ファイアウォールツールは必要ありません!

ネットワークのポートを設定しないと危険だからファイアウォールツールをインストールしなくちゃ? NO!NO!

Ubuntuでは標準で全てのポートが閉じており、外部からのアクセスは全てブロックするように設定されています。Ubuntuの場合、ファイアウォールツールをインストールすることは「ポートを開ける」ための手段を自ら用意することになります。

そう、何もしないこと。不正なアクセスのブロックはUbuntuに任せておきましょう。

ufwでファイアーウォールを設定


ヒント:
Linuxにはiptablesというパケットフィルタリング機能が備わっており、Ubuntuでは標準で全てのポートが閉じた状態に設定されています。

サーバープログラムをインストールした場合には必要に応じて利用するポートが開かれます。

12 件のコメント:

  1. 『ファイアウォールツールは必要ありません!』・・・そうなんですか!!!これは勉強になりました。実は7.04ではFirestarterをインストールしてたんですが7.10ではHamachiっていうソフトが通信できなくなってしまい、しかたなくFirestarterを外してたのです。でもこれが不安だったのですが全く不安になる必要はなかったんですね〜。

    返信削除
  2. Firestarterによって通信できなくなっちゃう現象は...Ubuntu 7.10でAppArmorというセキュリティーシステムが加わったので、それと何か関係していそうですが...特に調べてないです。

    Ubuntuなら、ルーターのセキュリティー設定をちゃんと行っておけば良いだけかな。
    Akira Ohgaki(Linux Salad)

    返信削除
  3. 必要ありません!って言いきられちゃうのは結構過激ですね(汗汗
    外部向けサーバとかじゃなければ、そう言ってもそれほど問題ない気はします。
    すでに知ってらしたら、聞き流してほしいのですが、Firestarterはgutyではメモリエラーで落ちるバグがあります。
    https://bugs.launchpad.net/firestarter/+bug/120445
    ここで議論されているように、
    「G_SLICE=always-malloc gksu /usr/sbin/firestarter」
    と実行すれば自分のPCでは効果がありました。

    返信削除
  4. では次は「アンチウイルスソフトは必要ありません!」かな。haha. でも、そう、外部向けサーバーなら常に対策は必要ですね。

    それから、Firestarterの情報ありがとうございます!これはアップデートで改善されるとよいですね。
    Akira Ohgaki(Linux Salad)

    返信削除
  5. 匿名3/09/2008

    「ファイヤーウォールツールは必要ありません」と言ってるだけで,Ubuntuではもちろんファイヤーウォール(iptables)は動いている.ファイヤーウォールツールというのは,ファイヤーウォールを簡単にセットアップするためのツールのこと.なので外部向けサーバでも同じこと.

    返信削除
  6. Yes, ファイアウォールは容易です。Ubuntuのデスクトップバージョンを外部向けサーバーに利用する場合、パケットのコントロールやセキュリティー自体に気を配ってください。
    Akira Ohgaki(Linux Salad)

    返信削除
  7. 勘違いしてる人が多いですが、
    Ubuntuのiptableは標準で空ですよ

    sudo iptables -L
    で確認して下さい

    全てiptableで閉じているなんて誤認識していると痛い目に合いますので・・・

    返信削除
  8. haha..私の話の仕方に問題がありますね。

    iptablesの設定は標準で空です。明示的に設定が無い場合システム側で不正なプロセスは無視されます。もちろん外へ向かうポートは有効です。

    私に可能な範囲でセキュリティーについてツールや設定の話をしようとも考えましたが、人の行動に目を向けると標準の状態を維持するように話を進めたほうが結果的にはセキュアでいてもらえる確立が高いようです。

    なんだかセキュリティーが不安だ -> ツールを導入 -> Webや本で調べたことを全て適用 -> 設定ミス -> セキュアではない

    こんなふうに。知識や技術の話ではなくて人間を考えています。
    Akira Ohgaki(Linux Salad)

    返信削除
  9. 人間に頼りすぎることには抵抗があります。
    設定ミスをするとしたら、どういうミスが多いのか、とか、どうしたらミスを防ぐことができるか、を考えるべきだと思います。
    最終的に精神論に行きそうな議論はなんとなくすっきりしません。実際にポートを開けることは必要なので、結論は具体性を持ったものにしたいです。

    返信削除
  10. 匿名さん
    OK, 私は学び成長するでしょう。あなたには名前がないけれど、真面目なひとだということがわかります。

    とりあえず、気を楽にして単純に話を楽しんで。
    Akira Ohgaki(Linux Salad)

    返信削除
  11. 匿名2/07/2009

    こんにちは、 Ubuntu8.1二日目の素人です。
    Firestarterをインストールして起動しようとすると
    eth0を検出していて動作しているにもかかわらず
    「eth0の準備ができていません」エラーになります。
    リブートして起動させたらDNSが働かなくなってネット接続できませんでした。
    接続はADSLで常時接続、ルーターからのDHCPでアドレスを取っています。inetdconfを直接書き換えないと駄目なんでしょうか。

    返信削除
  12. Firestarterの設定スクリプト(/etc/firestarter/firestarter.sh)で「External network interface data」セクションの箇所を修正すれば良いのだけれど...それだと手間がかかりますね。
    Ubuntu8.04以降ではFirestarterではなくufwで設定すると良いかもしれません。
    ufwでファイアーウォールを設定
    Akira Ohgaki(Linux Salad)

    返信削除