Senast förändrad 2009-10-21

Det finns ingen brandvägg som standard aktiverad i Ubuntu, inte ofta i några andra distributioner heller för den delen och det kan vara smart att aktivera en brandvägg för att ge ett grundläggande och extra skydd. Det är lätt gjort att man testar att installera någon LAMP-lösning för att labba lite och sedan glömmer man av att det faktiskt finns en Apache, MySQL och lite annat smått och gott som körs i bakgrunden på maskinen.

Krav
Denna guide förutsätter att du använder Ubuntu 8.04 eller senare. Programprofiler (Application profile commands) kräver 9.04 och egressfiltrering, filter per interface och bash autoavslutning kräver Ubuntu 9.10.

Kort om ufw (Uncomplicated Firewall)
ufw är ett mycket enkelt program för att administrera netfilter vilket är den brandväggsfunktionalitet som finns inbyggt i Linux kärna. Ufw kommunicerar inte direkt med netfilter utan går via iptables som är det normala gränssnittet mot netfilter men som normalt är relativt komplicerat att använda och därför skapades ufw som ett ramverk ovanpå iptables för att förenkla och göra brandväggskonfigurationer lättförståeliga för samtliga. Ufw administreras via konsolen eller genom att grafiskt gränssnitt som heter gufw

Få hjälp med ufw
För att få hjälp skriv "man ufw" Om man bara skriver ufw får man upp en grundläggande instruktion:

Usage: ufw COMMAND

Commands:
enable                          enables the firewall
disable                         disables the firewall
default ARG                     set default policy
logging LEVEL                   set logging to LEVEL
allow ARGS                      add allow rule
deny ARGS                       add deny rule
reject ARGS                     add reject rule
limit ARGS                      add limit rule
delete RULE                     delete RULE
insert NUM RULE                 insert RULE at NUM
status                          show firewall status
status numbered                 show firewall status as numbered list of RULES
status verbose                  show verbose firewall status
show ARG                        show firewall report
version                         display version information

Application profile commands:
app list                        list application profiles
app info PROFILE                show information on PROFILE
app update PROFILE              update PROFILE
app default ARG                 set default application policy

Grundläggande konfiguration
Blockera allt som standard
Detta exempel fungerar även om du fjärradministrerar din maskin eftersom vi kommer öppna för SSH innan vi aktiverar brandväggen.

En nyhet med den ufw 0.29 som följer med Ubuntu 9.10 är att man nu även kan filtrera utgående trafik. Man brukar kalla riktningen för utgående trafik för egress och inkommande trafik för ingress. Anger man ingen riktning så förutsätter ufw att man avser inkommande trafik alltså ingress-filtrering och utgående trafik är som standard alltid tillåten.

Börja med att blockera ALL trafik in till din dator.

# sudo ufw default deny
Default policy changed to 'deny'
(be sure to update you rules accordingly)

Nu kan inget komma igenom brandväggen. Om du t.ex. har en ssh-server för administration måste du nu öppna för tcp port 22.

Tillåt vissa portar/protokoll
Denna regel tillåter inkommande trafik på port 22, protokoll tcp

# sudo ufw allow 22/tcp
Rule added

Aktivera brandväggen
Sedan får man se till att brandväggen startas med datorn

# sudo ufw enable
Firewall started and enabled on system startup

Man måste inte starta om hela datorn för att aktivera ufw första gången då det går lika bra med en tvingande omladdning av ufw

För Ubuntu fram till 9.04 använder du följande kommando

# sudo /etc/init.d/ufw force-reload
* Stopping firewall: ufw...
* Starting firewall: ufw...

Om du använder Ubuntu 9.10 använder du följande kommando

# sudo service ufw start

Kontrollera att dina regler stämmer
Kontrollera sedan att dina regler finns på plats

# sudo ufw status
Status: loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   Anywhere

Testa gärna konfigurationen via någon hemsida som kan scanna din anslutning. Ett tips är ShildsUP! från Steve Gibson https://www.grc.com/x/ne.dll?bh0bkyd2

// rancor

Historik
2009-05-04: Första utgåvan
2009-10-21: Anpassat inlägget för Ubuntu 9.10

Det är inte många dagar kvar tills Ubuntu 9.10 släpps i skarp version och det firar vi på två sätt. Antingen tar man och träffas, dricker öl och bara är som vanligt folk eller så tar man med sig sin laptop (stationär dator a la hardcore) och kör lite mer traditionellt LAN och uppgraderar tillsammans.

Själv hade jag gärna valt att ta en kall öl med mina vänner här i Göteborg men det blir tyvärr inte av på grund av ett jobb som väntar i Norge.

För er som inte väntar utan vill uppgradera nu på en gång så går det bra att hämta hem 9.10 genom att skriva följande kommando i terminalen

update-manager -d

Detta sker naturligvis inte utan risk, inte heller efter att 9.10 har släppts som officiell release då alla uppgraderingar innebär en viss risk.

Själv hade jag valt att installera om hela datorn då man bytt filsystem från ext3 till ext4 som bland annat är mer effektivt. Det går att uppgradera filsystemet om man inte orkar installera om allt men det innebär även det en ännu mer ökad risk för att något kan gå fel. Läs mer om det här: http://ext4.wiki.kernel.org/index.php/Ext4_Howto#Converting_an_ext3_filesystem_to_ext4

Fler nyheter är att man nu använder "upstart" som hjälper till att starta upp systemet snabbare, software center som ger en bättre och enklare överblick över vilka mjukvaror som går att installera, nya Gnome 2.28 och Linux kärna 2.6.31.

Allt är dock inte ängar och gröna skogar. Något stjärnskott har beslutat att Pidgin är sämre än Empathy vilket jag inte ser som någon direkt fördel men som ut är kan man lätt avinstallera Empathy och installera kära gamla Pidgin igen.

En annan trevlig fördel med 9.10 är att Uncomplicated Firewall har fått lite mer godis under huven som jag snart har tänkt att komma tillbaka till.

Hur som helst, om du vill vara med och fira genom att närvara på någon av de 20 träffar som går av stapeln den 29 oktober så är du mer än välkommen att delta. Mer information om de lokala träffarna hittar du på följande ställen:
Borås, Gävle, Göteborg, Halmstad, Helsingborg, Jönköping, Kalmar, Karlstad, Linköping, Malmö, Skövde, Slite (Gotland), Stockholm, Sundsvall, Trollhättan, Umeå, Uppsala, Västerås, Örebro och Östersund.

Om du vill läsa fler bloggar om denna händelse kan jag rekommendera följande:

• http://mikrofoncaught.blogspot.com/2009/10/29-okt-releasetraffar-for-ubuntu-910.html

• http://blogg.idg.se/littlejohn/entry.jsp?messid=12831

• http://softwarefreedomday.se/2009/10/20/release-fester-for-ubuntu-karmic-koala/

• http://blogg.idg.se/foss/entry.jsp?messid=12836

IDG har dessutom noterat händelsen
http://www.idg.se/2.1085/1.262088/sveri ... buntu-fest

Läs även andra bloggares åsikter om datorer, fri programvara, it, linux, ubuntu, öppen källkod

// rancor

Idag släpptes OpenBSD 4.6 och som vanligt var listan lång på förbättringar.

Förutom utökat stöd för flera olika chipset så har man arbetat med prestandan på flera olika drivrutiner för nätverkskort. Man har också aktiverat PF som standard samt förbättrat pfsync för att få bättre möjligheter att köra redundanta brandväggar i "aktiv-aktiv"-läge.

En annan liten nyhet är att man skrivit om installationen för att göra det ännu smidigare att installera OpenBSD.

Alla nyheter hittar du här: http://openbsd.org/46.html

// rancor

Nu när Ubuntu 9.10 närmar sig med stormsteg så är det alltid intressant att se vad för tips, trix och nyheter som andra har snappat upp. Här kommer en lista på andra svenska bloggar som är läsvärda (förutom andol som har en engelsk blogg).

Lista i bokstavsordning

• Andreas Olsson (andol)
  
• Barre
• Bossieman
• CryingFreeman
• Hund
• Little John
• Pata
• Påvel
• Ulsak
• Urban Anjar

// rancor

Om du tycker att konsolen känns lite tråkig så kan man piffa upp den genom att aktivera färger. Enklast är att editera ~/.bashrc och leta upp raden "#force_color_prompt=yes". Ta bort brädgården framför så att det står:

force_color_prompt=yes

Du måste sedan avsluta sessionen och starta upp en ny för att aktivera förändringen

// rancor