Ubuntu'da güvenlik duvarı kullanımı: Revizyonlar arasındaki fark
Değişiklik özeti yok |
k (basit hatalar) |
||
| (4 kullanıcıdan 18 ara revizyon gösterilmiyor) | |||
| 1. satır: | 1. satır: | ||
== Giriş == | |||
Pek çoğunuzun da bildiği gibi [[Ubuntu]]'da varsayılan olarak İnternet portları kapalıdır. Dolayısıyla Ubuntu'da güvenlik duvarına (firewall) ihtiyaç yoktur. Ancak [[Windows]]'tan gelme eski paranoyak alışkanlıklarımızla, çoğu zaman, sistemde arkaplanda çalışan bir güvenlik duvarı olmasını isteriz. | |||
Ubuntu'da ve çoğu [[Linux]] dağıtımında hali hazırda IPTables isimli bir güvenlik duvarı yazılımı vardır. Ancak ilk kurulumda aktif değildir. IPTables'ı yapılandırmak için ayar dosyalarıyla uğraşmak gerekir ve bu ayarlar, yeni ve orta seviye kullanıcılar için zordur. Eskiden bu zorluğu gidermek amacıyla Firestarter isimli grafik aracını kullanıyordum. Dileyen arkadaşlar, kullanımı çok kolay olan bu IPTables önyüzünü hala kullanabilir, ancak Hardy Heron v.8.04 ile birlikte artık yeni bir aracımız var: UFW (Uncomplicated Firewall), yani Kolay Ateş Duvarı (KAD). | |||
UFW programı, komut satırı ile çalışabildiği gibi Görsel Arayüz Programı olan Gufw ile de kullanılabilir. | |||
== Ayarlar == | |||
UFW, Ubuntu ile birlikte yüklü geliyor ancak varsayılan olarak aktif değil. UFW güvenlik duvarının mevcut durumunu öğrenmek için [[uçbirim]]e şu komutu yazalım: | |||
{{Kod|ufw durumunu gösterir|sudo ufw status}} | |||
{{Kod|ufw detaylı durum raporu gösterir|sudo ufw status verbose}} | |||
UFW'yi başlatmak için: | |||
UFW | |||
{{Kod|ufw'yi etkinleştirir|sudo ufw enable}} | |||
UFW | komutu yeterli olacak ve bir dahaki sistem açılışında da aktif olacaktır. UFW, aktif hale geldiğinde varsayılan profil ayarlarında bulunan kuralları kulanır. Bu kurallar, ortalama bir kullanıcı için yeterli olmaktadır. Geliştiriciler, UFW varsayılan profili, ortalama bir ev kullanıcısı için gerekli istisnalar hariç "Tüm Gelen Bağlantıları" engellemeye ayarlamıştır. Aşağıdaki anlatımda bulunan komutlar ile bu kuralları güncelleyip değiştirme imkanı bulunmaktadır. | ||
Güvenlik duvarını durdurmak için: | |||
{{Kod|ufw'yi pasifleştirir|sudo ufw disable}} | |||
komutunu vermeniz yeterlidir. | komutunu vermeniz yeterlidir. | ||
UFW ile ilgili | ==UFW ile ilgili diğer komutlar== | ||
Sistem kaydının (log) tutulması özelliğini açıp kapatmak için: | Sistem kaydının (log) tutulması özelliğini açıp kapatmak için: | ||
{{Kod|Sistem kaydını açıp/kapatır|sudo ufw logging on|off}} | |||
' | Yeri gelmişken, UFW'nin logları nerede tuttuğu tartışma konusu. Yaptığım aramalar neticesinde elde ettiğim sonuç; bu kayıtların "/var/log/messages" ve "/var/log/syslog" dosyalarında tutulduğu yönünde. Görüntülemek içinse uçbirimden şu komutu vermek yeterlidir: | ||
{{Kod|ufw kayıtlarını gösterir|grep UFW /var/log/messages | |||
grep UFW /var/log/syslog}} | |||
Belli bir servisin | Belli bir servisin internet erişimini açıp/kapatmak için: | ||
{{Kod|İnternet erişimini açıp/kapatır|sudo ufw allow|deny servis_ismi}} | |||
Örneğin; | |||
{{Kod|Telnet erişimini kapatır|sudo ufw deny telnet}} | |||
komutu, [[v:Telnet|telnet]] hizmetini devre dışı bırakacaktır. | |||
Belli bir portun İnternet erişimini açıp kapatmak için: | Belli bir portun İnternet erişimini açıp kapatmak için: | ||
{{Kod|Portun internet erişimini açıp/kapatır|sudo ufw allow|deny port_ismi}} | |||
Örneğin, | |||
{{Kod|53 nolu port erişimini kapatır|sudo ufw deny 53}} | |||
Belli bir IP adresini engellemek için: | Belli bir IP adresini engellemek için: | ||
{{Kod|Belli bir IP adresini engeller|sudo ufw deny IP_no}} | |||
Örneğin, | |||
{{Kod|192.168.254.254 nolu IP adresini engeller|sudo ufw deny from 192.168.254.254}} | |||
Yukarıda verilen kuralları iptal etmek için de: | Yukarıda verilen kuralları iptal etmek için de: | ||
{{Kod|Kural iptal eder|sudo ufw delete allow|deny kural_ismi}} | |||
Örneğin: | |||
{{Kod|| sudo ufw delete deny telnet | |||
sudo ufw delete deny 53 | sudo ufw delete deny 53 | ||
sudo ufw delete allow from 192.168.254.254 | |||
sudo ufw delete allow from 192.168.254.254}} | |||
Diyelim ki yukarıdaki gibi komutlar vererek bazı kurallar tanımladınız, ancak ne kural tanımladığınızı unuttunuz. Bu durumda: | Diyelim ki yukarıdaki gibi komutlar vererek bazı kurallar tanımladınız, ancak ne kural tanımladığınızı unuttunuz. Bu durumda: | ||
{{Kod|Verilen kuralların listeler|sudo ufw status}} | |||
komutunu verirseniz, tanımladığınız kuralların bir listesini görebilir, buna göre hareket edebilirsiniz. | komutunu verirseniz, tanımladığınız kuralların bir listesini görebilir, buna göre hareket edebilirsiniz. | ||
UFW izin ve engellerini yukarıda belirtilen Ip numarası ve Port numaraları ile yapabildiğiniz gibi bilgisayarınızda kullanılan servis isimlerini komutlara girerek de izin ve engelleme yapabilirsiniz. Bu servisler, bilgisayarınızda /etc/services dosyasından okunmaktadır. | |||
{{Kod|Servislerin listesini verir |sudo less /etc/services}} | |||
Bir servise izin verebilmek için komut sudo ufw allow <servis_adı> formatında kullanılır. | |||
Örneğin; | |||
{{Kod|SSH servisine izin verir|sudo ufw allow ssh}} | |||
Bir servisi engellemek için komut sudo ufw deny <servis_adı> formatında kullanılır. | |||
Örneğin; | |||
{{Kod|SSH servisini engeller|sudo ufw deny ssh}} | |||
== Grafik arayüz == | |||
[[Resim:Ufw1.jpg|right|500px]] | |||
Gördüğünüz gibi UFW güçlü, ancak kullanımı çok kolay bir konsol aracı. Yine de UFW için neden bir grafik arayüz yok diyebilirsiniz. Açık kaynak dünyası bunu da düşünmüş ve bizim için basit ama güzel bir arayüz hazırlamış: GUFW. | Gördüğünüz gibi UFW güçlü, ancak kullanımı çok kolay bir konsol aracı. Yine de UFW için neden bir grafik arayüz yok diyebilirsiniz. Açık kaynak dünyası bunu da düşünmüş ve bizim için basit ama güzel bir arayüz hazırlamış: GUFW. | ||
Bu aracın son versiyonunu | Bu aracın son versiyonunu [http://gufw.tuxfamily.org/latest-ufw-deb.html gufw.tuxfamily.org] adresinden yükleyebilirsiniz | ||
[http://gufw.tuxfamily.org/latest-ufw-deb.html] | |||
gufw aracı yüklendiğinde, ''Sistem > Yönetim'' menüsüne "Firewall Configuration" ismiyle yerleşiyor. Güvenlik duvarının çalışması için bu aracın arka planda çalışmasına ihtiyacınız yok, sadece kural tanımlamakta kullanabilirsiniz. | |||
<gallery> | |||
Resim:Ufw2.jpg|menüdeki yeri | |||
Resim:Ufw3.jpg|Simple Sekmesi | |||
Resim:UFW4.jpg|Preconfigured sekmesi | |||
== | </gallery> | ||
== Test == | |||
Güvenlik Duvarı Testi: | Güvenlik Duvarı Testi: | ||
Bu testi yapmak için Shields Up! web sitesini kullanabilirsiniz. Siteyi ziyaret ederek, "Proceed" düğmesine | Bu testi yapmak için [https://www.grc.com/x/ne.dll?bh0bkyd2 Shields Up!] web sitesini kullanabilirsiniz. Siteyi ziyaret ederek, "Proceed" (Devam) düğmesine basıp açılan sayfadaki "Common Ports" bağlantısı ile güvenlik testini başlatabilirsiniz. | ||
Bu testi kendi makinamda önce USB winmodem ile, sonra ethernet arayüzlü modem ile yaptım. Ethernet destekli modemin kendi güvenlik duvarı olduğu için ufw'nin açık olup olmaması sonucu değiştirmedi. Ancak USB winmodemde bütün portlar kapalı olmasına rağmen, bilgisayarı dış dünyadan gizleyen "shealth" modu için ekstra bir güvenlik duvarının etkin olması gerektiği ortaya çıktı. | Bu testi kendi makinamda önce USB winmodem ile, sonra ethernet arayüzlü modem ile yaptım. Ethernet destekli modemin kendi güvenlik duvarı olduğu için ufw'nin açık olup olmaması sonucu değiştirmedi. Ancak USB winmodemde bütün portlar kapalı olmasına rağmen, bilgisayarı dış dünyadan gizleyen "shealth" modu için ekstra bir güvenlik duvarının etkin olması gerektiği ortaya çıktı. | ||
| 97. satır: | 111. satır: | ||
USB modem ile yaptığım denemede güvenlik duvarının, varsayılan olarak, dışarıdan yapılan ICMP (ping) çağrılarına yanıt verdiği ortaya çıktı. ICMP'yi devre dışı bırakmak için şu adresteki yönergeler uyarınca: | USB modem ile yaptığım denemede güvenlik duvarının, varsayılan olarak, dışarıdan yapılan ICMP (ping) çağrılarına yanıt verdiği ortaya çıktı. ICMP'yi devre dışı bırakmak için şu adresteki yönergeler uyarınca: | ||
{{Kod||gksudo gedit /etc/ufw/before.rules}} | |||
ile /etc/ufw/before.rules dosyasını root yetkileriyle açın, | ile ''/etc/ufw/before.rules'' dosyasını root yetkileriyle açın, | ||
{{dosya|/etc/ufw/before.rules|-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT}} | |||
satırını buldum ve önüne yorum işareti (#) koyarak, | satırını buldum ve önüne yorum işareti (#) koyarak, | ||
{{dosya|/etc/ufw/before.rules|<nowiki>#</nowiki> -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT}} | |||
olarak değiştirip dosyayı kaydedin. | olarak değiştirip dosyayı kaydedin. | ||
== | == Kaynaklar == | ||
* UFW ayarları ile ilgili olarak: | |||
[ | [https://wiki.ubuntu.com/UbuntuFirewall Ubuntu Wiki Firewall] belgesi | ||
[http://www.ubuntugeek.com/ | [http://www.ubuntugeek.com/ufw-uncomplicated-firewall-for-ubuntu-hardy.html ubuntugeek.com'daki ufw-uncomplicated-firewall] belgesi | ||
* GUWF ayarları ve ekran görüntüleri için: | |||
[http://www. | [http://gufw.tuxfamily.org/index.html gufw.tuxfamily.org] | ||
[http://www.ubuntugeek.com/gufw-simple-gui-for-ufw-uncomplicated-firewall.html ubuntugeek.com'da gufw-simple] | |||
* Shields Up! dışında güvenlik duvarı testi yapabileceğiniz bir diğer site: | |||
[http://www. | [http://www.pcflank.com/scanner1.htm pcflank.com] | ||
== | == Son söz == | ||
UFW'nin kullanımı ve temel ayarları böyle. Tabii daha pek çok ileri seviye ayar (örn. belli IP aralıklarını yasaklamak, belli programlara özel izinler atamak gibi) mevcut. Dileyen arkadaşlar bunları yukarıda bağlantılarını verdiğim kaynaklardan öğrenebilir. | UFW'nin kullanımı ve temel ayarları böyle. Tabii daha pek çok ileri seviye ayar (örn. belli [[IP]] aralıklarını yasaklamak, belli programlara özel izinler atamak gibi) mevcut. Dileyen arkadaşlar bunları yukarıda bağlantılarını verdiğim kaynaklardan öğrenebilir. | ||
Ubuntu'ya yeni başlayanlar tarafından çok sorulan bir sorulardan biri: Ubuntu'da güvenlik duvarına (firewall) gerek var mı? | Ubuntu'ya yeni başlayanlar tarafından çok sorulan bir sorulardan biri: Ubuntu'da güvenlik duvarına (firewall) gerek var mı? Cevap: Eğer kendi arayüzü ve güvenlik duvarı olan ethernet arayüzlü ya da kablosuz bir modem kullanıyorsanız, bence yok. Eğer kendi arayüzü olmayan, İnternet hesabı kullanıcı adı ve şifresinin işletim sistemin tarafından verildiği bir USB modem kullanıyorsanız, bütün portlar kapalı olmasına rağmen, bence var. | ||
Peki ilk kategoriye de girseniz, bunları bilmenize gerek var mı? Bence var. Neden? Çünkü bilgi güçtür. | Peki ilk kategoriye de girseniz, bunları bilmenize gerek var mı? Bence var. Neden? Çünkü bilgi güçtür. | ||
== Ayrıca bakınız == | |||
* [https://sudo.ubuntu-tr.net/acik-kaynak-guvenlik-duvari-sistemi Açık Kaynak Güvenlik Duvarı Sistemi] (SUDO) | |||
[[Kategori:Güvenlik]] | |||
10.41, 24 Ağustos 2016 itibarı ile sayfanın şu anki hâli
Giriş
Pek çoğunuzun da bildiği gibi Ubuntu'da varsayılan olarak İnternet portları kapalıdır. Dolayısıyla Ubuntu'da güvenlik duvarına (firewall) ihtiyaç yoktur. Ancak Windows'tan gelme eski paranoyak alışkanlıklarımızla, çoğu zaman, sistemde arkaplanda çalışan bir güvenlik duvarı olmasını isteriz.
Ubuntu'da ve çoğu Linux dağıtımında hali hazırda IPTables isimli bir güvenlik duvarı yazılımı vardır. Ancak ilk kurulumda aktif değildir. IPTables'ı yapılandırmak için ayar dosyalarıyla uğraşmak gerekir ve bu ayarlar, yeni ve orta seviye kullanıcılar için zordur. Eskiden bu zorluğu gidermek amacıyla Firestarter isimli grafik aracını kullanıyordum. Dileyen arkadaşlar, kullanımı çok kolay olan bu IPTables önyüzünü hala kullanabilir, ancak Hardy Heron v.8.04 ile birlikte artık yeni bir aracımız var: UFW (Uncomplicated Firewall), yani Kolay Ateş Duvarı (KAD). UFW programı, komut satırı ile çalışabildiği gibi Görsel Arayüz Programı olan Gufw ile de kullanılabilir.
Ayarlar
UFW, Ubuntu ile birlikte yüklü geliyor ancak varsayılan olarak aktif değil. UFW güvenlik duvarının mevcut durumunu öğrenmek için uçbirime şu komutu yazalım:
Görevi: ufw durumunu gösterir
sudo ufw status
Görevi: ufw detaylı durum raporu gösterir
sudo ufw status verbose
UFW'yi başlatmak için:
Görevi: ufw'yi etkinleştirir
sudo ufw enable
komutu yeterli olacak ve bir dahaki sistem açılışında da aktif olacaktır. UFW, aktif hale geldiğinde varsayılan profil ayarlarında bulunan kuralları kulanır. Bu kurallar, ortalama bir kullanıcı için yeterli olmaktadır. Geliştiriciler, UFW varsayılan profili, ortalama bir ev kullanıcısı için gerekli istisnalar hariç "Tüm Gelen Bağlantıları" engellemeye ayarlamıştır. Aşağıdaki anlatımda bulunan komutlar ile bu kuralları güncelleyip değiştirme imkanı bulunmaktadır.
Güvenlik duvarını durdurmak için:
Görevi: ufw'yi pasifleştirir
sudo ufw disable
komutunu vermeniz yeterlidir.
UFW ile ilgili diğer komutlar
Sistem kaydının (log) tutulması özelliğini açıp kapatmak için:
Görevi: Sistem kaydını açıp/kapatır
sudo ufw logging on
Yeri gelmişken, UFW'nin logları nerede tuttuğu tartışma konusu. Yaptığım aramalar neticesinde elde ettiğim sonuç; bu kayıtların "/var/log/messages" ve "/var/log/syslog" dosyalarında tutulduğu yönünde. Görüntülemek içinse uçbirimden şu komutu vermek yeterlidir:
Görevi: ufw kayıtlarını gösterir
grep UFW /var/log/messages grep UFW /var/log/syslog
Belli bir servisin internet erişimini açıp/kapatmak için:
Görevi: İnternet erişimini açıp/kapatır
sudo ufw allow
Örneğin;
Görevi: Telnet erişimini kapatır
sudo ufw deny telnet
komutu, telnet hizmetini devre dışı bırakacaktır.
Belli bir portun İnternet erişimini açıp kapatmak için:
Görevi: Portun internet erişimini açıp/kapatır
sudo ufw allow
Örneğin,
Görevi: 53 nolu port erişimini kapatır
sudo ufw deny 53
Belli bir IP adresini engellemek için:
Görevi: Belli bir IP adresini engeller
sudo ufw deny IP_no
Örneğin,
Görevi: 192.168.254.254 nolu IP adresini engeller
sudo ufw deny from 192.168.254.254
Yukarıda verilen kuralları iptal etmek için de:
Görevi: Kural iptal eder
sudo ufw delete allow
Örneğin:
sudo ufw delete deny telnet sudo ufw delete deny 53 sudo ufw delete allow from 192.168.254.254
Diyelim ki yukarıdaki gibi komutlar vererek bazı kurallar tanımladınız, ancak ne kural tanımladığınızı unuttunuz. Bu durumda:
Görevi: Verilen kuralların listeler
sudo ufw status
komutunu verirseniz, tanımladığınız kuralların bir listesini görebilir, buna göre hareket edebilirsiniz.
UFW izin ve engellerini yukarıda belirtilen Ip numarası ve Port numaraları ile yapabildiğiniz gibi bilgisayarınızda kullanılan servis isimlerini komutlara girerek de izin ve engelleme yapabilirsiniz. Bu servisler, bilgisayarınızda /etc/services dosyasından okunmaktadır.
Görevi: Servislerin listesini verir
sudo less /etc/services
Bir servise izin verebilmek için komut sudo ufw allow <servis_adı> formatında kullanılır. Örneğin;
Görevi: SSH servisine izin verir
sudo ufw allow ssh
Bir servisi engellemek için komut sudo ufw deny <servis_adı> formatında kullanılır. Örneğin;
Görevi: SSH servisini engeller
sudo ufw deny ssh
Grafik arayüz
Gördüğünüz gibi UFW güçlü, ancak kullanımı çok kolay bir konsol aracı. Yine de UFW için neden bir grafik arayüz yok diyebilirsiniz. Açık kaynak dünyası bunu da düşünmüş ve bizim için basit ama güzel bir arayüz hazırlamış: GUFW.
Bu aracın son versiyonunu gufw.tuxfamily.org adresinden yükleyebilirsiniz
gufw aracı yüklendiğinde, Sistem > Yönetim menüsüne "Firewall Configuration" ismiyle yerleşiyor. Güvenlik duvarının çalışması için bu aracın arka planda çalışmasına ihtiyacınız yok, sadece kural tanımlamakta kullanabilirsiniz.
menüdeki yeri
Simple Sekmesi
Preconfigured sekmesi
Test
Güvenlik Duvarı Testi: Bu testi yapmak için Shields Up! web sitesini kullanabilirsiniz. Siteyi ziyaret ederek, "Proceed" (Devam) düğmesine basıp açılan sayfadaki "Common Ports" bağlantısı ile güvenlik testini başlatabilirsiniz.
Bu testi kendi makinamda önce USB winmodem ile, sonra ethernet arayüzlü modem ile yaptım. Ethernet destekli modemin kendi güvenlik duvarı olduğu için ufw'nin açık olup olmaması sonucu değiştirmedi. Ancak USB winmodemde bütün portlar kapalı olmasına rağmen, bilgisayarı dış dünyadan gizleyen "shealth" modu için ekstra bir güvenlik duvarının etkin olması gerektiği ortaya çıktı.
USB modem ile yaptığım denemede güvenlik duvarının, varsayılan olarak, dışarıdan yapılan ICMP (ping) çağrılarına yanıt verdiği ortaya çıktı. ICMP'yi devre dışı bırakmak için şu adresteki yönergeler uyarınca:
gksudo gedit /etc/ufw/before.rules
ile /etc/ufw/before.rules dosyasını root yetkileriyle açın,
| Dosya İçeriği |
| Dosya yolu:/etc/ufw/before.rules |
|
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT |
satırını buldum ve önüne yorum işareti (#) koyarak,
| Dosya İçeriği |
| Dosya yolu:/etc/ufw/before.rules |
|
# -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT |
olarak değiştirip dosyayı kaydedin.
Kaynaklar
- UFW ayarları ile ilgili olarak:
Ubuntu Wiki Firewall belgesi ubuntugeek.com'daki ufw-uncomplicated-firewall belgesi
- GUWF ayarları ve ekran görüntüleri için:
gufw.tuxfamily.org ubuntugeek.com'da gufw-simple
- Shields Up! dışında güvenlik duvarı testi yapabileceğiniz bir diğer site:
Son söz
UFW'nin kullanımı ve temel ayarları böyle. Tabii daha pek çok ileri seviye ayar (örn. belli IP aralıklarını yasaklamak, belli programlara özel izinler atamak gibi) mevcut. Dileyen arkadaşlar bunları yukarıda bağlantılarını verdiğim kaynaklardan öğrenebilir.
Ubuntu'ya yeni başlayanlar tarafından çok sorulan bir sorulardan biri: Ubuntu'da güvenlik duvarına (firewall) gerek var mı? Cevap: Eğer kendi arayüzü ve güvenlik duvarı olan ethernet arayüzlü ya da kablosuz bir modem kullanıyorsanız, bence yok. Eğer kendi arayüzü olmayan, İnternet hesabı kullanıcı adı ve şifresinin işletim sistemin tarafından verildiği bir USB modem kullanıyorsanız, bütün portlar kapalı olmasına rağmen, bence var.
Peki ilk kategoriye de girseniz, bunları bilmenize gerek var mı? Bence var. Neden? Çünkü bilgi güçtür.