18.04 da siz uni ko'rsatilgandek standart paket menejeri yordamida o'rnatishingiz mumkin.
$ sudo apt install firewalld

iv.Linuxda Firewalld xizmatini qanday boshqarish mumkin


Firewalld - bu systemctl buyrug'i orqali boshqarilishi mumkin bo'lgan muntazam tizim xizmati.
$ sudo systemctl start firewalld #start the service for the mean time
$ sudo systemctl enable firewalld #enable the service to auto-start at boot time
$ sudo systemctl status firewalld #view service status
Xavfsizlik devori xizmatini ishga tushirgandan so'ng, xavfsizlik devori-cmd vositasidan foydalanib, demon ishlayotgan yoki ishlamayotganligini ham tekshirishingiz mumkin (agar u faol bo'lmasa, bu buyruq \ishlamayapti degan xabarni chiqaradi).
$ sudo firewall-cmd --state

Agar biron bir o'zgarishlarni doimiy ravishda saqlasangiz, xavfsizlik devorini qayta yuklashingiz mumkin. Bu xavfsizlik devori qoidalarini qayta yuklaydi va davlat ma'lumotlarini saqlaydi. Joriy doimiy konfiguratsiya yangi ish vaqti konfiguratsiyasiga aylanadi.
$ sudo firewall-cmd --reload

v.Firewalld-da xavfsizlik devori zonalari bilan qanday ishlash kerak


Barcha mavjud xavfsizlik devori zonalari va xizmatlari ro'yxatini olish uchun ushbu buyruqlarni bajaring.
$ sudo firewall-cmd --get-zones
$ sudo firewall-cmd --get-services
Standart zona - bu boshqa zona bilan aniq chegaralanmagan har bir xavfsizlik devori xususiyati uchun ishlatiladigan zona. Ishlash orqali siz tarmoq ulanishlari va interfeyslar uchun standart zonani olishingiz mumkin.
$ sudo firewall-cmd --get-default-zone

Standart zonani o'rnatish uchun, masalan, tashqi, quyidagi buyruqdan foydalaning. Shuni esda tutingki, --permanent opsiyasini qo'shish konfiguratsiyani doimiy ravishda o'rnatadi (yoki doimiy konfiguratsiya muhitidan ma'lumotlarni so'rashga imkon beradi).
$ sudo firewall-cmd --set-default-zone=external
OR
$ sudo firewall-cmd --set-default-zone=external --permanent
$ sudo firewall-cmd --reload
Keyinchalik, zonaga interfeysni qanday qo'shishni ko'rib chiqaylik. Ushbu misol uy hududlarida ishlatiladigan uy zonasiga simsiz tarmoq adapterini (wlp1s0) qanday qo'shishni ko'rsatadi.
$ sudo firewall-cmd --zone=home --add-interface=wlp1s0

Interfeys faqat bitta zonaga qo'shilishi mumkin. Uni boshqa zonaga ko‘chirish uchun ko‘rsatilgandek --change-interface kalitidan foydalaning yoki –remove-interface kaliti yordamida oldingi zonadan olib tashlang, so‘ng uni yangi zonaga qo‘shing.
Umumiy WI-FI tarmog'iga ulamoqchi bo'lsangiz, simsiz interfeysingizni yana umumiy zonaga ko'chirishingiz kerak, masalan:
$ sudo firewall-cmd --zone=public --add-interface=wlp1s0
$ sudo firewall-cmd --zone=public --change-interface=wlp1s0

Bir vaqtning o'zida bir nechta zonalardan foydalanishingiz mumkin. Interfeyslar, xizmatlar, portlar, protokollar kabi yoqilgan barcha faol zonalar ro'yxatini olish uchun quyidagilarni bajaring:
$ sudo firewall-cmd --get-active-zones

Oldingi nuqtaga kelsak, agar siz ma'lum bir zona, ya'ni unga qo'shilgan yoki yoqilgan barcha narsalar haqida ko'proq ma'lumot olishni istasangiz, quyidagi buyruqlardan birini ishlating:
$ sudo firewall-cmd --zone=home --list-all
OR
$ sudo firewall-cmd --info-zone public

Yana bir foydali variant --get-target bo'lib, u sizga doimiy zonaning maqsadini ko'rsatadi. Maqsad quyidagilardan biridir: sukut bo'yicha, QABUL, TO'SHIRISH, REDD. Siz turli zonalarning maqsadini tekshirishingiz mumkin:
$ sudo firewall-cmd --permanent --zone=public --get-target
$ sudo firewall-cmd --permanent --zone=block --get-target
$ sudo firewall-cmd --permanent --zone=dmz --get-target
$ sudo firewall-cmd --permanent --zone=external --get-target
$ sudo firewall-cmd --permanent --zone=drop --get-target

vi.Xavfsizlik devorida portlarni qanday ochish va bloklash


Xavfsizlik devorida portni (yoki port/protokol kombinatsiyasini) ochish uchun uni --add-port opsiyasi bilan zonaga qo'shish kifoya. Agar siz zonani aniq belgilamasangiz, u standart zonada yoqiladi.
Quyidagi misol, mos ravishda HTTP va HTTPS protokollari orqali kiruvchi veb-trafikga ruxsat berish uchun 80 va 443 portlarini qanday qo'shishni ko'rsatadi:
$ sudo firewall-cmd --zone=public --permanent --add-port=80/tcp --add-port=443/tcp
Keyin, xavfsizlik devorini qayta yuklang va umumiy zonada yoqilgan xususiyatlarni yana bir bor tekshiring, yangi qo'shilgan portlarni ko'rishingiz kerak.
$ sudo firewall-cmd --reload
$ sudo firewall-cmd --info-zone public
Xavfsizlik devoridagi portni bloklash yoki yopish ham xuddi shunday oson, uni --remove-port opsiyasi bilan zonadan olib tashlang. Masalan, umumiy zonadagi 80 va 443 portlarni yopish uchun.
$ sudo firewall-cmd --zone=public --permanent --remove-port=80/tcp --remove-port=443/tcp
Port yoki port/protokol kombinatsiyasidan foydalanish o'rniga, keyingi bo'limda tushuntirilganidek, port tayinlangan xizmat nomidan foydalanishingiz mumkin.

vii.Xavfsizlik devorida xizmatlarni qanday ochish va bloklash


Xavfsizlik devorida xizmatni ochish uchun --add-service opsiyasidan foydalanib uni yoqing. Agar zona o'tkazib yuborilsa, standart zonadan foydalaniladi.
Quyidagi buyruq umumiy zonada http xizmatini doimiy ravishda yoqadi.
$ sudo firewall-cmd --zone=public --permanent --add-service=http
$ sudo firewall-cmd --reload
Xizmatni o'chirish uchun --remove-service variantidan foydalanish mumkin.
$ sudo firewall-cmd --zone=public --permanent --remove-service=http
$ sudo firewall-cmd --reload

viii.Xavfsizlik devori yordamida IP maskaradni qanday yoqish va o'chirish mumkin


IP maskaradlash (IPMASQ yoki MASQ nomi bilan ham tanilgan) Linux tarmog'idagi NAT (tarmoq manzillarini tarjima qilish) mexanizmi bo'lib, u tarmoqdagi xostlarga shaxsiy IP manzillari bilan Linux serveringiz (IPMASQ shlyuzi) tomonidan tayinlangan umumiy IP-dan foydalanib Internet bilan bog'lanish imkonini beradi. manzil.
Bu bittadan ko'pga xaritalashdir. Ko'rinmas xostlaringizdan kelgan trafik xuddi Linux serveringizdan kelayotgandek Internetdagi boshqa kompyuterlarga ko'rinadi.
Istalgan zonada, masalan, umumiy zonada IP maskalanishini yoqishingiz mumkin. Lekin buni amalga oshirishdan oldin, avval maskarad faol yoki yo'qligini tekshiring (\yo'q uning o'chirilganligini bildiradi va \ha boshqa ma'noni anglatadi).
$ sudo firewall-cmd --zone=public --query-masquerade
$ sudo firewall-cmd --zone=public --add-masquerade
Maskaradlash uchun odatiy foydalanish holati portni yo'naltirishni amalga oshirishdir. Agar sshd demoni 5000 portda tinglayotgan IP 10.20.1.3 bilan ichki tarmog'ingizdagi masofaviy kompyuterdan xostga SSH ni o'tkazmoqchi bo'lsangiz.
Siz Linux serveringizdagi 22-portga barcha ulanishlarni maqsadli xostingizdagi moʻljallangan portga yuborishingiz mumkin:
$ sudo firewall-cmd --zone=public --add-forward-port=port=22=proto=tcp:toport=5000:toaddr=10.20.1.3
Zonada maskarad qilishni o‘chirish uchun --remove-masquerade tugmasidan foydalaning.
$ sudo firewall-cmd --zone=public --remove-masquerade

ix.Xavfsizlik devorida IMCP xabarini qanday yoqish va o'chirish mumkin


ICMP (Internet Control Message Protocol) xabarlari axborot so'rovlari yoki axborot so'rovlariga javoblar yoki xatolik holatlarida.
Siz xavfsizlik devorida ICMP xabarlarini yoqishingiz yoki o'chirib qo'yishingiz mumkin, lekin undan oldin barcha qo'llab-quvvatlanadigan icmp turlarini sanab o'ting.
$ sudo firewall-cmd --get-icmptypes

O'zingiz xohlagan blok turini qo'shish yoki olib tashlash uchun.
$ sudo firewall-cmd --zone=home --add-icmp-block=echo-reply
OR
$ sudo firewall-cmd --zone=home --remove-icmp-block=echo-reply
Siz zonaga qo'shilgan barcha icmp turlarini --list-icmp-blocks kaliti yordamida ko'rishingiz mumkin.
$ sudo firewall-cmd --zone=home --list-icmp-blocks

x.Raw iptables buyruqlarini topshirish uchun to'g'ridan-to'g'ri interfeysdan qanday foydalanish kerak


Faervol-cmd shuningdek, xavfsizlik devoriga to'g'ridan-to'g'ri kirish uchun to'g'ridan-to'g'ri variantlarni (--direct) taqdim etadi. Bu iptables haqida asosiy ma'lumotga ega bo'lganlar uchun foydalidir.
Muhim: to'g'ridan-to'g'ri variantlardan faqat yuqorida tavsiflangan xavfsizlik devori-cmd opsiyalaridan foydalanish imkoni bo'lmaganda oxirgi chora sifatida foydalanishingiz kerak.
Bu yerda --add-rules kaliti yordamida raw iptables qoidasini qanday o'tkazishga misol. --add-rule ni --remove-rule bilan almashtirib, ushbu qoidalarni osongina olib tashlashingiz mumkin:
$ sudo firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 80 -j ACCEPT
Iptables haqida qo'shimcha ma'lumot olish uchun ushbu qo'llanmani ko'ring: Linuxda xizmatlarga masofaviy kirishni yoqish uchun Iptables xavfsizlik devorini qanday sozlash kerak.
Agar siz iptables sintaksisi bilan tanish bo'lmasangiz, quyida aytib o'tilganidek, tushunarli tarzda yanada murakkab xavfsizlik devori qoidalarini yaratish uchun xavfsizlik devorining \boy tilini tanlashingiz mumkin.

xi.Xavfsizlik devorida boy tildan qanday foydalanish kerak


Boy til (shuningdek, boy qoidalar sifatida ham tanilgan) iptables sintaksisini bilmasdan IPv4 va IPv6 uchun yanada murakkab xavfsizlik devori qoidalarini qo'shish uchun ishlatiladi.
U biz qamrab olgan zona xususiyatlarini (xizmat, port, icmp-blok, maskarad va oldinga port) kengaytiradi. U manba va maqsad manzillarini, jurnallarni yozishni, harakatlar va jurnallar va harakatlar uchun cheklovlarni qo'llab-quvvatlaydi.
--add-rich-rule boy qoidalarni qo'shish uchun ishlatiladi. Ushbu misolda http xizmati uchun yangi IPv4 va IPv6 ulanishlariga ruxsat berish va audit yordamida daqiqada 1 jurnalga qanday ruxsat berish ko'rsatilgan:
$ sudo firewall-cmd --add-rich-rule='rule service name="http" audit limit value="1/m" accept'
Qo'shilgan qoidani o'chirish uchun --add-rich-rule parametrini --remove-rich-rule bilan almashtiring.
$ sudo firewall-cmd --remove-rich-rule='rule service name="http" audit limit value="1/m" accept'
Bu xususiyat, shuningdek, ma'lum bir IP-manzildan trafikni blokirovka qilish yoki ruxsat berish imkonini beradi. Quyidagi misol IP 10.20.1.20 dan ulanishlarni qanday rad etishni ko'rsatadi.
$ sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.254" reject'

xii.Xavfsizlik devorida vahima rejimini qanday yoqish va o'chirish mumkin


Vahima rejimi xavfsizlik devori ostidagi maxsus rejim bo'lib, unda barcha kirish va chiquvchi paketlar o'chiriladi va faol ulanishlar faollashtirilgandan keyin tugaydi.
Tarmoq muhitiga tahdid tug'ilgan favqulodda vaziyatlarda ushbu rejimni yoqishingiz mumkin.
Vahima rejimiga murojaat qilish uchun --query-panic opsiyasidan foydalaning.
$ sudo firewall-cmd --query-panic
Vahima rejimini yoqish uchun --panic-on variantidan foydalaning. Ko'rsatilganidek, ping buyrug'i yordamida uning ishlayotganligini tekshirishingiz mumkin. Paket tushirilganligi sababli www.google.com nomini hal qilib bo'lmaydi, shuning uchun xato ko'rsatiladi.
$ sudo firewall-cmd --panic-on
$ ping -c 2 www.google.com

Vahima rejimini o‘chirish uchun --panic-off variantidan foydalaning.
$ sudo firewall-cmd --panic-off

xiii.Xavfsizlik devorini qanday blokirovka qilish kerak


Esda tutingki, xavfsizlik devori haqida asoslar ostida mahalliy ilovalar yoki xizmatlar ildiz huquqlari bilan ishlayotgan bo'lsa, xavfsizlik devori konfiguratsiyasini o'zgartirishi mumkinligini aytib o'tgan edik. Qaysi ilovalar xavfsizlik devori oʻzgarishlarini soʻrashi mumkinligini blokirovka oq roʻyxatida belgilash orqali boshqarishingiz mumkin.
Bu funksiya sukut boʻyicha oʻchirib qoʻyilgan, siz uni --lockdown-on yoki --lockdown kaliti bilan qabul qilib yoqishingiz yoki oʻchirib qoʻyishingiz mumkin.
$ sudo firewall-cmd --lockdown-on
OR
$ sudo firewall-cmd --lockdown-off
Esda tutingki, asosiy konfiguratsiya faylini tahrirlash orqali ushbu xususiyatni yoqish yoki oʻchirish tavsiya etiladi, chunki blokirovkani yoqsangiz, xavfsizlik devori-cmd blokirovka oq roʻyxatida mavjud boʻlmasligi mumkin.
$ sudo vim /etc/firewalld/firewalld.conf
Lockdown parametrini toping va uning qiymatini no (o'chirilgan) dan ha(yoqilgan degan ma'noni anglatadi) ga o'zgartiring.
Lockdown=yes
Ushbu sozlamani doimiy ravishda qayta yuklash uchun xavfsizlik devori.
$ sudo firewall-cmd --reload
Firewalld - bu iptables xizmatining o'rnini bosuvchi vosita bo'lib, u iptables-dan backend sifatida foydalanadi. Ushbu maqolada biz xavfsizlik devori paketini qanday o'rnatishni ko'rsatdik, xavfsizlik devorining muhim xususiyatlarini tushuntirdik va ularni ish vaqti va doimiy konfiguratsiya muhitlarida qanday sozlashni muhokama qildik.
Agar sizda biron bir savol yoki sharhingiz bo'lsa, quyidagi izoh formasi orqali biz bilan bog'laning. Qo'shimcha ma'lumot olish uchun xavfsizlik devori qo'llanma sahifasiga (man firewalld) yoki loyiha veb-saytidagi xavfsizlik devori hujjatlariga murojaat qilishingiz mumkin.


Laboratoriya ishi №17.



Download 340.76 Kb.

Do'stlaringiz bilan baham:
1   ...   6   7   8   9   10   11   12   13   14



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling