このわかりやすいチュートリアルでは、Raspberry PiにUFW(Uncomplicated Firewall)をインストールして管理する方法を紹介します。
Raspberry Piに必要なセキュリティのレベルは、RaspberryPiの使用方法によって大きく異なります。たとえば、Raspberry Piがインターネットに接続されている場合は、最低限のセキュリティ対策を講じて、開く必要のあるポートのみが開いていることを確認する必要があります。
ファイアウォールは、着信および発信ネットワークトラフィックを監視するソフトウェアです。その後、トラフィックを許可、拒否、またはドロップできます。
Raspberry Piは機能し、ファイアウォールなしで接続されていますが、許可する種類のトラフィックのみを許可するファイアウォールを使用すると、より安全にすることができます
ファイアウォールのインストールRaspberryPiで
UFW(Uncomplicated Firewall)は、Linuxでファイアウォールルールを管理するためのフロントエンドです。これは、iptables上で実行されるファイアウォール構成ツールです。 iptables
以降 構文は比較的複雑です。UFWを使用して構成を実行することは、セキュリティを損なうことなく役立つ代替手段です。
始める前に、RaspberryPiOSの既存のすべてのパッケージを更新およびアップグレードすることをお勧めします。
sudo apt update
sudo apt full-upgrade
ファイアウォールパッケージのインストールは、2つの方法で実行できます。
まず、RaspberryPiOSにデフォルトで付属しているグラフィカルパッケージマネージャーを使用できます。 Menu
に移動して開きます ->Preferences
–Add / Remove Software
。
次に、ufw
を検索します 、インストールパッケージを強調表示し、[OK]ボタンでインストールを確認します。
または、ufw
をインストールすることもできます APTパッケージマネージャーを使用してコマンドラインから簡単かつ迅速にパッケージ化する:
sudo apt install ufw
UFWでRaspberryPiファイアウォールを管理する
これでUFWがインストールされましたが、オンになっていません。 ufw
かどうかを確認するには 有効になっている場合は、次を実行します:
sudo ufw status verbose
接続を許可する
UFWファイアウォールを有効にする前に、離れた場所からRaspberryPiに接続しているとします。次に、デフォルトのSSHポートであるポート22で着信SSH接続を明示的に許可するのが最適です。
最初にこれを行わないと、ロックアウトされ、RaspberryPiにターミナルアクセスするためにモニターとキーボードを物理的に接続する必要があります。
着信SSH接続を許可するようにUFWファイアウォールを設定するには、次のコマンドを入力します。
sudo ufw allow 22
特定のIPアドレスからの着信接続を許可するには、from
を含める必要があります 接続のソースを定義するディレクティブ。
たとえば、ポート22
へのアクセスを許可するには 192.168.1.100
のIPアドレスを持つ作業マシンから 、to any port
その後にポート番号が続きます:
sudo ufw allow from 192.168.1.100 to any port 22
RaspberryPiファイアウォールをオンにする
着信SSH接続を許可するようにファイアウォールが構成されたので、次のように入力してファイアウォールを有効にできます。
sudo ufw enable
ファイアウォールを有効にすると、既存のssh接続が中断される可能性があるという警告が表示されます。y
と入力してください Enter
を押します 。
RaspberryPiファイアウォールのステータスとルールの確認
ufw enable
コマンドはUFWをオンにし、ルールを適用します。次のコマンドを発行して、UFWが実行されていることを確認できます。
sudo ufw status verbose
さらに、このコマンドは現在アクティブなすべてのファイアウォールルールを表示します。
接続を拒否する
ポートを許可することが重要であるのと同様に、ポートを拒否することも不可欠です。すべての着信接続のデフォルトポリシーは、deny
に設定されています 、変更していない場合は、特に接続を開かない限り、UFWはすべての着信接続をブロックします。
たとえば、ポート22を開いたが、RaspberryPiサーバーが攻撃を受けているとします。ポート22へのすべての接続を拒否するには、次のコマンドを使用できます。
sudo ufw deny 22
既存のルールの削除
これを行うには、最初にそのルール番号を知る必要があります。このリストを実行するには:
sudo ufw status numbered
このコマンドは、RaspberryPiファイアウォール用に作成されたルールのリストを表示します。各ルールは一意の番号で識別されます。
たとえば、SSH通信のルール(番号1)を削除するには、実行するコマンドは次のようになります。
sudo ufw delete 1
削除する前に確認を求められます。確かに、y
と入力します 次にEnter
。
この操作により、IPv4のSSH通信はキャンセルされますが、IPv6のSSH通信はキャンセルされません。 IPv6のルールを削除するには、識別コードが変更されるため、既存のルールのリストを再度参照してください。
ファイアウォールを無効にする
接続に問題がある場合は、Raspberry Piファイアウォールを無効にしてから、再テストして接続できるかどうかを確認することをお勧めします。
UFWファイアウォールを無効にするには、次のコマンドを使用します。
sudo ufw disable
このコマンドは、RaspberryPiのUFWファイアウォールサービスを完全に無効にします。
結論
UFWは、適切に構成された場合にRaspberryPiのセキュリティを大幅に向上させることができる強力なツールです。
UFWファイアウォールを有効にすることで、Raspberry Piとの間のすべての通信がこのツールを通過し、許可されていないユーザーからの不要な攻撃や接続の試みからユーザーを保護します。
以下のコメントで、このガイドに追加するものや、他の人に役立つ可能性のあるその他の役立つコマンドをお知らせください。