[Linux] UFWで最低限のファイヤーウォールを設定する

※当サイトは広告収入で運営されているため広告が表示される場合があります。

Linux はセキュリティが優れていることでよく知られていますがデフォルトの状態では話が違います。ディストリビューションによっては全くセキュリティ設定が行われていません。なので最低限のセキュリティを確保するために自分でファイヤーウォールや AppArmor の設定を行う必要があります。特にデスクトップ用途だとおろそかになりがちです。

Linuxデスクトップはユーザが少なく的が小さいので攻撃対象にされる確率は低いですが、万が一に備えて守りを固めておくに越したことはありません。

本ページでは簡単なファイヤーウォールの設定方法を解説します。

ファイヤーウォールを導入する意義

ファイヤーウォールとは防火壁を意味する言葉で、IT用語ではルールに従ってコンピューターネットワークの通信を管理する機能です。この機能を正しく設定できれば不正なアクセスや攻撃をある程度防げます。検問所を設けるようなものです。

コンピューターネットワークにはポートと呼ばれる大量の仮想通信口があります。この仮想プロトコルを通じてインターネットやその他のネットワークと接続しています。ポートとは港や空港を意味する言葉でこの港に発着するデータを管理するのがファイヤーウォールの役割です。

それぞれ通信するデータの種類やプログラムごとに使うポート番号がなんとなく割り振られます。空港で乗客はこっちの出入り口、ファーストクラスはこっち、貨物はこっちというように割り振れているのと同じようなものです。そんな中で使わない出入り口を塞いだり、一方通行にしたりすることでセキュリティを強化します。

複雑そうに聞こえますが、Linux でファイヤーウォールの設定を行うのは Windows のそれに比べて遥かに簡単です。

1. ファイヤーウォールのインストール

firewalld などの高機能なツールもありますが使い方が面倒です。本ページでは設定が簡単な iptables の簡易フロントエンド「UFW(Uncomplicated FireWall)」を使ってサクッと設定します。UFW にはグラフィカルインターフェイスもあるのでそちらを使うのも良いでしよう。

以下、インストールコマンドです。

  • Arch
$ sudo pacman -S ufw
  • Ubuntu / Debian

Ubuntuでは初期からインストールされていますが、非アクティブ状態です。

$ sudo apt install ufw
  • Fedora / Red Hat
$ sudo dnf install ufw

2. CUI で操作・設定

スタータスの確認

UFW の稼働状況を確認します。

$ sudo ufw status 
  • 実行結果
Status: inactive

ご覧の通り、インストールしただけでは動いていません。

ファイヤーウォールの有効化

$ sudo ufw enable
Firewall is active and enabled on system startup

ファイヤーウォールが有効化され、システム起動時にも実行されるようになりました。

推奨設定

以下が筆者の考える最低限の設定です。一般的に使われるであろうアプリケーションが必要なポート以外へのアクセスをすべて禁止します。

# 22 番ポートへのアクセスを制限
sudo ufw limit 22/tcp
# 80 番ポートを開放
sudo ufw allow 80/tcp
# 443 番ポートの開放
sudo ufw allow 443/tcp
# 上記の例外以外すべての受信を拒否し、すべての送信を許可
sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH によく使われる 22 ポートは多くの攻撃ベクトルになってしまうことがあります。 limit に設定することで失敗したアクセスが5〜10回起こるとその通信元からのアクセスをブロックできるよう制限します。

80 番ポートは HTTP が使用するポートで、 443番 は HTTPS を利用するためのポートです。これらのポート開放は完全に安全であると断定はできませんが、開放しないとウェブページとの通信ができません。

  • 実行結果

※ゲームによってはポートを開放しなければならないこともあるため、ゲーム公式のオンライン・マニュアルを確認しましょう。

設定を適用したら、もう一度スタータスを確認しましよう。

$ sudo ufw status
  • 実行結果

ファイヤーウォールをリロード

さきほど設定した内容を適用するため、ファイヤーウォールをリロードします。

$ sudo ufw reload
Firewall reloaded

以上のように表示されれば完了です。

3. GUIでの操作・設定

UFWにはGUIフロントエンドがあります。これを使うことによって簡単にファイヤーウォールの設定を行うことができます。

ほとんどのディストリビューションでは gufw というパッケージ名です。

使い方はご覧の通り簡単です・

  • Status スライダーをスライドして有効化します。
  • Incoming と Outgoing で受信送信設定を行います。
  • 右下の+ボタンを押してルールを追加します。
  • 消したいルールはーボタンを押します。

おわり

コメント

タイトルとURLをコピーしました