[Linux] UFWで最低限のファイヤーウォールを設定する

Linux はセキュリティが優れていることでよく知られていますがデフォルトの状態では話が違います。ディストリビューションによっては全くセキュリティ設定が行われていません。なので最低限のセキュリティを確保するために自分でファイヤーウォールや AppArmor の設定を行う必要があります。特にデスクトップ用途だとおろそかになりがちです。

Linuxデスクトップはユーザが少なく的が小さいので攻撃対象にされる確率は低いですが、万が一に備えて守りを固めておくに越したことはありません。

本ページでは簡単なファイヤーウォールの設定方法を解説します。

ファイヤーウォールを導入する意義
1. ファイヤーウォールのインストール
2. CUI で操作・設定
3. GUIでの操作・設定

ファイヤーウォールを導入する意義

ファイヤーウォールとは防火壁を意味する言葉で、IT用語ではルールに従ってコンピューターネットワークの通信を管理する機能です。この機能を正しく設定できれば不正なアクセスや攻撃をある程度防げます。検問所を設けるようなものです。

コンピューターネットワークにはポートと呼ばれる大量の仮想通信口があります。この仮想プロトコルを通じてインターネットやその他のネットワークと接続しています。ポートとは港や空港を意味する言葉でこの港に発着するデータを管理するのがファイヤーウォールの役割です。

それぞれ通信するデータの種類やプログラムごとに使うポート番号がなんとなく割り振られます。空港で乗客はこっちの出入り口、ファーストクラスはこっち、貨物はこっちというように割り振れているのと同じようなものです。そんな中で使わない出入り口を塞いだり、一方通行にしたりすることでセキュリティを強化します。

複雑そうに聞こえますが、Linux でファイヤーウォールの設定を行うのは Windows のそれに比べて遥かに簡単です。

1. ファイヤーウォールのインストール

firewalld などの高機能なツールもありますが使い方が面倒です。本ページでは設定が簡単な iptables の簡易フロントエンド「UFW（Uncomplicated FireWall）」を使ってサクッと設定します。UFW にはグラフィカルインターフェイスもあるのでそちらを使うのも良いでしよう。

以下、インストールコマンドです。

Arch

$ sudo pacman -S ufw

Ubuntu / Debian

Ubuntuでは初期からインストールされていますが、非アクティブ状態です。

$ sudo apt install ufw

Fedora / Red Hat

$ sudo dnf install ufw

2. CUI で操作・設定

スタータスの確認

UFW の稼働状況を確認します。

$ sudo ufw status

実行結果

Status: inactive

ご覧の通り、インストールしただけでは動いていません。

ファイヤーウォールの有効化

$ sudo ufw enable

Firewall is active and enabled on system startup

ファイヤーウォールが有効化され、システム起動時にも実行されるようになりました。

推奨設定

以下が筆者の考える最低限の設定です。一般的に使われるであろうアプリケーションが必要なポート以外へのアクセスをすべて禁止します。

# 22 番ポートへのアクセスを制限
sudo ufw limit 22/tcp
# 80 番ポートを開放
sudo ufw allow 80/tcp
# 443 番ポートの開放
sudo ufw allow 443/tcp
# 上記の例外以外すべての受信を拒否し、すべての送信を許可
sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH によく使われる 22 ポートは多くの攻撃ベクトルになってしまうことがあります。 limit に設定することで失敗したアクセスが5〜10回起こるとその通信元からのアクセスをブロックできるよう制限します。

80 番ポートは HTTP が使用するポートで、 443番は HTTPS を利用するためのポートです。これらのポート開放は完全に安全であると断定はできませんが、開放しないとウェブページとの通信ができません。