[Linux] UFWで最低限のファイヤーウォールを設定する

Linux
この記事は約4分で読めます。

※当サイトはアフィリエイトからの広告収入で運営されており、広告が表示される場合があります。

Linux はセキュリティが優れていることでよく知られていますが、 素の状態では話が違います。ディストリビューションによっては全くセキュリティ設定が行われていません。なので最低限のセキュリティを確保するために自分でファイヤーウォールや AppArmor の設定を行う必要があります。特にデスクトップ用途だとおろそかになりがちです。

まあ Linuxデスクトップはユーザが少なく、的が小さいので攻撃対象にされる確率は低いでしよう。ですが、万が一に備えて守りを固めておくに越したことはありません。

本ページでは簡単なファイヤーウォールの設定方法を解説します。

ファイヤーウォールを導入する意義

ファイヤーウォールを導入することでポートの管理を行えます。ポートとは物理的なものではなく、プログラムやサービスが使う理論的な接続プロトコルです。

複雑そうに聞こえますが、Linux でファイヤーウォールの設定を行うのは Windows のそれに比べて遥かに簡単です。

1. ファイヤーウォールのインストール

firewalld などの高機能なツールもありますが使い方が面倒です。そこで iptables の簡易フロントエンドである「UFW(Uncomplicated FireWall)」を使ってサクッと設定します。UFW にはグラフィカルインターフェイスもあるのでそちらを使うのも良いでしよう。

以下、インストールコマンドです。

  • Arch
$ sudo pacman -S ufw
  • Ubuntu / Debian

Ubuntuでは初期からインストールされていますが、非アクティブ状態です。

$ sudo apt install ufw
  • Fedora / Red Hat
$ sudo dnf install ufw

2. CUI で操作・設定

スタータスの確認

UFW の稼働状況を確認します。

$ sudo ufw status 
  • 実行結果
Status: inactive

ご覧の通り、インストールしただけでは動いていません。

ファイヤーウォールの有効化

$ sudo ufw enable
Firewall is active and enabled on system startup

ファイヤーウォールが有効化され、システム起動時にも実行されるようになりました。

推奨設定

以下が筆者の考える最低限の設定です。一般的に使われるであろうアプリケーションが必要なポート以外へのアクセスをすべて禁止します。

# 22 番ポートへのアクセスを制限
sudo ufw limit 22/tcp
# 80 番ポートを開放
sudo ufw allow 80/tcp
# 443 番ポートの開放
sudo ufw allow 443/tcp
# 上記の例外以外すべての受信を拒否し、すべての送信を許可
sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH によく使われる 22 ポートは多くの攻撃ベクトルになってしまうことがあります。 limit に設定することで失敗したアクセスが5〜10回起こるとその通信元からのアクセスをブロックできるよう制限します。

80 番ポートは HTTP が使用するポートで、 443番 は HTTPS を利用するためのポートです。これらのポート開放は完全に安全であると断定はできませんが、開放しないとウェブページとの通信ができません。

  • 実行結果
ufw Ubuntu

※ゲームによってはポートを開放しなければならないこともあるため、ゲーム公式のオンライン・マニュアルを確認しましょう。

設定を適用したら、もう一度スタータスを確認しましよう。

$ sudo ufw status
  • 実行結果
ufw Ubuntu status

ファイヤーウォールをリロード

さきほど設定した内容を適用するため、ファイヤーウォールをリロードします。

$ sudo ufw reload
Firewall reloaded

以上のように表示されれば完了です。

3. GUIでの操作・設定

UFWにはGUIフロントエンドがあります。これを使うことによって簡単にファイヤーウォールの設定を行うことができます。

ほとんどのディストリビューションでは gufw というパッケージ名です。

使い方はご覧の通り簡単です・

  • Status スライダーをスライドして有効化します。
  • Incoming と Outgoing で受信送信設定を行います。
  • 右下の+ボタンを押してルールを追加します。
  • 消したいルールはーボタンを押します。

おわり

素材もと

Photo by Mark König on Unsplash

コメント