A segurança é crucial quando você executa seu próprio servidor. Você quer ter certeza de que apenas usuários autorizados possam acessar seu servidor, configuração e serviços.
No Ubuntu, existe um firewall que vem pré-carregado. É chamado UFW (Ubuntu-Firewall). Embora o UFW seja um firewall bastante básico, ele é amigável, se destaca no tráfego de filtragem e possui boa documentação. Algum conhecimento básico do Linux deve ser suficiente para configurar esse firewall sozinho.
Instalar o UFW
Observe que o UFW é normalmente instalado por padrão no Ubuntu. Mas se qualquer coisa, você pode instalá-lo você mesmo. Para instalar o UFW, execute o seguinte comando.
sudo apt-get install ufw
Permitir conexões
Se você está executando um servidor web, você obviamente quer que o mundo seja capaz de acessar seu (s) site (s). Portanto, você precisa ter certeza de que a porta TCP padrão da web esteja aberta.
sudo ufw allow 80/tcp
Em geral, você pode permitir qualquer porta necessária usando o seguinte formato:
sudo ufw allow <port>/<optional: protocol>
Negar conexões
Se você precisar negar o acesso a uma certa porta, use isto:
sudo ufw deny <port>/<optional: protocol>
Por exemplo, vamos negar o acesso à nossa porta padrão do MySQL.
sudo ufw deny 3306
O UFW também suporta uma sintaxe simplificada para as portas de serviço mais comuns.
[email protected]:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)
É altamente recomendado restringir o acesso à sua porta SSH (por padrão, a porta 22) de qualquer lugar, exceto seus endereços IP confiáveis (por exemplo: office ou home).
Permitir acesso de um endereço IP confiável
Normalmente, você precisaria permitir o acesso somente a portas abertas publicamente, como a porta 80. O acesso a todas as outras portas precisa ser restrito ou limitado. Você pode colocar na lista branca o endereço IP da sua casa / escritório (de preferência, é um IP estático) para poder acessar seu servidor através de SSH ou FTP.
sudo ufw allow from 192.168.0.1 to any port 22
Vamos também permitir o acesso à porta do MySQL.
sudo ufw allow from 192.168.0.1 to any port 3306
Parece melhor agora. Vamos continuar.
Ativar UFW
Antes de ativar (ou restaurar) o UFW, você precisa garantir que a porta SSH receba conexões do seu endereço IP. Para iniciar / ativar seu firewall UFW, use o seguinte comando:
sudo ufw enable
Você verá isto:
[email protected]:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
Digite Y e pressione Enter para ativar o firewall.
Firewall is active and enabled on system startup
Verifique o status do UFW
Dê uma olhada em todas as suas regras.
sudo ufw status
Você verá uma saída semelhante à seguinte.
sudo ufw status
Firewall loaded
To Action From
-- ------ ----
22:tcp ALLOW 192.168.0.1
22:tcp DENY ANYWHERE
Use o parâmetro “verbose” para ver um relatório de status mais detalhado.
sudo ufw status verbose
Desativar / recarregar / reiniciar o UFW
Para desabilitar (interromper) o UFW, execute este comando.
sudo ufw disable
Se você precisar recarregar o UFW (recarregar regras), execute o seguinte.
sudo ufw reload
Para reiniciar o UFW, você precisará desativá-lo primeiro e habilitá-lo novamente.
sudo ufw disable
sudo ufw enable
Novamente, antes de ativar o UFW, certifique-se de que a porta SSH seja permitida para o seu endereço IP.
Removendo regras
Para gerenciar suas regras do UFW, você precisa listá-las. Você pode fazer isso verificando o status do UFW com o parâmetro “numerado”. Você verá uma saída semelhante à seguinte.
[email protected]:~$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 192.168.0.1
[ 2] 80 ALLOW IN Anywhere
[ 3] 3306 ALLOW IN 192.168.0.1
[ 4] 22 DENY IN Anywhere
Notado os números entre colchetes? Agora, para remover qualquer uma dessas regras, você precisará usar esses números.
sudo ufw delete [number]
Ativando o suporte a IPv6
Se você usar o IPv6 no seu VPS, precisará garantir que o suporte ao IPv6 esteja habilitado no UFW. Para fazer isso, abra o arquivo de configuração em um editor de texto.
sudo nano /etc/default/ufw
Depois de aberto, verifique se IPV6
está definido como “yes”:
IPV6=yes
Depois de fazer essa alteração, salve o arquivo. Em seguida, reinicie o UFW desabilitando e reativando-o.
sudo ufw disable
sudo ufw enable
De volta às configurações padrão
Se você precisar voltar às configurações padrão, basta digitar o seguinte comando. Isso reverterá qualquer uma das suas alterações.
sudo ufw reset
Conclusão
No geral, o UFW é capaz de proteger seu VPS contra as tentativas de invasão mais comuns. Naturalmente, suas medidas de segurança devem ser mais detalhadas do que apenas usar o UFW. No entanto, é um bom começo (e necessário).
Se você precisar de mais exemplos de uso do UFW, consulte o UFW – Community Help Wiki .