Настройка фаервола в Ubuntu с помощью утилиты UFW

2018 год был замечательным годом для многих приложений, особенно для бесплатных и с открытым исходным кодом. И хотя различные дистрибутивы Linux поставляются с рядом приложений по умолчанию, пользователи могут свободно брать и использовать любые бесплатные или платные альтернативы по своему выбору.

Менеджер пакетов Synaptic

Это графический инструмент для загрузки и установки ПО из источников приложений для Ubuntu. Synaptic Package Manager показывает список программ, имеющихся в этих источниках, и позволяет пользователю Ubuntu выбрать и установить необходимые программы в несколько кликов.

1

Выберите в главном меню пункт «Администрирование → Менеджер пакетов Synaptic» («Synaptic Package Manager») и просмотрите имеющиеся там категории программ, либо воспользуйтесь быстрым поиском, если вы достаточно четко представляете, что вы ищете:

Менеджер пакетов Synaptic

2

Вы можете пометить для установки несколько приложений и установить сразу их все, нажав кнопку «Применить». Понадобится некоторое время (зависит от объема скачиваемых файлов и вашей скорости соединения с интернет), в течение которого система скачает и установит выбранные вами приложения, а также все необходимые для них библиотеки и зависимости.

Что предлагает Linux

Скриншот может быть сделан с использованием стандартных инструментов ОС. Для этого предусмотрена специальная клавиша, расположенная на клавиатуре с названием «Print Screen». Алгоритм действий следующий:

  • Найти интересующую информацию на мониторе.
  • При нажатии кнопки «Prt Scr» выполнится захват всего экрана.
  • При необходимости снимка окна необходимо сделать его активным, затем использовать комбинацию клавиш Alt + Prnt Screen.
  • Чтобы захватить определенный фрагмент информации, нужно выполнить сочетание Shift + Prt Scr, далее нажать и удерживать левую кнопку мыши, указывая область захвата.
Что предлагает Linux

Дополнительно в окружении рабочего стола имеется особая утилита. В KDE – KSnapShot, GNOME – Gnome-Screenshot, XFCe – XFCe4-screenshoter, Ubunty – Снимок экрана и так далее.

Что есть Ubuntu, что есть Linux и какая между ними связь

Есть опе­ра­ци­он­ная систе­ма Linux — это про­грам­ма, кото­рая рабо­та­ет как про­слой­ка меж­ду поль­зо­ва­те­лем, про­грам­ма­ми и ком­пью­тер­ным желе­зом. Она суще­ству­ет наравне с Windows и дру­ги­ми опе­ра­ци­он­ка­ми. В Linux мож­но управ­лять фай­ла­ми, запус­кать про­грам­мы и делать дела.

На раз­ных вер­си­ях Linux рабо­та­ет огром­ное коли­че­ство сер­ве­ров, смарт­фо­нов и ком­пью­те­ров по все­му миру. Напри­мер, по раз­ным под­счё­там, от 70 до 90% сер­ве­ров в мире рабо­та­ют на Linux. Linux любят за гиб­кость, ско­рость и глу­би­ну настройки.

Читайте также:  Лучшие дистрибутивы Linux для ноутбука 2018

На осно­ве Linux дела­ют мно­го моди­фи­ка­ций и дис­три­бу­ти­вов. Дис­три­бу­тив — это как пода­роч­ный набор: в него может вхо­дить сама опе­ра­ци­он­ка, какой-то набор про­грамм и драй­ве­ров, гра­фи­че­ская обо­лоч­ка, может быть, даже игры. Напри­мер, в дис­три­бу­ти­ве Raspbian, кото­рый обыч­но ста­вят на мини­ком­пью­те­ры на Raspberry Pi, сра­зу уста­нов­ле­ны сре­ды для программирования.

Ubuntu — это один из дис­три­бу­ти­вов Линук­са, ори­ен­ти­ро­ван­ный на про­стых людей, кото­рым нуж­но делать про­стые люд­ские дела. Там есть гра­фи­че­ский интер­фейс и офис­ные программы.

Ска­чи­ва­ет­ся здесь:

Устанавливаем набор программ LAMP в Ubuntu

Поскольку формат данной статьи уже подразумевает, что у вас на компьютере имеется установленная Ubuntu, мы пропустим этот шаг и перейдем сразу к другим программам, однако вы можете найти инструкции по интересующей вас теме, ознакомившись с другими нашими статьями по следующим ссылкам.

Подробнее: Установка Ubuntu на VirtualBox Пошаговое руководство по установке Линукс с флешки

Шаг 1: Установка Apache

Начнем с инсталляции открытого веб-сервера под названием Apache. Он является одним из лучших вариантом, поэтому становится выбором многих пользователей. В Ubuntu он ставится через «Терминал»:

Шаг 2: Установка MySQL

Вторым действием будет добавление базы данных MySQL, что также производится через стандартную консоль с помощью имеющихся в системе команд.

  1. Первоочередно в «Терминале» напишите sudo apt-get install mysql-server и нажмите на Enter.
  2. Подтвердите добавление новых файлов.
  3. Обязательно следует обезопасить использование окружения MySQL, поэтому обеспечьте защиту с помощью отдельного дополнения, которое устанавливается через sudo mysql_secure_installation.
  4. Установка настроек плагина для требований паролей не имеет единой инструкции, поскольку каждый пользователь отталкивается от собственных решений в плане валидации. Если хотите инсталлировать требования, введите в консоль y при запросе.
  5. Далее потребуется выбрать уровень защиты. Сначала ознакомьтесь с описанием каждого параметра, а затем выберите наиболее подходящий.
  6. Установите новый пароль для обеспечения рут-доступа.
  7. Далее перед вами будут отображаться различные настройки безопасности, прочтите их и примите или откажитесь, если посчитаете это необходимым.

С описанием другого метода инсталляции советуем ознакомиться в отдельной нашей статье, которую вы найдете по следующей ссылке.

Шаг 3: Установка PHP

Последним шагом для обеспечения нормального функционирования системы LAMP является инсталляция компонентов PHP. В осуществлении этого процесса нет ничего сложного, нужно лишь использовать одну из доступных команд, а затем настроить работу самого дополнения.

  1. В «Терминале» пропишите команду sudo apt-get install php7.0 libapache2-mod-php7.0 для установки необходимых компонентов в том случае, если вам необходима версия 7.
  2. Иногда приведенная выше команда оказывается нерабочей, поэтому используйте sudo apt install php или sudo apt install hhvm, чтобы инсталлировать последнюю доступную версию 7.2.
  3. По завершении процедуры убедитесь в том, что инсталлировалась правильная сборка, прописав в консоли php -v.
  4. Управление базами данных и реализация веб-интерфейса осуществляется с помощью бесплатного инструмента PHPmyadmin, который также желательно установить во время настройки LAMP. Для начала введите команду sudo apt-get install phpmyadmin php-mbstring php-gettext.
  5. Подтвердите добавление новых файлов, выбрав соответствующий вариант.
  6. Укажите веб-сервер «Apache2» и нажмите на «ОК».
  7. Вам предложат настроить базу данных через специальную команду, если это нужно, выберите положительный вариант ответа.
  8. Придумайте пароль для регистрации на сервере баз данных, после чего его нужно будет подтвердить путем повторного ввода.
  9. По умолчанию вы не сможете войти в PHPmyadmin от имени пользователя с рут-доступом или через TPC-интерфейсы, поэтому нужно отключить блокирующую утилиту. Активируйте права рут через команду sudo -i.
  10. Проведите отключение, введя echo «update user set plugin=» where User=’root’; flush privileges;» | mysql -u root -p mysql.
Читайте также:  Сбор метрик для мониторинга работы контейнеров в среде Docker

На этом процедуру инсталляции и настройки PHP для LAMP можно считать успешно завершенной.

Перезапуск кластера

Если каким-то образом все узлы кластера оказались выключены, вы должны повторить процедуру инициализации. Если серверы MariaDB будут запущены обычным образом, то сборка кластера не произойдет. Первый сервер вы должны запустить с помощью команды sudo galera_new_cluster.

Теперь, когда ваш кластер работает вы можете захотеть повысить его сетевую безопасность за счет шифрования трафика между серверами Galera и между клиентами и кластером. Читайте об этом подробнее в нашем пошаговом руководстве по настройке SSL-шифрования в Galera.

Как выполнить отключение аутентификации по паролю

Для отключения возможности входа по паролю необходимо в файле /etc/ssh/sshd_config отредактировать значение PasswordAuthentication и присвоить no.

После изменения настроек перезагружаем службу SSH:

Как выполнить отключение аутентификации по паролю

# sudo systemctl restart ssh

Теперь при попытке подключения пользователем, для которого не определена пара ключей, будет выдаваться ошибка подключения.

При этом подключение при помощи ключа будет успешным.

Как выполнить отключение аутентификации по паролю

Отключение доступа паролю — верная стратегия повышения безопасности сервера. Особенно в публичных облаках. Однако, если ключ будет утерян, это станет серьезной проблемой. Поэтому важно его хранить в надежном месте или пользоваться специализированными инструментами, например, аппаратным устройством Yubikey.

Уменьшить размер системных журналов (логов) Ubuntu

Ubuntu ведет целую кучу журналов. Как общесистемных, так и журналов отдельных программ и служб.

Как правило все эти журналы хранятся в папке /var/log. Если эта папка размещена на разделе root (/) то в некоторых случаях возможно такое увеличение размера этой папки, что будет забито все свободное место на разделе root, вплоть до невозможности запуска операционной системы. Это нетипичная ситуация, но такое случается.

Читайте также:  7 фактов, почему iPhone больше не лучший смартфон

Поэтому лучше настроить систему хранения журналов таким образом, чтобы максимально снизить объем хранимой информации.

Делать это правильнее через настройку специальной программы logrotate. Эта программа удаляет архивные копии журналов с указанной периодичностью. Настройки программы хранятся в папке /etc/logrotate.d. Каждый файл в этой папке определяет управление журналами конкретной программы. Например файл /etc/logrotate.d/rsyslog это управление системными журналами. Для уменьшения размера хранимых журналов, в этих файлах нужно указать параметры rotate 0 и daily. Можно также добавить и ограничение по размеру журнала, например size 10M (10 мегабайт).

sudo gedit /etc/logrotate.d/rsyslog

И затем отредактировать этот файл. Так же можно сделать с другими файлами в этой папке. Можно изменить глобальные настройки для программы logrotate, через файл /etc/

После изменения настроек ротации журналов, можно удалить все старые журналы (логи). Команда в терминале:

sudo find /var/log -type f -name "*.gz" -delete

Как запретить соединения в UFW

По умолчанию UFW настроен запрещать все входящие соединения.

а) IP-адрес/подсеть

Если мы хотим заблокировать некоторые конкретные адреса IP-доступа, то мы можем сделать это с помощью следующей команды:

ufw deny from

Это будет блокировать все входящие соединения от хоста с IP-адресом

Далее заблокируем всю подсеть:

ufw deny from

Это будет блокировать все соединения, поступающие из этой подсети.

б) Запретить порты и приложения

Запретить порт или услугу

ufw deny 80/tcp

или

ufw deny httpsudo ufw deny 1500:2000/tcp * Запрет диапазонов портов *