Tech

A tűzfal beállításának alapjai egy Linux alapú VPS-en

iranyonline 0

Egy Linux alapú VPS (Virtuális Magánszerver) üzemeltetése rendkívüli rugalmasságot és teljesítményt kínál, de ezzel együtt jár a jelentős felelősség is a biztonság terén. Ahogy az otthonunkat is védjük zárakkal és riasztórendszerekkel, úgy a szerverünket is óvnunk kell a rosszindulatú támadásoktól és a jogosulatlan hozzáféréstől. Ennek az alapköve a tűzfal.

Ebben az átfogó útmutatóban lépésről lépésre bemutatjuk, hogyan állíthat be és konfigurálhat egy tűzfalat a Linux VPS-én. Megvizsgáljuk a leggyakoribb eszközöket, mint az UFW és a Firewalld, de betekintést nyújtunk az alapul szolgáló iptables működésébe is. Célunk, hogy Ön képes legyen hatékonyan védeni szerverét, még akkor is, ha most ismerkedik a tűzfalak világával.

Miért Elengedhetetlen a Tűzfal egy Linux VPS-en?

A VPS-e, amint online állapotba kerül, azonnal ki van téve az internetnek. Ez azt jelenti, hogy a világ bármely pontjáról megkísérelhetik elérni, legyen szó automatizált botokról, amelyek sebezhetőségeket keresnek, vagy rosszindulatú hackerekről. Egy megfelelően konfigurált tűzfal alapvető védelmi vonalat biztosít, amely:

  • Szűri a bejövő és kimenő forgalmat: Csak a megengedett hálózati csomagok juthatnak át.
  • Blokkolja a jogosulatlan hozzáférési kísérleteket: Megakadályozza, hogy illetéktelenek hozzáférjenek a szerveréhez.
  • Védelmet nyújt a DDoS támadások ellen: Bár nem old meg mindent, segíthet bizonyos típusú terheléses támadások enyhítésében.
  • Minimalizálja a támadási felületet: Csak azokat a portokat tartja nyitva, amelyek feltétlenül szükségesek a szolgáltatások működéséhez.

Képzelje el a tűzfalat, mint egy kapuőrt, aki mindenki belépését és kilépését ellenőrzi. Csak azokat engedi be, akiknek érvényes engedélyük van (azaz a szabályok engedélyezik a hozzáférésüket), és csak azokat engedi ki, akiknek szintén. Enélkül a kapuőr nélkül a szervere egy nyitott kapu lenne a világháló felé.

A Leggyakoribb Linux Tűzfal Eszközök

Linux rendszereken többféle eszköz is létezik a tűzfalak kezelésére. Mindegyik alapja az iptables, amely a Linux kernel beépített csomagszűrő modulja. Az iptables rendkívül erőteljes és rugalmas, de egyben meglehetősen bonyolult is a használata, különösen kezdők számára. Ezért születtek meg a felhasználóbarátabb interfészek:

1. Iptables

Az iptables a Linux tűzfalmotor magja. Közvetlenül manipulálja a kernel csomagszűrő tábláit. Összetett szabályláncokkal és táblákkal dolgozik (INPUT, OUTPUT, FORWARD láncok, filter, nat, mangle táblák). Ha Ön mélyrehatóan szeretné testre szabni a tűzfalat, az iptables elsajátítása elengedhetetlen, de a legtöbb felhasználó számára túl sok részletet igényel.

2. UFW (Uncomplicated Firewall)

Az UFW, ahogy a neve is mutatja („Uncomplicated Firewall”), az iptables egy felhasználóbarát felülete, amelyet az Ubuntu fejlesztett ki. Rendkívül egyszerűvé teszi a tűzfal szabályok kezelését a parancssorból. Az UFW ideális választás kezdőknek és azoknak, akik gyorsan és egyszerűen szeretnék beállítani alapvető tűzfalukat Debian/Ubuntu alapú rendszereken.

3. Firewalld

A Firewalld egy másik dinamikus tűzfal démon, amely az iptables (és újabban az nftables) fölött fut. Gyakran megtalálható Red Hat Enterprise Linux (RHEL), CentOS és Fedora rendszereken. A Firewalld „zónák” koncepciójával dolgozik, amelyek lehetővé teszik a különböző hálózati környezetekhez (pl. nyilvános, otthoni, belső) tartozó szabályok egyszerű kezelését. Ez a megközelítés nagy rugalmasságot biztosít a komplexebb hálózati beállításokban.

Ebben az útmutatóban elsősorban az UFW-re és a Firewalld-ra fogunk fókuszálni, mivel ezek a leggyakrabban használt és leginkább hozzáférhető eszközök.

Előkészületek

Mielőtt bármilyen tűzfal beállítást végezne, győződjön meg a következőkről:

  • SSH hozzáférés: Győződjön meg róla, hogy van működő SSH hozzáférése a VPS-éhez. Fontos!
  • Root vagy sudo jogosultságok: A tűzfal beállításokhoz adminisztrátori jogosultságokra van szükség.
  • VPS konzol hozzáférés: Rendkívül ajánlott, hogy legyen hozzáférése a VPS szolgáltatója által biztosított konzolhoz. Ha véletlenül kizárja magát SSH-ból, ezen keresztül még mindig be tud lépni.
  • Alapszintű Linux parancssori ismeretek: A parancsok futtatásához és a fájlok szerkesztéséhez.

UFW Beállítása (Debian/Ubuntu Alapú Rendszereken)

Az UFW a legegyszerűbb módja annak, hogy tűzfalat konfiguráljon Ubuntu vagy Debian alapú rendszereken. Kövessük a lépéseket:

1. Az UFW telepítése

Ha az UFW nincs előre telepítve a rendszerén, telepítheti a következő parancsokkal:

sudo apt update
sudo apt install ufw

2. Alapértelmezett szabályok beállítása

Az alapértelmezett beállítás az, hogy minden bejövő forgalmat blokkolunk, és minden kimenő forgalmat engedélyezünk. Ez a „deny by default” elv, ami a hálózati védelem egyik alappillére:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Ezzel biztosítja, hogy a szerverről kezdeményezett kapcsolatok működjenek (pl. frissítések letöltése), de kívülről csak a kifejezetten engedélyezett kapcsolatok férjenek hozzá.

3. Alapvető szolgáltatások engedélyezése

Mielőtt engedélyezné az UFW-t, feltétlenül engedélyeznie kell azokat a szolgáltatásokat, amelyeket használni szeretne. Az első és legfontosabb az SSH, különben kizárja magát a szerverről!

  • SSH (22-es port): 
    sudo ufw allow ssh

    Vagy portszám alapján (ha nem a standard portot használja, akkor a portszámot adja meg):

    sudo ufw allow 22/tcp

    Fontos: Ha megváltoztatta az alapértelmezett SSH portot (ami erősen ajánlott biztonsági okokból), akkor ezt a módosított portot engedélyezze!

  • HTTP (80-as port – web szerver): 
    sudo ufw allow http

    Vagy:

    sudo ufw allow 80/tcp
  • HTTPS (443-as port – titkosított web szerver): 
    sudo ufw allow https

    Vagy:

    sudo ufw allow 443/tcp
  • Egyéb gyakori szolgáltatások (példák):
    • FTP (21/tcp): sudo ufw allow 21/tcp
    • MySQL/MariaDB (3306/tcp): sudo ufw allow 3306/tcp
    • PostgreSQL (5432/tcp): sudo ufw allow 5432/tcp
    • DNS (53/udp és 53/tcp, ha DNS szervert futtat): sudo ufw allow 53

4. Az UFW engedélyezése

Miután engedélyezte a kritikus szolgáltatásokat (főleg az SSH-t!), engedélyezze az UFW-t:

sudo ufw enable

A rendszer figyelmeztetni fogja, hogy ez megszakíthatja a meglévő SSH kapcsolatot. Írja be az y-t és nyomja meg az Entert. Ha mindent jól csinált, az SSH kapcsolat nem fog megszakadni.

5. Az UFW állapotának ellenőrzése

Bármikor ellenőrizheti az UFW állapotát és a jelenlegi szabályok listáját:

sudo ufw status verbose

Ez egy listát ad az aktív szabályokról, ami segíthet a hibakeresésben.

6. Szabályok törlése és resetelése

Ha egy szabályt törölni szeretne, először listázza a szabályokat számozással:

sudo ufw status numbered

Majd törölje a megfelelő sorszámú szabályt:

sudo ufw delete [sorszám]

Például: sudo ufw delete 3

Ha teljesen vissza akarja állítani az UFW-t az alapértelmezett állapotba (minden szabály törlése), használja a következő parancsot:

sudo ufw reset

Fontos: A ufw reset parancs futtatása után azonnal futtassa újra az alapértelmezett deny/allow szabályokat, majd az SSH engedélyezését, és csak ezután az ufw enable parancsot, különben kizárhatja magát!

Firewalld Beállítása (RHEL/CentOS Alapú Rendszereken)

A Firewalld a RHEL, CentOS és Fedora rendszerek alapértelmezett tűzfala. A zónák koncepciója miatt rugalmasan alkalmazható.

1. A Firewalld telepítése

Ha nincs telepítve, telepítse a következőképpen:

sudo yum install firewalld   # CentOS 7
sudo dnf install firewalld   # CentOS 8 / Fedora

2. A Firewalld indítása és engedélyezése

Indítsa el a Firewalld szolgáltatást és állítsa be, hogy rendszerindításkor automatikusan elinduljon:

sudo systemctl start firewalld
sudo systemctl enable firewalld

3. A Firewalld állapotának ellenőrzése

Ellenőrizze, hogy a Firewalld fut-e:

sudo systemctl status firewalld

És nézze meg az aktív zónát és a szabályait:

sudo firewall-cmd --get-active-zones
sudo firewall-cmd --list-all --zone=public

Alapértelmezés szerint a public zóna aktív, és csak az SSH szolgáltatás engedélyezett.

4. Szolgáltatások engedélyezése

A Firewalld szolgáltatásokon és portokon keresztül kezeli a hozzáférést. A szabályokat a --permanent kapcsolóval adhatja hozzá, hogy a rendszer újraindítása után is megmaradjanak. Minden változtatás után újra kell tölteni a szabályokat a --reload kapcsolóval.

  • SSH (22-es port): Általában már engedélyezve van a public zónában. Ha mégsem, adja hozzá: 
    sudo firewall-cmd --permanent --add-service=ssh
  • HTTP (80-as port – web szerver): 
    sudo firewall-cmd --permanent --add-service=http
  • HTTPS (443-as port – titkosított web szerver): 
    sudo firewall-cmd --permanent --add-service=https
  • Port alapú engedélyezés (például MySQL): 
    sudo firewall-cmd --permanent --add-port=3306/tcp

Miután hozzáadta a szükséges szabályokat, töltse újra a Firewalld-ot, hogy a változások életbe lépjenek:

sudo firewall-cmd --reload

5. Szabályok eltávolítása

Szolgáltatás eltávolítása:

sudo firewall-cmd --permanent --remove-service=http
sudo firewall-cmd --reload

Port eltávolítása:

sudo firewall-cmd --permanent --remove-port=3306/tcp
sudo firewall-cmd --reload

Speciálisabb Tűzfal Koncepciók (Iptables áttekintés)

Az UFW és a Firewalld nagyszerűen végzik a dolgukat a legtöbb felhasználó számára, de fontos tudni, hogy az iptables a háttérben dolgozik. Az iptables közvetlenül az operációs rendszer kernelével kommunikál, és sokkal finomabb kontrollt biztosít a hálózati forgalom felett. Néhány alapvető iptables koncepció:

  • Láncok (Chains): Az iptables szabályokat láncokba csoportosítja. A leggyakoribbak:
    • INPUT: A szerverre érkező csomagok.
    • OUTPUT: A szerverről induló csomagok.
    • FORWARD: A szerveren keresztülirányított csomagok (ha a VPS routerként működik).
  • Táblák (Tables): Az iptables különböző táblákat használ a különböző típusú csomagfeldolgozáshoz. A legfontosabb a filter tábla, amely a csomagszűrésért felel.
  • Szabályok (Rules): Minden szabály egy feltételből és egy akcióból áll. Például: „Ha egy TCP csomag érkezik a 22-es portra, akkor engedélyezd (ACCEPT)”.

Példa egy alapvető iptables szabályra:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT   # Engedélyezi a bejövő SSH-t
sudo iptables -A INPUT -j DROP                     # Minden más bejövő forgalmat eldob

Az iptables szabályok alapértelmezés szerint nem perzisztensek, azaz újraindításkor elvesznek. Megmentésükhöz olyan csomagokra van szükség, mint az iptables-persistent (Debian/Ubuntu) vagy a firewalld (amely kezeli ezt a perzisztenciát RHEL/CentOS-en).

A legtöbb esetben érdemes az UFW vagy Firewalld eszközt használni, és csak akkor áttérni az iptables közvetlen kezelésére, ha nagyon speciális igényei vannak.

Legjobb Gyakorlatok a Tűzfal Konfigurációhoz

A tűzfal beállítása túlmutat a puszta parancsok ismeretén. Íme néhány bevált gyakorlat, amelyekkel jelentősen növelheti VPS-e biztonságát:

1. „Deny by Default, Allow by Exception” Elv

Ez a legfontosabb biztonsági szabály. Ahogy már említettük, állítsa be a tűzfalat úgy, hogy alapértelmezés szerint minden bejövő forgalmat blokkoljon, és csak azokat a portokat és szolgáltatásokat engedélyezze, amelyekre feltétlenül szüksége van. Ez minimalizálja a támadási felületet.

2. Csak a Szükséges Portokat Nyissa Meg

Minden nyitott port potenciális belépési pontot jelent a támadók számára. Rendszeresen ellenőrizze, mely portok vannak nyitva, és zárja be azokat, amelyekre nincs szükség.

3. Változtassa Meg az Alapértelmezett SSH Portot

Az alapértelmezett SSH port a 22. Ez az egyik leggyakrabban szkennelt port. Ha megváltoztatja egy nem-standard portra (pl. 2222-re), az csökkenti az automatizált támadások számát, még ha nem is állítja meg a célzott támadásokat.

SSH konfiguráció módosítása (/etc/ssh/sshd_config fájlban), majd az új port engedélyezése a tűzfalon (pl. sudo ufw allow 2222/tcp) és az SSH szolgáltatás újraindítása.

4. Korlátozza az SSH Hozzáférést IP-cím alapján

Ha fix IP-címmel vagy IP-címtartománnyal rendelkezik, ahonnan hozzáfér a VPS-éhez, korlátozza az SSH hozzáférést csak ezekre az IP-címekre. Ez drámaian növeli a biztonságot.

  • UFW-vel: 
    sudo ufw allow from 192.168.1.100 to any port 22

    Vagy egy alhálózatról:

    sudo ufw allow from 192.168.1.0/24 to any port 22
  • Firewalld-dal: 
    sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="22" protocol="tcp" accept'
    sudo firewall-cmd --reload

5. Rendszeres Felülvizsgálat és Frissítés

A hálózati igényei változhatnak. Rendszeresen tekintse át a tűzfal szabályait, és győződjön meg róla, hogy azok továbbra is relevánsak és biztonságosak. Tartsa naprakészen a rendszerét és a tűzfal szoftverét.

6. Naplózás és Monitorozás

A tűzfalak naplókat vezetnek a blokkolt és engedélyezett kapcsolatokról. Ezek a naplók rendkívül hasznosak lehetnek a támadási kísérletek azonosításában és a hibakeresésben. Az UFW naplói általában a /var/log/ufw.log fájlban találhatók, a Firewalld-é a journalctl -u firewalld paranccsal érhetők el.

sudo ufw logging on

Az UFW naplózás bekapcsolásához.

7. Legyen Készenléti Terv

Mindig legyen kéznél a VPS szolgáltatója által biztosított konzol hozzáférés. Ha valaha is kizárja magát SSH-ból egy hibás tűzfal szabály miatt, a konzol lesz a mentőöve, amellyel kikapcsolhatja vagy resetelheti a tűzfalat.

Gyakori Hibaelhárítási Tippek

  • Kizártam magam SSH-ból!
    • Használja a VPS szolgáltatója által biztosított webes konzolt.
    • UFW esetén: sudo ufw disable (majd újra SSH-val belépve javítsa a szabályt, és sudo ufw enable).
    • Firewalld esetén: sudo firewall-cmd --zone=public --remove-service=ssh (ha ez volt a hiba oka), majd sudo firewall-cmd --reload. Vagy sudo systemctl stop firewalld.
  • A weboldalam nem elérhető!
    • Ellenőrizze, hogy a 80-as (HTTP) és 443-as (HTTPS) portok engedélyezve vannak-e a tűzfalon.
    • Ellenőrizze, hogy a webszerver (Apache, Nginx) fut-e.
  • Egy szolgáltatás nem működik!
    • Győződjön meg róla, hogy a szolgáltatás által használt port engedélyezve van a tűzfalon, és a megfelelő protokollal (TCP/UDP).
    • Ellenőrizze a szolgáltatás logjait.

Összefoglalás

A tűzfal beállítás egy Linux alapú VPS-en nem csak egy lehetőség, hanem egy alapvető szükséglet. Az UFW és a Firewalld eszközök rendkívül leegyszerűsítik ezt a feladatot, lehetővé téve, hogy a szerverét biztonságban tartsa a jogosulatlan hozzáférésekkel és rosszindulatú támadásokkal szemben.

Ne feledje, a biztonság egy folyamat, nem pedig egyszeri beállítás. Rendszeresen ellenőrizze és frissítse a tűzfal szabályait, kövesse a bevált gyakorlatokat, és mindig legyen tisztában azzal, hogy mi történik a szerverén. Ezzel a tudással felvértezve stabil és védett környezetet biztosíthat alkalmazásainak és adatainak a digitális világban.

Azzal, hogy időt szán a tűzfal konfigurációjának megértésére és helyes beállítására, nem csak a szervereit védi, hanem hozzájárul egy biztonságosabb internetes ökoszisztémához is.

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük