Phenquestions
Ak chcete na svojom Raspberry Pi (t.j.e., webový server, databázový server, server Minecraft) a sprístupniť ich verejne na internete (hostenie), potom je veľmi dôležité zabezpečiť váš server Raspberry Pi programom firewall.
V operačnom systéme Raspberry Pi (oficiálny operačný systém jednodeskových počítačov Raspberry Pi) je k dispozícii veľa bezplatných a otvorených programov brány firewall. Medzi týmito programami sú najbežnejšie programy brány firewall UFW a Firewalld.
V tomto článku vám pomocou programu brány firewall UFW ukážem, ako zabezpečiť váš Raspberry Pi. Takže poďme na to.
Veci, ktoré budete potrebovať:
Ak chcete nasledovať tento článok, budete potrebovať nasledujúce veci, aby ste mohli Raspberry Pi nastaviť v bezhlavom režime:
- Jednodeskový počítač Raspberry Pi 3 alebo Raspberry Pi 4.
- Napájací adaptér micro-USB (Raspberry Pi 3) alebo USB Type-C (Raspberry Pi 4).
- Blikala 16 GB alebo 32 GB microSD karta s Raspberry Pi OS.
- Sieťové pripojenie na Raspberry Pi.
- Notebook alebo stolný počítač s prístupom na vzdialenú plochu VNC alebo SSH na Raspberry Pi.
Ak nechcete nastaviť Raspberry Pi 4 v bezhlavom režime, budete potrebovať:
- Monitor
- Kábel HDMI alebo micro-HDMI
- Klávesnica
- Myš.
Ak potrebujete pomoc s blikaním obrazu Raspberry Pi OS na karte microSD, prečítajte si môj článok Ako nainštalovať a používať kameru Raspberry Pi.
Ak ste začiatočníkom Raspberry Pi a potrebujete pomoc s inštaláciou operačného systému Raspberry Pi na vašom Raspberry Pi, prečítajte si môj článok Ako nainštalovať Raspberry Pi OS na Raspberry Pi 4.
Ak potrebujete pomoc s bezhlavým nastavením Raspberry Pi, prečítajte si môj článok Ako nainštalovať a nakonfigurovať OS Raspberry Pi na Raspberry Pi 4 bez externého monitora.
Aktualizácia operačného systému Raspberry Pi:
Pretože sa snažíme zabezpečiť naše Raspberry Pi, je dobré aktualizovať všetky existujúce balíčky operačného systému Raspberry Pi. Vďaka tomu bude váš operačný systém Raspberry Pi bezpečnejší, pretože by sa do neho nainštalovali všetky najnovšie bezpečnostné aktualizácie a opravy chýb.
Najskôr aktualizujte medzipamäť úložiska balíkov APT pomocou nasledujúceho príkazu:
$ sudo apt aktualizácia
Ak chcete aktualizovať všetky existujúce balíčky vášho operačného systému Raspberry Pi, spustite nasledujúci príkaz:
Inštaláciu aktualizácií potvrdíte stlačením Y a potom stlačte <Zadajte>.
Správca balíkov APT stiahne všetky požadované balíčky z internetu. Dokončenie môže chvíľu trvať.
Po stiahnutí balíkov ich správca balíkov APT nainštaluje jeden po druhom. Dokončenie môže chvíľu trvať.
V tomto okamihu by mali byť nainštalované všetky aktualizácie.
Aby sa zmeny prejavili, reštartujte Raspberry Pi pomocou nasledujúceho príkazu:
$ sudo reštart
Inštalácia UFW - nekomplikovaný firewall:
Po zavedení Raspberry Pi môžete nainštalovať program brány firewall UFW pomocou nasledujúceho príkazu:
$ sudo apt nainštalovať ufw -y
Mal by byť nainštalovaný UFW.
Aby sa zmeny prejavili, reštartujte Raspberry Pi pomocou nasledujúceho príkazu:
Akonáhle sa vaše Raspberry Pi naštartuje, ufw služba systemd by mala byť aktívna, ako vidíte na snímke obrazovky nižšie.
To, či je UFW povolené, môžete skontrolovať pomocou nasledujúceho príkazu:
Ako vidíte, UFW nie je v predvolenom nastavení povolený.
Ak chcete povoliť UFW, spustite nasledujúci príkaz:
Ako vidíte, UFW je teraz povolený.
Povolenie prístupu k portom pomocou profilov aplikácií:
UFW má niektoré predvolené profily aplikácií. Každý z profilov aplikácie má niekoľko preddefinovaných portov, ku ktorým môžete povoliť alebo zakázať prístup.
Ak chcete zobraziť zoznam všetkých dostupných profilov aplikácií, spustite nasledujúci príkaz:
$ sudo ufw zoznam aplikácií
Mali by byť uvedené všetky profily nainštalovaných aplikácií.
Ak ste pripojení k svojmu Raspberry Pi cez SSH alebo VNC (ako ja), musíte povoliť prístup k OpenSSH a VNC profily aplikácií. V opačnom prípade nebudete mať pri ďalšom spustení Raspberry Pi k nemu vzdialený prístup, pretože brána firewall zablokuje všetky porty vrátane portov SSH a VNC. To je teda veľmi dôležité.
Môžete vidieť, aké porty sú definované v profile aplikácie (t.j.e., OpenSSH) s nasledujúcim príkazom:
Ako môžeš vidieť, TCP port 22 je definované v profile aplikácie OpenSSH.
Rovnakým spôsobom TCP port 5900 je definované v VNC profil aplikácie.
Umožniť prístup k portom definovaným v VNC profil aplikácie, spustite nasledujúci príkaz:
Ako vidíte, VNC profil aplikácie je povolený cez bránu firewall.
Rovnakým spôsobom povoľte prístup k portom definovaným v OpenSSH profil aplikácie s nasledujúcim príkazom:
Ako vidíte, OpenSSH profil aplikácie je povolený cez bránu firewall.
Povolenie prístupu k portom pomocou čísla portu:
Port, ku ktorému chcete povoliť alebo zakázať prístup, nebude niekedy definovaný v žiadnom dostupnom profile aplikácie. Budete teda musieť povoliť / zakázať prístup k týmto portom pomocou čísla portu.
Môžete napríklad povoliť prístup k TCP port 8080 nasledujúcim príkazom:
$ sudo ufw povoliť 8080 / tcp
Ako vidíte, TCP port 8080 je povolený prístup cez bránu firewall.
Rovnakým spôsobom môžete povoliť prístup k UDP port 8888 nasledujúcim príkazom:
Ako vidíte, UDP port 8888 je povolený prístup cez bránu firewall.
Zakázanie prístupu k portom:
Predvolené správanie programu brány firewall UFW je zakázať všetko, čo nie je povolené. Takže nemusíte robiť nič, aby ste zabránili prístupu k akýmkoľvek portom.
Kvôli konkurencii vám ukážem, ako tak či tak odmietnuť porty v UFW.
Napríklad na odmietnutie prístupu k TCP port 9900, spustite nasledujúci príkaz:
$ sudo ufw odmietnuť 9900 / tcp
Ako vidíte, TCP port 9900 je odmietnutý prístup cez bránu firewall.
Rovnakým spôsobom môžete odmietnuť porty definované v profile aplikácie (t. J.e., WWW) nasledovne:
Zakázanie prístupu konkrétnym IP adresám na server:
Možno budete musieť odmietnuť prístup k konkrétnej adrese IP alebo podsieti IP, aby ste chránili svoj server Raspberry Pi pred útokmi DDoS (Distribuované odmietnutie služby). Môžete to urobiť pomocou UFW.
Na experimentovanie s popieraním adries IP použijem webový server Apache.
Webový server Apache môžete nainštalovať na svoje Raspberry Pi pomocou nasledujúceho príkazu:
$ sudo apt nainštalovať apache2
Inštaláciu potvrdíte stlačením Y a potom stlačte <Zadajte>.
Správca balíkov APT stiahne všetky balíčky z internetu a nainštaluje ich jeden po druhom. Dokončenie môže chvíľu trvať.
V tomto okamihu by mal byť nainštalovaný webový server Apache.
Po nainštalovaní webového servera Apache vytvorte jednoduchú indexovú stránku pomocou nasledujúceho príkazu:
Vitajte v LinuxHint
"| sudo tee / var / www / html / index.html
The apache2 služba systemd by mala byť spustená, ako vidíte na snímke obrazovky nižšie.
Povoliť prístup k portu webového servera Apache (TCP port 80) pomocou profilu aplikácie WWW nasledovne:
Ako vidíte, porty definované v profile aplikácie WWW je povolený prístup cez bránu firewall.
Vyhľadajte adresu IP vášho Raspberry Pi pomocou nasledujúceho príkazu:
Ako vidíte, IP adresa môjho Raspberry Pi je 192.168.0.106. U teba to bude iné. Odteraz ho teda vymeňte za svoj.
Ako je vidieť na snímke obrazovky nižšie, mali by ste k webovému serveru Apache pristupovať z iných zariadení.
Počítač, ktorý používam na prístup na webový server Apache, má adresu IP 192.168.0.109.
Zakázať adresu IP 192.168.0.109 prístup na váš server Raspberry Pi, musíte pridať pravidlo brány firewall v hornej časti (pozícia 1). Na poradí pravidiel UFW záleží veľa. Najprísnejšie pravidlá by mali ísť na prvom mieste.
Zakázať adresu IP 192.168.0.109 prístup na server Raspberry Pi, spustite nasledujúci príkaz:
Pravidlo UFW na odmietnutie adresy IP 192.168.0.109 prístup na server Raspberry Pi by mal byť najvyšším pravidlom, ako je znázornené na obrázku nižšie.
Z počítača s IP adresou nebudete mať prístup na webový server Apache bežiaci na vašom Raspberry Pi 192.168.0.109 ako vidíte na snímke obrazovky nižšie.
K webovému serveru Apache bežiacemu na vašom Raspberry Pi však môžete získať prístup z iných počítačov.
Ak chcete odmietnuť prístup k podsiete IP, musíte pred pravidlo, ktoré ste pridali skôr, pridať požadované pravidlo UFW, pretože ide o prísnejšie pravidlo.
Napríklad na odmietnutie prístupu ku každému počítaču v podsieti IP 192.168.20.0/24, spustite nasledujúci príkaz:
Pravidlo UFW by malo byť pridané na správnej pozícii, ako je to znázornené na obrázku nižšie. Teraz žiadny počítač z podsiete IP 192.168.20.0/24 by mal mať prístup k vášmu serveru Raspberry Pi.
Odstránenie pravidiel UFW:
Možno budete niekedy musieť odstrániť niektoré pravidlá UFW. Je to veľmi ľahké.
Všetky dostupné pravidlá UFW môžete uviesť pomocou nasledujúceho príkazu:
$ sudo ufw stav očíslovaný
Mali by byť uvedené všetky dostupné pravidlá UFW. Povedzme, že chcete odstrániť pravidlo UFW číslo 10 (pravidlo na 10. pozícii).
Ak chcete odstrániť pravidlo UFW číslo 10, spustite nasledujúci príkaz:
Operáciu odstránenia potvrdíte stlačením Y a potom stlačte <Zadajte>.
Pravidlo UFW číslo 10 by malo byť odstránené.
Ako vidíte, pravidlo UFW je odstránené a pravidlá sú usporiadané znova (Pravidlo UFW, ktoré bolo na pozícii 11, je teraz na pozícii 10).
Záver:
V tomto článku som vám ukázal, ako nainštalovať program brány firewall UFW na vaše Raspberry Pi (s operačným systémom Raspberry Pi OS). Tiež som vám ukázal, ako povoliť / zakázať porty pomocou programu brány firewall UFW. Ukázal som vám, ako zabrániť konkrétnej adrese IP alebo podsieti IP v prístupe na Raspberry Pi aj pomocou programu brány firewall UFW.
