Linux はセキュリティが優れていることでよく知られていますがデフォルトの状態では話が違います。ディストリビューションによっては全くセキュリティ設定が行われていません。なので最低限のセキュリティを確保するために自分でファイヤーウォールや AppArmor の設定を行う必要があります。特にデスクトップ用途だとおろそかになりがちです。
Linuxデスクトップはユーザが少なく的が小さいので攻撃対象にされる確率は低いですが、万が一に備えて守りを固めておくに越したことはありません。
本ページでは簡単なファイヤーウォールの設定方法を解説します。
ファイヤーウォールを導入する意義
ファイヤーウォールを導入することでポートの管理を行えます。ポートとは物理的なものではなく、プログラムやサービスが使う理論的な接続プロトコルです。
複雑そうに聞こえますが、Linux でファイヤーウォールの設定を行うのは Windows のそれに比べて遥かに簡単です。
1. ファイヤーウォールのインストール
firewalld などの高機能なツールもありますが使い方が面倒です。本ページでは設定が簡単な iptables の簡易フロントエンド「UFW(Uncomplicated FireWall)」を使ってサクッと設定します。UFW にはグラフィカルインターフェイスもあるのでそちらを使うのも良いでしよう。
以下、インストールコマンドです。
- Arch
$ sudo pacman -S ufw- Ubuntu / Debian
Ubuntuでは初期からインストールされていますが、非アクティブ状態です。
$ sudo apt install ufw- Fedora / Red Hat
$ sudo dnf install ufw2. CUI で操作・設定
スタータスの確認
UFW の稼働状況を確認します。
$ sudo ufw status - 実行結果
Status: inactiveご覧の通り、インストールしただけでは動いていません。
ファイヤーウォールの有効化
$ sudo ufw enableFirewall is active and enabled on system startupファイヤーウォールが有効化され、システム起動時にも実行されるようになりました。
推奨設定
以下が筆者の考える最低限の設定です。一般的に使われるであろうアプリケーションが必要なポート以外へのアクセスをすべて禁止します。
# 22 番ポートへのアクセスを制限
sudo ufw limit 22/tcp
# 80 番ポートを開放
sudo ufw allow 80/tcp
# 443 番ポートの開放
sudo ufw allow 443/tcp
# 上記の例外以外すべての受信を拒否し、すべての送信を許可
sudo ufw default deny incoming
sudo ufw default allow outgoingSSH によく使われる 22 ポートは多くの攻撃ベクトルになってしまうことがあります。 limit に設定することで失敗したアクセスが5〜10回起こるとその通信元からのアクセスをブロックできるよう制限します。
80 番ポートは HTTP が使用するポートで、 443番 は HTTPS を利用するためのポートです。これらのポート開放は完全に安全であると断定はできませんが、開放しないとウェブページとの通信ができません。
- 実行結果
※ゲームによってはポートを開放しなければならないこともあるため、ゲーム公式のオンライン・マニュアルを確認しましょう。
設定を適用したら、もう一度スタータスを確認しましよう。
$ sudo ufw status- 実行結果
ファイヤーウォールをリロード
さきほど設定した内容を適用するため、ファイヤーウォールをリロードします。
$ sudo ufw reloadFirewall reloaded以上のように表示されれば完了です。
3. GUIでの操作・設定
UFWにはGUIフロントエンドがあります。これを使うことによって簡単にファイヤーウォールの設定を行うことができます。
ほとんどのディストリビューションでは gufw というパッケージ名です。
使い方はご覧の通り簡単です・
- Status スライダーをスライドして有効化します。
- Incoming と Outgoing で受信送信設定を行います。
- 右下の+ボタンを押してルールを追加します。
- 消したいルールはーボタンを押します。
おわり
- 素材もと
- Photo by Mark König on Unsplash
コメント