コメント
LinuxでUFWを使用したファイアウォール設定の包括的ガイド
編集済み 2 数週間前 によって ExtremeHow 編集チーム
セキュリティファイアウォールUFWネットワークセーフティー設定コマンドラインサーバーシスアドミンベストプラクティス管理
翻訳が更新されました 2 数週間前
Linuxシステムのセキュリティを確保することは、データの整合性と機密性を維持するために非常に重要です。ファイアウォールは、システムを不正アクセスや悪意のある攻撃から保護するために重要な役割を果たします。UFW(Uncomplicated Firewall)は、UbuntuやDebianベースのシステムでファイアウォールルールを管理するための使いやすいインターフェースです。このガイドでは、UFWを使用してLinuxサーバーにファイアウォールを設定する方法について詳細に説明します。このガイドでは、さまざまな例を使用して主要な概念と手順を示し、UFWを効果的に使用してサーバーを保護できるようにします。
ファイアウォールとUFWの理解
UFWを使用してファイアウォールを設定する方法を詳しく見る前に、ファイアウォールとは何かを理解することが重要です。ファイアウォールは、事前に定義されたセキュリティルールに基づいて、ネットワークの入出力トラフィックを監視および制御するネットワークセキュリティツールです。基本的には、信頼できるネットワークとインターネットなどの信頼できないネットワークとの間のバリアとして機能します。
UFWは、理解しやすいコマンドラインインターフェースを通じてファイアウォール管理のプロセスを簡素化します。初心者にとって複雑な可能性のある伝統的な`iptables`ツールの抽象化を提供します。UFWは、多くのUbuntuおよびDebianベースのシステムにプリインストールされており、直接コマンドでルールを有効または無効にする簡便さを提供します。
UFWのインストール
UFWの設定を始める前に、システムにインストールされていることを確認する必要があります。ほとんどのUbuntuおよびDebianベースのディストリビューションには、UFWがプリインストールされています。しかし、手動でインストールする必要がある場合もあります。ターミナルを開いて、次のコマンドを実行してインストールされているか確認します:
sudo ufw statusUFWがインストールされている場合、このコマンドは有効か無効かを示します。このコマンドが「command not found」と返す、または最新バージョンを確認したい場合は、次のコマンドでUFWをインストールできます:
sudo apt update sudo apt install ufwUFWの有効化
UFWがインストールされたら、それを有効にする必要があります。これを行う前に、誤ってロックアウトしないために基本的なルールを定義することが一般的な慣行です。このコマンドでUFWを有効にできます:
sudo ufw enableUFWは現在有効になり、「ファイアウォールが有効で、システム起動時にアクティブです」というメッセージが表示されます。ルールセットなしでUFWを有効にすると、重要なシステムサービスに必要な接続を除くすべての着信接続をブロックします。ただし、送信接続は通常デフォルトで許可されます。
デフォルトポリシーの設定
ファイアウォールの設定最初のステップはデフォルトポリシーを設定することです。UFWのデフォルトポリシーは、すべての着信接続を拒否し、すべての送信接続を許可します。この設定はほとんどのユーザーに適しており、システムへの外部からの接続試行が明示的に許可されない限り許可されません。
次のコマンドでデフォルトポリシーを設定できます:
sudo ufw default deny incoming sudo ufw default allow outgoingこれら2つのコマンドは、すべての外部からの着信接続を拒否し、すべての送信接続をファイアウォールを通して許可するようにUFWを設定します。これは、システムへのアクセスを許可したいIPアドレスまたはサービスを明示的に許可する必要があることを意味します。
接続の許可
許可したい特定のサービスのトラフィックを有効にするには(SSH、HTTP、HTTPSなど)、これらの接続を明示的に有効にする必要があります。UFWは、これらのサービスを許可するための直感的なコマンドを提供します。
SSH接続の許可
SSHは、リモートでサーバーを管理するための重要なサービスです。ファイアウォールが最初に有効化されたときに管理を許可するために、通常デフォルトで有効になっている可能性があります。次のコマンドを使用してSSH接続を許可できます:
sudo ufw allow sshこのコマンドは、標準のSSHポートであるポート22を通じてトラフィックを許可する短縮コマンドです。内部的には次のように機能します:
sudo ufw allow 22/tcpHTTPとHTTPS接続の許可
Webサーバーを運用している場合、またはウェブサイトをホスティングしている場合は、HTTPおよびHTTPSトラフィックを許可する必要があります。これを次のコマンドで行うことができます:
sudo ufw allow http sudo ufw allow https上記のコマンドは、HTTPとHTTPSトラフィックのためのデフォルトポートであるポート80と443を開きます。 Webサービスをホスティングしている場合、アクセスのためにこのステップが必要です。
ポート番号とIPアドレスの指定
サービスを許可する際に、カスタムポート番号を指定する必要があることや、特定のIPアドレスからのアクセスを許可することがあります。
特定のポート番号の許可
特定のポートでサービスを運用している場合(このシナリオでは3010)、次のようにアクセスを許可できます:
sudo ufw allow 3010/tcpサービスがUDPプロトコルで動作する場合、そのスペースに`3010`を指定ポート番号に変更し、`tcp`を`udp`に置き換えます。
特定のIPアドレスからの接続の許可
セキュリティを強化するために、特定のIPアドレスにアクセスを制限することがあります。例えば、IPアドレス`192.168.1.10`からのSSH接続のみを許可したい場合、次のコマンドを使用して設定できます:
sudo ufw allow from 192.168.1.10 to any port 22このコマンドは、指定したIPアドレスからのみSSH接続を許可し、不正ユーザーからの攻撃の可能性を低減します。
接続の拒否
ファイアウォールを設定する際に、追加のセキュリティ層として特定の接続を拒否することを望むこともあります。トラフィックを拒否するのは許可するのと同じくらい簡単です。次のコマンドを使用して:
sudo ufw deny 1234`1234`を希望するポート番号に置き換えて、そのポートからのすべての接続を拒否します。
ルールの削除
特定のルールを削除する必要がある場合があります。特定のルールを削除するには、「allow」または「deny」を「delete」に置き換えて、同じコマンドを使用してください:
sudo ufw delete allow 3010/tcp上記のコマンドは、ポート`3010`でのトラフィックを許可する既存のルールを削除します。
高度なUFWの機能
UFWステータスの確認
ファイアウォールの現在の状態を確認し、現在アクティブなルールを確認するには、次のコマンドを使用します:
sudo ufw status verboseこれにより、ファイアウォールがアクティブかどうか、デフォルトポリシー、および各ルールの詳細なビューが表示されます。
UFWのログ取得
ファイアウォールの動作(潜在的な攻撃や不正アクセス試行など)を追跡する必要がある場合、次のようにしてログを有効にできます:
sudo ufw logging on低、中、高などの異なるログレベルを設定して、UFWが活動をログする詳細さを制御することができます。ログの詳細さに応じたレベルを選択してください。
IPv6でのUFWの使用
IPv4とIPv6の両方を使用するシステムの場合、`/etc/default/ufw`設定ファイルを編集する必要があるかもしれません。`IPV6`を`yes`に変更して、UFWの設定がIPv6を許可している事を確認します:
IPV6=yes設定が完了すると、IPv6ネットワークに接続され、IPv6トラフィックを必要とする関連サービスがあれば、IPv6サポートがIPv4同様に機能します。
結論
UFWを使用すると、Linuxシステムでのファイアウォール設定はシンプルでありながら強力なプロセスになります。ファイアウォールルールの基本とUFWの仕組みを理解することで、必要な接続を許可しながら外部からの脅威からシステムをより良く保護できます。このガイドは、重要なUFWの操作をカバーし、ファイアウォールルールを効率的に管理できるようにします。システム管理者、開発者、プライベートサーバーを所有している人に関わらず、適切に構成されたファイアウォールでシステムを保護することは、システムのセキュリティとパフォーマンスを維持するための重要な措置です。
システムのセキュリティは、どれだけ入念にファイアウォールルールを設定・維持するかに依存しています。定期的な監査、ファイアウォール設定のテスト、セキュリティベストプラクティスの最新情報の保持は、堅固なサーバーセキュリティ態勢の重要な側面です。
記事の内容に誤りがある場合, あなたは